Schlag gegen Emotet-Schadsoftware: Polizeiliche Beweissicherung unter Beschuss
Der BKA-Präsident schildert, wie Ermittler das Botnetz zerschlugen und Server unter Kontrolle brachten. Um die polizeilichen Befugnisse gibt es jedoch Streit.
(Bild: ronstik/Shutterstock.com)
Emotet und kein Ende: Mit der Veröffentlichung des Protokolls einer Sitzung des Innenausschusses des Bundestages vom 10. Februar feuert Netzpolitik.org die Diskussion um polizeiliche Befugnisse im Internet an. In der besagten Sitzung informierte Holger Münch, der Präsident des Bundeskriminalamtes (BKA) die teilnehmenden Abgeordneten, wie das Botnetz bzw. der Downloader von Emotet zerschlagen und zwei von drei Servern unter der Kontrolle der Ermittler umfunktioniert wurden. Das Vorgehen wirft Fragen auf.
60 Ermittler zerschlagen Emotet-Infrastruktur
Am Wochenende porträtierte die Frankfurter Allgemeine Zeitung mit dem Artikel "Die Jäger im Netz" die leitenden deutschen Ermittler beim Vorgehen gegen Emotet. Linda Bertram, Staatsanwältin der Zentralstelle für die Bekämpfung der Internetkriminalität (ZIT) und Carsten Maywirth vom Bundeskriminalamt leiteten eine Ermittlergruppe von 60 deutschen Beamten, die im Zusammenspiel mit niederländischen und ukrainischen Strafverfolgern Emotet zerschlugen. Zwei zentrale Server in den Niederlanden wurden da sichergestellt, die 300 Server in der 1. Ebene kontrollierten, mindestens ein Administrator wurde während seiner Arbeit in der Ukraine verhaftet. Das geht aus dem Bericht des BKA-Präsidenten Holger Münch hervor, der nun von Netzpolitik.org veröffentlicht wurde.
Der Schädling tauchte 2014 das erste Mal auf und treibt seitdem sein Unwesen. In erster Linie haben es die Hintermänner auf Unternehmen und nicht Privatpersonen abgesehen. Emotet korrumpiert Computer in kürzester Zeit und breitet sich rasant in Netzwerken aus.
Hat sich der Schädling erst mal eingenistet, durchsucht er unter anderem automatisiert E-Mail-Konversationen, analysiert diese und verschickt auf dieser Basis zum Teil sehr gut gefälschte Mails. Diese Spam-Angriffe kommen oft im Namen von Kollegen. In den Nachrichten wollen die Betrüger Opfer mit Betreffzeilen und Texten zu real existierenden Firmenprojekten aufs Glatteis führen. Im Anhang befindet sich häufig eine verseuchte Word-Datei, die beim Öffnen ein Makro aktiviert, das Emotet herunterlädt. Nach der Installation agiert Emotet als Türöffner für weitere Schadsoftware und holt zum Beispiel den Verschlüsselungstrojaner Ryuk oder die Malware Trickbot auf Systeme.
Seit der Entdeckung richtete Emotet in Deutschland Schaden in Millionenhöhe an. Zu den Opfern gehören beispielsweise das Klinikum Fürstenfeldbruck, die Uni Gießen, das Berliner Kammergericht und die Heise-Gruppe. Ryuk erpresste international laut Angaben des FBI eine Summe von mehr als 61 Millionen US-Dollar. Die Dunkelziffer ist vermutlich weitaus höher, da viele Unternehmen eine Infektion ihres Netzwerkes nicht zur Anzeige bringen.
Nach Münchs Angaben wurde in der Ukraine eine modifizierte Version von Emotet "über ein Update-Kommando eingespielt", die im Auftrag des BKA von der deutschen Firma G Data Cyberdefense entwickelt wurde. G Data mietete zusätzlich einen Server an, mit dem das Update derzeit bis zum 25. April kommuniziert.
Adressen sammeln per Sinkhole
In der etwas umständlichen Beschreibung des BKA-Chefs liest sich das so: "Wir haben das aber flankiert mit sogenannten Take-Down-Maßnahmen zur Malware Emotet selbst. Das heißt Beschlagnahme von täterseitig genutzter Server-Infrastruktur, gleichzeitig ersetzen durch eigene, die wir über einen Dienstleister haben dann auch konfigurieren lassen, ein sogenanntes Sinkhole, zu dem dann die Schadsoftware kommunizieren soll. Und wir haben den offenen Rechner des Täters genutzt, um über diesen Weg dann eine veränderte Version der Malware Emotet über ein Update-Kommando einzuspielen. Und diese angepasste Version hatte den Auftrag, quasi die infizierten Rechner zu dem Sinkhole kommunizieren zu lassen, also im Prinzip die Adresse zu verändern, bei der sich dann diese Bots melden."
Bis zum Abschalten des Updates am 25. April werden sich infizierte Rechner bei diesem polizeilich kontrolliert mit ihrer IP-Nummer melden. Damit haben das BKA und die über Europol zusammenarbeitenden Polizeien anderer Staaten die Chance, dass sie die Provider ermitteln. Diese sollen dann die "gesetzlich vorgesehene Benachrichtigung der betroffenen Kunden" durchführen, wie Münch betonte. Rund 53.000 Adressen habe man bereits sammeln können.
Diskussion um Veränderungen an Schadsoftware
Ist das Aufspielen einer veränderten Schadsoftware durch das Bundeskriminalamt eine vorübergehende polizeiliche "Beschlagnahme mit technischen Mitteln", wie Münch formulierte? Oder ist dies schon ein Hack Back im Sinne der Cyber-Verteidigung kritischer Infrastrukturen? Netzpolitik.org selbst zieht den Vergleich mit der berüchtigten Weltraumtheorie des Bundesnachrichtendienstes, nach der Datenflüsse von Satelliten im rechtsfreien Weltraum ausgeleitet werden dürfen. Während Münch die Aktion als schlichte Beschlagnahme verteidigte.
Der Jurist Ulf Buermeyer von der Gesellschaft für Freiheitsrechte sieht das anders: "Für Manipulationen an IT-Systemen gibt es – abgesehen von Online-Durchsuchung und Quellen-Telekommunikationsüberwachung – schlicht keinerlei Rechtsgrundlage. Das gilt auch für die vermeintliche ‚Bereinigung‘ von IT-Systemen", erklärte er gegenüber Netzpolitik.org.
Nach dem Sitzungsprotokoll des Innenausschusses sprachen sich die Vertreter von CDU, SPD und AfD dafür aus, die gesetzliche Grundlage für erweiterte Befugnisse dem Bedarf der Strafermittler entsprechend zu erweitern. Die Diskussion darüber dürfte bis zur Bundestagswahl an Fahrt gewinnen.
(tiw)
