Kammergericht Berlin | Bildquelle: ARD-aktuell/ Kruse

Hackerangriffe auf Behörden Bloß kein Lösegeld zahlen

Stand: 27.02.2020 09:52 Uhr

Das Kammergericht Berlin ist nur per Post, Fax oder Telefon erreichbar - dahinter stecken Hacker. Mehr als 100 Einrichtungen waren im vergangenen Jahr von solchen Angriffen und Erpressungsversuchen betroffen.

Von Chris Humbs und Norbert Siegmund, rbb

Der Deutsche Städtetag warnt öffentliche Einrichtungen, auf Lösegeldforderungen nach Hackerangriffen einzugehen. Sollten Erpresser merken, dass Geld fließt, würde das nur zu mehr Erpressungen führen, sagte Hauptgeschäftsführer Helmut Dedy dem ARD-Magazin Kontraste. "Das darf nicht passieren. Und deshalb sagen wir: Nein, nicht zahlen", so Dedy. Betroffene Institutionen sollten bei der Polizei Anzeige erstatten.

Die Datenschutzbeauftragen von Bund und Ländern zählten im vergangenen Jahr bundesweit eine dreistellige Zahl von erfolgreichen Angriffen mithilfe der Schadsoftware Emotet, heißt es auf Anfrage. Dabei seien Behördendaten, Personal- oder Krankendaten oder andere sensible Informationen abgeflossen. Auch Unternehmen und Privatpersonen sind betroffen. Grundsätzlich müsse davon ausgegangen werden, dass Angriffe zu einem Datenabfluss führen, wenn Hacker den Emotet-Trojaner als Einfallstor nutzen konnten, so die Datenschutzbeauftragten.

Hauptgebäude der Universität Gießen (Archivbild) | Bildquelle: imago images/Eibner
galerie

Zu den Angriffszielen gehört auch die Universität Gießen.

Erpressungsopfer Rathaus

Opfer solcher Angriffe gibt es bereits einige: das Berliner Kammergericht etwa, die Universität Gießen oder das Klinikum der bayerischen Stadt Fürth. Besonders schwerwiegend sind die Folgen eines Emotet-Angriffs in Neustadt am Rübenberge.

Hacker nahmen im vergangenen September das Rathaus ins Visier und verschlüsselten dabei einen Großteil der Dateien. Die Verwaltungsarbeit der niedersächsischen Stadt war zeitweilig massiv eingeschränkt. Ein Zugriff auf den Terminkalender für Eheschließungen war ebenso nicht mehr möglich wie die Auszahlung von Elterngeld. Die Stadt musste einige Bauvorhaben einfrieren. Die Dokumente wurden verschlüsselt, um Lösegeld zu erpressen. Ob die Kommune dem nachgegeben hat, ist unklar. Stadtrat und Krisenmanager Maic Schillack sagte auf Anfrage: "Da werde ich Ihnen persönlich nichts darüber sagen."

Anderswo ist bekannt, dass solche Erpressungsversuche bereits geglückt sind, etwa im US-Bundesstaat Florida. Vergangenes Jahr im Juni wurden dort mehrere kommunale Verwaltungen angegriffen, Daten wurden verschlüsselt. Mindestens zwei Orte zahlten Lösegelder von insgesamt mehr als einer Million US-Dollar in Bitcoin. An wen das Geld ging, lässt sich nicht nachverfolgen.

Gerichtsdaten sind für beklagte Kriminelle interessant

In Berlin ist die Arbeitsfähigkeit des Kammergerichts seit Anfang Oktober stark eingeschränkt. Nachdem der Emotet-Angriff bemerkt worden war, wurden sämtliche Rechner vom Netz genommen. Derzeit ist das Gericht nach wie vor online nicht erreichbar, sondern lediglich "telefonisch, per Fax und postalisch", wie es auf der Webseite heißt.

Am Berliner Kammergericht wurden keine Daten verschlüsselt. Es gab auch bisher keine Lösegeldforderung. Die Täter könnten allerdings ein anderes Ziel verfolgt haben, betont Karsten Nohl, IT-Sicherheitsexperte bei der Berliner Firma Security Research Labs. "Das Kammergericht ist verantwortlich für Daten, die Kriminelle sehr gern in ihre Hände bekommen würden." Ob Klarnamen von Kronzeugen oder Beweise in aktuellen Verfahren, es gebe viele Daten, die in laufenden Verfahren wichtig sein können. Etwa wenn jemand einer Gefängnisstrafe entgehen möchte, sagt Nohl. "Wir reden hier von Daten, die der einen oder anderen Organisation Hunderttausende von Euro, Millionen von Euro wert sind."

Das Kammergericht bestreitet, dass sensible Daten abgeflossen sind. Im forensischen Gutachten zu dem Fall heißt es allerdings, die eingeschleusten Programme waren "klar auf Datenabfluss eingerichtet" und den Hackern war es höchstwahrscheinlich möglich, "den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren." Ob Gerichtsdokumente tatsächlich abgegriffen wurden, ist unklar. Es könne nicht ausgeschlossen werden, sagte Bernd Pickel, Präsident des Kammergerichts, auf Anfrage.


Sicherheitsexperte Nohl glaubt, dass die Täter im Ausland sitzen. "Von dem, was wir über Emotet wissen, scheint es eine mittelgroße Gruppe in Russland ansässiger Hacker, aber auch Geschäftsleute zu sein", sagt er. Diese würden die fremden Computer unter ihre Kontrolle bringen und entweder selbst nutzen oder anderen den Zugang weiterverkaufen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Längerem vor Emotet. Bereits im Dezember 2018 bezeichnete das BSI den Trojaner als "weltweit gefährlichste Schadsoftware". Trotzdem scheinen immer wieder öffentliche Einrichtungen völlig unvorbereitet Opfer solcher Angriffe zu werden.

Vier Mitarbeiter, ein Rechner

Am Berliner Kammergericht wurde die Arbeitsfähigkeit der Gerichtsverwaltung allerdings massiv eingeschränkt. "Das war an den ersten Tagen fast schon ein bisschen lustig. Es gab Schreibmaschinen alter Art", sagte Richter Ulrich Wimmer. "Aber dann war es nicht mehr lustig und dann hat sich sehr schnell gezeigt, was für schwierige Konsequenzen das auch für Verfahren hat." Die gesamte Arbeit des Gerichts werde ausgebremst, so Wimmer. "Es ist eine ernsthafte Krise."

Knapp fünf Monate nach dem Angriff können die Mitarbeiter des Kammergerichts nach wie vor nicht das Intranet nutzen. Ordner und Daten, die sie über Jahre angelegt und gepflegt haben, können sie nicht aufrufen. Immerhin ist der Zugriff auf das Internet wieder möglich. Allerdings müssen sich derzeit vier Mitarbeiter einen Rechner teilen.z

Darstellung: