Sehr geehrter Herr Jagau,

im September 2019 hat es einen schweren Schadsoftwareangriff auf die Verwaltung von Neustadt am Rübenberge gegeben. Dieser Angriff hatte zur Folge, dass die Stadtverwaltung von Neustadt am Rübenberge fast gänzlich lahmgelegt worden ist. Einen ähnlichen Angriff gab es auch auf das Kammergericht in Berlin. Hier sind die Folgen dieses Angriffs wohl noch dramatischer. Diese beiden Angriffe stehen exemplarisch für die Schadsoftwareangriffe gegenüber vielen öffentlichen Einrichtungen.

Folgender Presseartikel wurde zu diesem Thema am 28.01.2020 unter der Überschrift „Nur per Telefon, Fax oder Brief zu erreichen“ in Zeit Online veröffentlicht:

„Seit September ringt das Kammergericht Berlin mit den Folgen einer Malware-Attacke. Ein Bericht zeigt nun: Es war noch übler als bislang vermutet. 

"Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax oder postalisch zu erreichen", steht auf der Webseite des höchsten Berliner Gerichts. Bis auf Weiteres per E-Mail nicht erreichbar – das ist inzwischen schon ein Dauerzustand. Denn bis heute hat sich das Kammergericht noch nicht von einem Schadsoftwareangriff im September 2019 vollständig erholt.

Ein Team aus IT-Forensikern bei T-Systems hat nun einen Bericht zu dem Vorfall veröffentlicht, aus dem hervorgeht: Es ist alles noch viel schlimmer als bislang angenommen. Anders als Berlins Justizsenator Dirk Behrendt noch Ende Oktober sagte, legt das Gutachten nahe, dass Daten abgeflossen sind – wenn auch Menge, Zeitpunkt und Ziel des Diebstahls unbekannt sind. Ein Angreifer sei "höchstwahrscheinlich" in der Lage gewesen, "einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert werden", schreiben die IT-Sicherheitsexperten von T-Systems (…).

Scharf kritisiert der Bericht, dass IT-Sicherheitsgrundsätze vom Kammergericht offenkundig sträflich vernachlässigten und der Angriff erst dadurch so gravierende Folgen nach sich zog.

Ansonsten offenbart der Bericht von T-Systems, dass sie auch nach ihrer Untersuchung noch relativ wenig wissen. Vermutlich, so schreiben sie, wurden die Systeme bereits am 20. September vergangenen Jahres infiziert – also fünf Tage bevor das Gericht von einem Dienstleister auf eine Infektion ihrer Systeme aufmerksam gemacht wurde. Wer genau dahintersteckt, wohin Daten möglicherweise flossen, welche Daten abgegriffen wurden oder wie genau der Angriff ausgeführt wurde, auch das konnte der Bericht nicht klären (…).

Einer der Gründe dafür, dass die Analyse in vielen Punkten recht vage bleibt, ist, dass die Aufzeichnungen weitgehend fehlten, die bei der Rekonstruktion der Ereignisse hätten helfen können: Sogenannte Sicherheits-Eventlogs hätten nur für wenige Tage Mitte Oktober vorgelegen – und nicht für den eigentlichen Infektionszeitraum um den 20. September.

Insgesamt bezeichneten die IT-Forensiker den Befall der IT-Infrastruktur als "schwerwiegend" und kritisierten vor allem die Sicherheitsarchitektur der IT-Systeme des Kammergerichts: etwa, dass das Netzwerk nicht ausreichend segmentiert war, dass Log-Dateien nur mangelhaft gespeichert wurden und Nutzer teils über lokale Administratoren-Accounts verfügten. So "wurde aus einem Standardvorfall ein massiver Incident", heißt es in dem Bericht. Auch den Anbieter der vom Kammergericht genutzten Antiviren-Software McAfee kritisiert der Bericht deutlich: Das genutzte Produkt weise "klare Mängel bei der Leistungsfähigkeit bzw. Aktualität" auf – habe es doch Malware nicht erkannt, die zu diesem Zeitpunkt bereits bekannt gewesen sei.

Weil man gar nicht so genau sagen könne, welche Bereiche der Kammergerichts-IT überhaupt alles betroffen sind, raten die T-Systems-Experten zu einem "kompletten Neuaufbau der IT-Infrastruktur". Constanze Kurz, Sprecherin des Chaos Computer Clubs sprach gegenüber der Berliner Zeitung Tagesspiegel von einem "Totalschaden". 

Vieles daran ist für die Berliner Behörden ziemlich peinlich. Dass man das Problem seit Monaten nicht in den Griff bekommt und die Behörden seit Monaten wieder analog arbeiten müssen zum Beispiel. Vor allem aber, dass sich zeigt, wie wenig Sorgfalt in die Sicherung von Daten gesteckt wird, die in einem höheren Berliner Gericht kursieren. Schließlich geht es im Zusammenhang mit Prozessen ja durchaus um hochsensible Informationen.

Doch nicht nur hier wurde eine öffentliche Einrichtung Ziel eines Emotet-Angriffs. Allein im September 2019 legte der Trojaner nicht nur die Stadtverwaltung von Neustadt am Rübenberge in Niedersachsen lahm, sondern befiel auch die Medizinische Hochschule Hannover. Kurz vor Weihnachten waren Teile der IT-Systeme der Städte Frankfurt am Main und Bad Homburg infiziert. Auch der Angriff auf die Universität Gießen geht vermutlich auf Emotet zurück. Meist wurden Systeme und Rechner nur zeitweise vom Netz genommen und unter Quarantäne gestellt, im Falle der Gießener Hochschule mussten alle Server heruntergefahren werden – und manche sind bis heute nicht wieder online.  

Mitte Dezember warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI): Derzeit würden vermehrt Spam-Mails mit Malware-Links oder -Anhängen im Namen mehrerer Bundesbehörden verschickt. Schon im September hatte es Emotet zur "gefährlichsten Schadsoftware der Welt" erklärt. Es spähe Zugangsdaten zu E-Mail-Konten aus und nutze die darin enthaltenen Adressen, um sich weiterzuverbreiten – indem es Spam-Mails verschicke, die aussähen wie Mails von Personen, mit denen man tatsächlich Mailverkehr pflegt. 

"Man kann es nur gebetsmühlenartig wiederholen: Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden!", sagte BSI-Präsident Arne Schönbohm bereits im September: Regelmäßige Back-ups, das Einspielen von Sicherheitsupdates, die Sensibilisierung der Belegschaft. 

Denn bei Emotet handelt es sich nicht einmal um eine neue Malware: Sie wurde bereits 2014 von Sicherheitsexperten entdeckt. Ursprünglich handelte es sich um eine Software, die versuchte, Banking-Passwörter auszuspähen, sie entwickelte sich jedoch kontinuierlich weiter – und kann eine Vielzahl weiterer Module mit anderen Funktionen nachladen und ausführen, die den infizierten Systemen schaden. Das Problem: Ähnlich wie ein biologisches Virus verändert sich Schadsoftware immer weiter. Das mache es mitunter auch für Virenscanner schwer, sie zu erkennen, sagt Haya Shulman vom Fraunhofer Institut für Sichere Informationstechnologie (SIT).

Liest man sich die Liste der betroffenen Institutionen durch, scheinen Emotet-Infektionen vor allem Behörden oder andere öffentlichen Einrichtungen zu betreffen. Bedeutet das, dass sie besonders anfällig für die Malware sind? 

Gerade der Fall des Berliner Kammergerichts legt nahe, dass zu wenig Sorgfalt bei der IT-Infrastruktur dazu führen kann, dass ein Angriff besonders gründlich und langfristig Schaden anrichten kann. Dass so etwas passieren kann, wundert Melanie Volkamer, Informatik-Professorin am Karlsruher Institut für Informationstechnologie, wenig. "Gerade bei Behörden liegt da viel im Argen", sagt sie. Hier müsse man als Allererstes anfangen, die Angriffsflächen zu verkleinern. 

Haya Shulman vom Fraunhofer SIT weist aber auch darauf hin, dass sich die Emotet-Angriffe nicht nur auf öffentliche Einrichtungen beschränken. Bei gezielten Angriffen gelte: "Jeder kann das Ziel sein, wenn das Ziel interessant ist." 

Denkbar sei aber auch, dass die Angriffe nicht gezielt stattfinden, sondern automatisiert verbreitet werden. Dass es nun mehrere Fälle in Deutschland und Europa gebe, scheine damit zusammenzuhängen, dass die Software nicht mehr von Angreifern kontrolliert werde, sondern sich automatisch verbreite, sagt Shulman. Was wiederum für das Kammergericht in Berlin bedeutet, möglicherweise für die Uni in Gießen: All das sind keine bewusst angesteuerten Ziele, sondern zufällige Opfer einer Attacke, die einfach schaut, in welche Systeme sie eindringen kann. In vielen Fällen, sagt Shulman, könne man Malware-Dateien nicht entschlüsseln oder mit dem Angreifer kommunizieren. Ist das nicht der Fall, ist es schwer, herauszufinden, wer dahintersteckt. 

Neben der Verbreitung per Word-Anhang, auf die auch der T-Systems-Bericht eingeht, nennt Shulman auch die PDF-Dateien und Lücken im Router als potenzielle Infektionswege. 

Speziell Emotet falle meistens über Mailserver ein, sagt Melanie Volkamer. Wer sich schützen will, solle daher dafür sorgen, dass die Schadsoftware auf Mailserverseite erkannt werde und dass die Mailserver so konfiguriert sind, dass die von Emotet verwendeten Makros nicht reinkommen. 

Hinzu kommt: "Je älter das Betriebssystem, desto gefährlicher ist es", sagt Shulman. Laut dem T-Systems-Bericht wurde auf einem der infizierten Rechner beim Berliner Kammergericht Windows 7 verwendet – eine Version des Microsoft-Betriebssystems, die bereits so in die Jahre gekommen ist, dass sie seit Januar 2020 nicht mehr aktualisiert wird.  

Ein Trojaner, der sich meist darüber verbreitet, dass Word-Anhänge in Mails angeklickt werden? Das klingt nach einem Angriff, der mal wieder auf das Glied in der IT-Sicherheitskette zurückgeht, das von IT-Experten gerne mal als das Schwächste bezeichnet wird: die Userin oder den User nämlich. 

Eine solche Sichtweise will Shulman aber nicht stehen lassen. IT-Sicherheitsbeauftragte und Netzwerkadministratoren seien in Firmen dafür verantwortlich, dass alle Geräte in einem Netzwerk sicher seien, sagt Shulman. "Man kann nicht erwarten, dass die Nutzer das selbst wissen." Fehlende Updates oder Patches seien die Tür für Angriffe wie Emotet. Das größte Problem sei, alle Geräte zu identifizieren und Sicherheitslücken zu flicken. 

Ähnlich sieht das Melanie Volkamer. Bis es zu einer Infektion mit Emotet komme, gebe es viele Stellen, an denen man die hätte verhindern können, sagt sie: Warum kommt die Mail mit dem infizierten Anhang überhaupt im Postfach des Mitarbeiters an? Wer ist Ansprechpartner im Unternehmen, wenn etwas verdächtig erscheint? Wen kontaktiert man, wenn man auf den Anhang geklickt hat? Hätte ein Mitarbeiter sehen können, dass die Mail verdächtig ist? 

Und dann sagt Volkamer diesen Satz, der rund um Sicherheitslücken wie diesen immer wieder laut wird: Unternehmen und öffentliche Einrichtungen sollten mehr Geld in die Hand nehmen, damit das Team für IT-Sicherheit vergrößert und die Technik fachgerecht bedient werden könne. 

Ein Bereich, in dem man beim Berliner Kammergericht in den kommenden Monaten noch so einiges nachzuholen haben dürfte“.

Vor dem Hintergrund dieser Diskussion frage ich daher, wie die Regionsverwaltung vor Angriffen von Malware geschützt ist:

1. Entspricht die Sicherheitsarchitektur der IT-Systeme der Verwaltung aktuellen Standards? 

2. Ist das Netzwerk der Verwaltung ausreichend segmentiert?

3. Werden Log-Dateien ausreichend gespeichert?

4. Verfügen Nutzer über lokale Administratoren-Accounts?

5. Entsprechen die Antiviren-Software und die angewandten Browser der Verwaltung dem aktuellen Standard?

6. In welchen Zeitintervallen werden regelmäßige Back-ups erstellt?

7. Werden regelmäßige Sicherheitstests des Datennetzes und der Server durchgeführt? Wenn ja, wie und durch wen?

8. Mit welchen Maßnahmen wird die Belegschaft der Verwaltung für das Thema „IT-Sicherheit“ sensibilisiert?

9. Verfügt die Region Hannover über einen konkreten Ansprechpartner für die Verwaltungsmitarbeiterinnen und Verwaltungsmitarbeiter, wenn ihnen etwas Verdächtiges bezüglich einer Cyberattacke auffällt? 

10. Wie viele Mitarbeiterinnen und Mitarbeiter sind für die IT-Sicherheit der Region Hannover verantwortlich? Sollte aus Sicht der Verwaltung diese Anzahl erhöht werden? 

11. Wie hoch ist die Summe, die jährlich von der Regionsverwaltung für IT-Sicherheit ausgegeben wird?

12. Hat es in den letzten drei Jahren einen erfolgreichen Angriff auf die Verwaltung der Region Hannover gegeben?

13. Existiert ein Notfallplan für den Fall, dass die Regionsverwaltung Opfer einer großen Malware-Attacke wird?

Mit freundlichen Grüßen                                                         

Bernward Schlossarek                                                 

-Regionsabgeordneter-