Am 19. Dezember vergangenen Jahres blieben die Türen der Bürgerämter in Frankfurt am Main verschlossen. Auch die Webseite der Stadt war nicht erreichbar. Selbst die Ausleihe in den Stadtbüchereien funktionierte nicht. Und auch die Mitarbeiter der Verwaltung selber waren zwangsweise offline. Im Computersystem der Stadt war eine Schadsoftware gefunden worden. Die Verantwortlichen traten die Notbremse - und hatten das ganze System abgeschaltet.
Der Frankfurter IT-Dezernent Jan Schneider erinnert sich: "Ende letzten Jahres ist in einem unserer Ämter eine E-Mail eingegangen mit einer Schadsoftware. In dem Fall mit einer Anlage, in der ein Virus versteckt war. Und von dort an sind bestimmte Sicherheitsmechanismen in Kraft gesetzt worden, die in diesem Fall sehr weitreichend waren. Die diesmal soweit gingen, dass wir wirklich die komplette städtische IT-Landschaft getrennt haben vom Netz. Was wir in dieser Form und in dieser Tragweite noch nie machen mussten."
Emotet heißt die Schadsoftware, die nicht nur Verwaltungen lahmlegen kann: Sie gehört laut Bundesamt für Sicherheit in der Informationstechnik zu den derzeit größten Cyberbedrohungen für Computer-Systeme von Bürgern, Institutionen und Unternehmen. Das beginnt schon damit, dass Emotet sich über eine neue Form von personalisiertem Spam verbreitet: Ein Trojaner durchsucht zunächst das E-Mail-Postfach von infizierten Computern. Cyberkriminelle nutzen dann das Wissen, wer mit wem über welches Thema kommuniziert hat: Sie schicken eine gefälschte E-Mail, die Absender und Thema imitiert. Ein Prozess, der bereits häufig automatisiert läuft, mit Hilfe von Texterkennungs-Software auf Basis der Künstlichen Intelligenz.
Die IT-Sicherheitsanalystin Silvana Rößler beschreibt die Methode an einem Beispiel: "Da hab' ich mal einem Kontakt vor Wochen geschrieben: Liebes Hotel XY, ich würde gerne ein Hotel bei Euch buchen. Emotet beantwortet so eine Mail, als wäre es das Hotel beispielsweise. Und schickt mir dann diese Antwort zurück mit einem Link oder Dokument, "Bitte öffnen Sie folgendes Dokument, da finden Sie weiterführende Informationen", und und und. Ich sehe: Ach, das kommt ja von einem Kontakt, dem ich vor kurzem geschrieben hab‘, mit der Firma haben wir Verträge - öffne dann natürlich nichtsahnend die Mail und habe dann sozusagen den Trojaner im System."
Erst einmal ins Netzwerk eingedrungen, öffnet Emotet die Tür für weitere Schadprogramme, die dann nachgeladen werden. Tim Berghoff von der Internet-Sicherheitsfirma G-Data:
"Das kann ein Infostealer sein, der nur darauf ausgelegt ist, Daten abzugreifen. Das kann aber genauso gut eine Ransomware sein, die dann natürlich ihrem Wesen entsprechend Daten im Netzwerk verschlüsselt und ein entsprechendes Lösegeld dann eben fordert."
Um die Ransomware genannte Erpressungssoftware hat sich eine hochprofessionelle Branche von Internet-Kriminellen entwickelt: Unternehmen verlieren bares Geld, wenn wichtige Daten plötzlich verschlüsselt sind oder sogar das ganze System gesperrt ist. Und zeigen sich deshalb häufig zahlungsbereit. Die Fälle ziehen sich quer durch die Wirtschaft, erzählt IT-Sicherheitsexpertin Rößler aus der Praxis. "Das fängt an beim kleinen Schornsteinfeger, geht über Anwaltskanzleien, beispielsweise kleine, mittelständische Produktionsunternehmen bis hin tatsächlich zu großen Mittelständlern mit zweieinhalbtausend PC."
Trojaner schnell genug erkannt
Ermittlern zufolge kursieren sogar Listen mit Jahresumsätzen. An denen orientieren sich dann die Lösegeldforderungen. Ein weiteres Zeichen der Professionalisierung: Bei Fragen zur Bezahlung bieten die Kriminellen oft sogar eine Art Kundenservice an.
Die Kriminalpolizei kommt den Angreifern bislang selten auf die Spur. Teilweise werden sie in Osteuropa vermutet, allerdings sind sogenannte "Ransomware Gangs" längst ein globales Phänomen. Ihre Spuren haben sie in der Regel gut verwischt, oft kann das Herkunftsland der Angriffe nur aufgrund von kleinen Details im Programmcode identifiziert werden. Auch die Lösegeld-Zahlung wird über die als anonym geltende Crypto-Währung Bitcoin abgewickelt.
Philipp Amann, Leiter der Strategieabteilung des European Cybercrime Centre bei Europol: "All das erzeugt dann eine Situation, wo Kriminelle sich… wo so eine Asymmetrie da ist, nicht, also: relativ hoher Gewinn versus geringerem Risiko aus polizeilicher Sicht da jetzt auch wirklich aufzufliegen."
Ermittler warnen Firmen davor, Lösegeld zu bezahlen, weil sie sich damit als williges Opfer zu erkennen geben. Unternehmen halten Digital-erpressungen ihrerseits oft geheim. Das Bundesamt für Sicherheit in der Informationstechnik kann deshalb über Ausmaß der Fälle und Schäden nur wenig sagen. Öffentliche Einrichtungen dagegen können Schadsoftware-Befall kaum verheimlichen. Die Liste der Emotet-Opfer aus den vergangenen 24 Monaten ist lang: Kleinere Städte wie das niedersächsische Neustadt am Rübenberge erlebten, wie Verwaltungsdaten verschlüsselt wurden. Das Klinikum Fürstenfeldbruck musste im Herbst 2018 zwischenzeitlich alle Rechner abschalten. Die Universität Gießen ging im Dezember 2019 offline und musste 38.000 neue Passwörter vergeben. Die katholische Hochschule Freiburg und die Medizinische Hochschule Hannover wurden ebenfalls Opfer.
Die Stadt Frankfurt konnte ihre Systeme im Dezember bereits nach gut 24 Stunden wieder hochfahren. Und das ohne Datenverlust: Der Trojaner war schnell genug erkannt worden.
Anders verhielt es sich beim Berliner Kammergericht. Ende September 2019 entdeckte man dort die Schadsoftware im System, und musste nicht nur 550 Computer und 100 Server abschalten sondern seitdem dauerhaft im Notbetrieb arbeiten. Wie im Vorzimmer von Kammergerichtspräsident Bernd Pickel zum Beispiel: Zwei Computer stehen nebeneinander, einer davon ist nicht am Netz.
"Dieser Rechner hier erlaubt es, diese alten Daten aus dem Netz, das am 27. September 2019 stillgelegt wurde, noch zu lesen und auszudrucken. Der Arbeitsplatz der daneben steht, ist einer, der schon in unserer neuen Umgebung arbeitet, hat Internetanschluss. Alle Fachverfahren, die wir haben, können bedient werden."
Solche Kombinationen gibt im ganzen Haus: Die Daten auf den infizierten Computern müssen vom Netz getrennt bleiben; nebenbei lässt das Kammergericht eine völlig neue IT-Infrastruktur mit 550 neuen Computern aufbauen. Ende März soll der Normalbetrieb weitestgehend wiederhergestellt sein – sechs Monate nach dem Schadsoftware-Angriff.
Der Fall des Berliner Kammergerichts sorgte bundesweit für Schlagzeilen. Auch deswegen, weil immer neue Versäumnisse bekannt wurden. So hatte die Virussoftware nicht funktioniert, der Befall war zudem lange nicht erkannt worden. Vor allem aber konnte die Schadsoftware sich ungehindert ausbreiten: Man hatte auf die Netzwerk-Segmentierung verzichtet. Das infizierte das gesamte System.
Tim Berghoff von G-Data zieht den Vergleich zum Brandschutz: "Das heißt: Ähnlich wie wir es im Bauwesen haben, da unterteilen wir dann ein Netzwerk analog dazu in, ja man kann sagen: unterschiedliche rituelle Brandabschnitte. Das heißt: Selbst wenn jemand es schafft, in einen bestimmten Bereich des Netzwerks einzudringen, hat er damit nicht automatisch Zugriff auf alle anderen Bereiche des Netzwerkes. Das ist zum Beispiel eine Sache, die im Falle des Kammergerichts Berlin eben auch angemahnt worden ist, dass diese Segmentierung auch fehlte."
Ein weiteres Problem: Weil wichtige Protokoll-Dateien automatisch gelöscht wurden, ist de facto nicht mehr feststellbar, ob sensible Daten in fremde Hände gelangten.
Das Kammergericht ist als Oberlandesgericht eine wichtige Berufungs- und Revisionsinstanz. Es geht um Urteile und Beschlüsse, die Namen, Falldetails und andere personenbezogene Daten enthalten. Zur Zuständigkeit des Kammergerichts gehören auch Staatsschutz-Angelegenheiten wie Terrorismus. Digitale Akten fand das Spähprogramm allerdings noch nicht - sie müssen bundesweit erst 2026 eingeführt worden sein.
Die zunehmende Digitalisierung des Betriebs ist ein Grund, weshalb andere Gerichte der Stadt ihre IT längst in die Hand des staatlichen Dienstleister des Landes Berlin, ITDZ, gegeben haben. Das Kammergericht jedoch bestand bis zum Emotet-Befall auf ein eigenes Rechenzentrum.
Ein Fehler, wie Kammergerichtspräsident Pickel inzwischen einräumt: "Ich glaube, die Bedrohungslage hat sich allgemein durch diese neue Generation von Viren wie Emotet eben so entwickelt, dass nur noch die ganz Großen, die wirklich auf einem hohen, professionellen Niveau für IT-Sicherheit sorgen können. Und die das, anders als wir, als ihre Hauptaufgabe machen. Unsere Hauptaufgabe ist die Rechtsprechung, das muss man ja immer sagen, nicht, die IT zu leiten."
Eine gewisse Schlampigkeit
Der Leiter der IT-Abteilung hat das Kammergericht inzwischen verlassen, das Gericht hat das neue Netzwerk unter den Schirm des Berliner IT-Dienstleisters ITDZ aufbauen lassen. Der grüne Berliner Justizsenator Dirk Behrendt rechnet damit, dass eine genaue Untersuchung des Falles zwei Jahre dauern und eine zweistellige Millionensumme verschlingen würde. Schadsoftware-Angriffe lassen sich niemals völlig ausschließen, betonen alle Experten unisono.
Dass es Trojanern wie Emotet aber manchmal besonders einfach gemacht wird, hat auch historische Gründe: Die IT-Systeme von Verwaltungen, Universitäten oder auch Unternehmen stammen nicht selten aus der Frühzeit des modernen Internets. Und sie beherbergen oft Spezialanwendungen, die hausintern programmiert wurden. Und so wachsen komplexe Datenbank- und Software-Landschaften, die zwar aktualisiert werden, aber oft nicht unbedingt nach Sicherheitskriterien.
Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt, beobachtet die Entwicklung der Netzwerksicherheit in Deutschland. Die gewachsene Komplexität sei ein Kernproblem: "Große Organisationen neigen dazu, dass sie sehr viel Wildwuchs haben in der IT. Das heißt, wenn eine Organisation feststellt, da gibt es einen Befall, dann muss man erstmal mit relativ viel Aufwand herausfinden: Wo sitzt denn die Schadsoftware? Welche Server sind betroffen? Welche Server hat man eigentlich? Welche Rechner hat man eigentlich? Klingt einfach, ist allerdings tatsächlich in vielen Organisationen ein großes Problem."
Silvana Rößler wiederum erlebt bei Firmen und Einrichtungen, die sie nach Schadsoftware-Befall betreut, oft eine gewisse Schlampigkeit: "Ransomware bestraft die Sünden, die wir tatsächlich in den letzten Jahren in der IT betrieben haben. Wir kommen immer wieder in Strukturen, da gibt es noch Windows-XP-Rechner. Da steht ein Server unter dem Schreibtisch vom Chef, von dem der ITler gar nichts weiß. Da werden Sicherheitslücken nicht gepatcht. Und das öffnet natürlich Tür und Tor für Angreifer; das macht es dem Angreifer umso leichter."
Das Berliner Kammergericht erlaubte Richtern beispielsweise bis zum Emotet-Befall, Daten per USB-Stick zu transportieren, um von zuhause aus zu arbeiten. Eine Praxis, die bereits seit Jahren als unsicher gilt. Solche problematischen Kompromisse erleben viele Büro-Angestellte jeden Tag, wenn sie Sicherheitswarnungen am Bildschirm routiniert wegklicken, weil sie in der Regel überflüssig sind.
So infiziert Emotet Rechner über sogenannte Makros im Textverarbeitungsprogramm Word. Dabei handelt es sich um Mini-Programme, die in Dokumente eingebaut sind, und die viele Büro-Angestellte im Alltag oft trotz bekannter Sicherheitsrisiken aktivieren können, um Tabellen-Berechnungen zu automatisieren.
Designte menschliche Schwachstellen
Linus Neumann vom Chaos Computer Club spricht hier von designten menschlichen Schwachstellen: "Wenn wir den Nutzerinnen eine Warnung anzeigen: Wie viele Male wird diese Warnung im normalen Arbeitsalltag der Person einen Sinn haben? Und wie viele Male muss sie ignoriert werden? Und wenn eine Warnung im Rahmen des normalen Arbeitsalltages fünfmal auftaucht, dann können wir nicht davon ausgehen, dass sie beim hundertachtundzwanzigsten oder tausendsten Mal, wo es dann endlich ein einziges Mal ist, dass diese Warnung sinnvoll ist, dass diese Person da anders reagieren wird."
Ohnehin kritisiert Neumann, dass IT-Sicherheit traditionell sehr eindimensional gedacht wird: Nämlich im Sinne der reinen Verteidigung vor Angriffen. Organisationen hätten vor allem in Virenscanner und Firewalls investiert, und damit in das Versprechen, das überhaupt nie ein Schaden eintreten werde.
"Daran haben offenbar viele IT-Sicherheitsverantwortliche, wenn es sie überhaupt gab, geglaubt. Und haben nun genau diese beiden systematischen Schwachstellen: Dass sie Angriffe, wenn sie dann aber doch passieren, eben nicht feststellen oder nicht früh genug bemerken. Und zweitens, wenn ein Schaden entstanden ist, nicht in der Lage sind, diese dann doch sehr komplexe IT möglichst schnell wieder in die Gänge zu bekommen."
Sicherheitsexperten fordern deshalb bereits länger ganzheitliche Konzepte. Linus Neumann vom Chaos Computer Club spricht von drei Ebenen:
"Die erste Linie wäre: Ein Angriff soll überhaupt nicht passieren, darf gar nicht erst passieren. Also Verteidigung. Das Zweite: Wenn ein Angriff passiert, möchte ich das möglichst schnell feststellen, möglichst schnell merken, um unter Umständen noch den größten Schaden zu verhindern. Und die dritte Verteidigungslinie wäre also die Wiederherstellung des Systems, um den entstandenen Schaden also so gering wie möglich zu halten."
Solche Verteidigungskonzepte kosten allerdings Geld. Verwaltungen in ganz Deutschland bauen gerade ihre IT-Netzwerke um, vereinheitlichen Systeme, schaffen Standards und klarere Strukturen in der Cybersicherheit. Weniger Vielfalt, mehr Schutz.
Alleine am Verwaltungsnetz des Landes Berlin hängen zum Beispiel 82.000 Rechner. Bis ungefähr 2026 soll das System vollständig erneuert sein, eine Mammutaufgabe. Doch wenn es um die notwendigen Investitionen geht, konkurriere man in den kommenden Jahren mit anderen Infrastrukturprojekten, sagt Sabine Smentek, die Staatssekretärin für Informations- und Kommunikationstechnik.
"Wir haben im Bereich der IT genau das gleiche Problem wie in anderen Bereichen auch: Es ist 20 Jahre nicht stringent investiert worden. Und wir stehen da in Konkurrenz zu Radfahrwegen, zu Schulbau und Schulsanierung bis hin zur Frage, wie wir unsere Polizeidienststellen sanieren. Und man kann auch im Landeshaushalt das Geld nur einmal ausgeben."
Sicherheitsanalysten rechnen damit, dass die Bedrohungslage durch Software wie Emotet konstant hoch bleibt.
Tim Berghoff: "Die Entwickler hinter Emotet arbeiten sehr professionell und pflegen die Software auch entsprechend. Und es wird natürlich auch dafür Sorge getragen, dass eine momentan aktuelle Version von Emotet solange wie möglich unbeobachtet bleibt. Das Ergebnis ist, dass wir da teilweise bis zu 300 neue Varianten pro Tag von dieser Schadsoftware bei in uns in der Telemetrie sehen."
Cyberkriminelle setzen auf neue Drohszenarien
Mit der digitalen Vernetzung von Alltagsgegenständen und Maschinen, bieten sich zudem künftig weitere Einfallstore. Und die IT-Sicherheitsanalystin Silvana Rößler rechnet damit, dass die Erpresser ihre Gewinne sogar stärker maximieren werden. "Meines Erachtens nach werden auch die Angriffe wirklich ausgeklügelter. Wenn ein Unternehmen verschlüsselt wird, sind es sehr oft Trojaner, die dann Lösegeld pro verschlüsseltem Rechner und nicht mehr pro verschlüsseltes Unternehmen wollen."
Zudem setzen die Cyberkriminellen inzwischen auf neue Drohszenarien, so Europol-Stratege Amann: "Was jetzt bestimmte Ransomware-Familien machen ist, dass diese Daten dann auch öffentlich gemacht werden. Das heißt die Drohung an das Opfer ist: Wenn nicht gezahlt wird, dann werden die Daten auch öffentlich gemacht. Und auf der einen Seite können das unter Umständen sensitive Daten sein, das heißt, da gibt es auch einen Schaden grundsätzlich einmal. Aber eben auch unter den Datenschutzverordnungen gibt‘s dann auch noch ein zusätzliches finanzielles Risiko."
Ist es also nur eine Frage der Zeit, bis Wellen von gehackten Bürgerdaten ins Netz schwappen, weil sich die Verwaltungen nicht ausreichend schützen konnten? Immerhin tauschen sich die Kommunen in den Bundesländern seit einiger Zeit intensiver über Gefahrenquellen und Gegenmaßnahmen aus. Ein Anfang.
In der Berliner Verwaltung hat der Kammergerichtsvorfall zu einer Sensibilisierung des Personals geführt. Keine Verwaltung sei vor solchen Angriffen gefeit, so IT-Staatssekretärin Smentek. Aber: "Ich merke aber schon, alleine an dem Verhalten unserer Mitarbeitenden, dass sie da bewusster werden. Wir haben ja mit dem Cert in Berlin quasi die Zentrale der IT-Sicherheit und dort gehen seit dem Vorfall vom Kammergericht immer mehr Meldungen ein, wo Beschäftigte der Berliner Verwaltung sagen: Ich hab hier so 'ne E-Mail bekommen, könnt ihr die mal prüfen, ist da vielleicht irgendetwas nicht ganz sauber? Das zeigt, dass sich die Beschäftigten da mehr Gedanken machen als noch vor einem halben Jahr."
Und auch der Frankfurter IT-Dezernent Jan Schneider kann dem Schadsoftware-Befall der Stadt eine positive Seite abgewinnen: Es habe gezeigt, wie abhängig Ämter, Verwaltung und auch Bürger von der IT-Sicherheit sind: "Ich habe schon aber bei uns auch wahrgenommen, dass in den politischen Diskussionen die Wahrnehmung sich dadurch ein Stück weit verändert hat. Also, dass man merkt, das sind nicht nur mahnende Worte des IT-Dezernenten zum Beispiel, in die man ja auch immer hineininterpretieren kann: Naja, der wirbt jetzt für mehr Personal und will halt wieder mehr Geld. Sondern dass man merkt, das sind keine Gespenster, die man da sieht, sondern das sind sehr realistische Gefahren."