Kammergericht Berlin: Abschlussbericht zu Emotet-Infektion

Denn schon bei ersten Untersuchungen, die am 2. Oktober erfolgten, war klar, dass nicht alle Informationen zur Verfügung standen, die für eine lückenlose Aufarbeitung erforderlich sind. So fehlten etwa Logdateien des Proxyservers im Kammergericht. Das Logging wurde erst aktiviert, als das Netzwerk bereits Anzeichen einer Infektion zeigte. Somit gibt es auf Seiten des Proxyservers keine Daten aus dem Zeitraum davor. In den nun aktivierten Logs fanden sich erwartbare Informationen – es erfolgte ein Datenaustausch zwischen dem Netzwerk des Kammergerichts und einem Trickbot-Kontrollserver. Die Eventlogs des später ebenfalls untersuchten primären Domain-Controllers reichen nur bis vier Tage vor dem angenommenen Infektionsdatum zurück. 

Um ausreichend historische Daten zu haben, empfiehlt sich als Faustregel ein Zeitraum von 12 Monaten. Im Falle des Kammergerichts reichten die Daten jedoch nur einige Tage zurück, sodass Unregelmäßigkeiten im Zeitraum davor sich nicht mehr rekonstruieren lassen. 

Schnell war klar, dass das Netzwerk in großem Umfang befallen sein musste. Eine Segmentierung, die kritische Komponenten des Netzwerkes voneinander abschirmt, fehlte. So konnte der „Türöffner“ Emotet sich in aller Ruhe durchs Netzwerk bewegen und nach weiteren Opfern Ausschau halten. Auch hatten Nutzer auf ihren Büro-PCs lokale Administratorrechte – gerade diese Kombination aus lokalen Administratorrechten und fehlender Segmentierung kann man nur als fatal bezeichnen. 

Die spannendste Frage in diesem Fall ist jedoch, ob auch das Active Directory kompromittiert ist. Aber: auch hier ist die Datenlage unvollständig. Wir erinnern uns: Die Logs des Domain Controllers reichen nur bis zum 16. September zurück – vier Tage vor dem ersten gesicherten Nachweis einer Infektion. Ein Angreifer kann sich jedoch mitunter über Monate in einem Netzwerk bewegen, ohne Verdacht zu erregen. 
Dabei kann sich ein Angreifer auch selbst einen versteckten Administrator-Zugang für das Netzwerk anlegen, mit dem er jederzeit Zugriff auf alle Ressourcen und alle Daten hat. Aus diesem Grund ist das gesamte Active Directory als kompromittiert anzusehen, da Fremdaktivitäten nicht mit letzter Sicherheit ausgeschlossen werden können.

Daher empfiehlt T-Systems, die die Untersuchung durchgeführt haben, ein komplettes Neuaufsetzen der gesamten Windows-Domäne. Dieser Aufgabe sah sich auch die Reederei Möller-Maersk gegenüber, nachdem das Netzwerk des Logistikunternehmens von einer Schadsoftware namens „NotPetya“ befallen wurde. Hier musste innerhalb weniger Tage weltweit das gesamte Netzwerk neu „hochgezogen“ werden – insgesamt 50.000 Rechner. 
Ganz so viele sind es beim Kammergericht Berlin zwar nicht. In jedem Fall wartet auf das Kammergericht eine große Herausforderung. Denn auch das gesamte Sicherheits- und Berechtigungskonzept muss auf den Prüfstand gestellt und auf den neuesten Stand gebracht werden. Auch die Loggingstrategie müssen die Verantwortlichen neu überdenken. Sowohl für Server als auch die jeweiligen Workstations muss es künftig die richtigen Logs in angemessener Tiefe geben. 

Ob es sich bei dem Malware-Befall des Kammergerichts Berlin um einen gezielten Angriff gehandelt hat oder ob es sich um einen Zufallstreffer handelt, ist nicht sicher. Da die Kombination Trickbot/Emotet jedoch oftmals breit gestreut wird, ist ein „Zufallstreffer“ ohne Weiteres denkbar. 

Fest steht jedoch:  Der Vorfall und die daraus abgeleiteten Maßnahmen haben nur deshalb diese Ausmaße erreicht, weil es keine Logdateien gab, die Netzwerksegmentierung fehlte und es dem Anschein nach kein Berechtigungskonzept gab und eine Vorfilterung nicht stattfand. So heißt es auch im Bericht von T-Systems: „Durch die IT-Infrastruktur wurde aus einem Standardvorfall ein massiver Incident“.