BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/20028 21. Wahlperiode 07.02.20 Schriftliche Kleine Anfrage der Abgeordneten Jennyfer Dutschke und Michael Kruse (FDP) vom 31.01.20 und Antwort des Senats Betr.: Cyberangriff auf das Berliner Kammergericht – Sind „Emotet“ & Co. auch in Hamburg noch eine Gefahr? Im Herbst 2019 entdeckten Mitarbeiter des dortigen IT-Dienstleistungszentrums einen Cyberangriff auf das Berliner Kammergericht, wozu nun ein Gutachten veröffentlicht wurde. Anscheinend wurde das Berliner Gerichts- Netzwerk durch das Schadprogramm Emotet infiltriert. Dabei handelt es sich um einen Trojaner, der sich insbesondere via E-Mail selbstständig weiterverbreiten kann. Die Schadmails sind zuweilen täuschend echt, da sie plausible Betreffzeilen und Signaturen verwenden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt entsprechend.1 Ursprünglich als Trojaner zur Erbeutung von Banking-Daten entwickelt, stellen Emotet und ähnliche Schadsoftwares eine nach wie vor immense Bedrohung für Unternehmen und Behörden dar. Im Falle des Berliner Kammergerichts gab der Justizsenator zu, dass die Täter vermutlich jegliche Daten exfiltrieren konnten, da durch Emotet weitere Schadsoftware (namentlich TrickBot) in das System eingeschleust werden konnte. Gemäß Medienberichterstattung stehen vermutlich organisierte Kriminalität oder ausländische Nachrichtendienste hinter dem Angriff.2 Das erstellte Gutachten weist allerdings auch auf Mängel in der Berliner IT-Sicherheitsarchitektur hin. Dementsprechend sei der Trojaner unter anderem nicht von McAfees Endpoint Protection Lösung erkannt worden und es habe keine ausreichende Netzwerksegmentierung gegeben.3 Vor diesem Hintergrund fragen wir den Senat: Das Security Operations Center (SOC) bei Dataport beobachtet seit November 2018 intensiv den Verlauf der Emotet-Kampagne und passt die technischen und organisatorischen Maßnahmen in enger Abstimmung mit dem zentralen Informationssicherheitsmanagement der Freien und Hansestadt Hamburg den aktuellen Entwicklungen an. Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: 1 Vergleiche https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/ emotet.html. 2 Vergleiche https://www.tagesspiegel.de/berlin/cyberangriff-auf-berliner-kammergerichtrussische -hacker-koennten-justizdaten-gestohlen-haben/25477570.html. 3 Vergleiche Vorläufiger forensischer Abschlussbericht zur Untersuchung des Incidents beim Berliner Kammergericht – Cyber Defense Center (CDC) and Cyber Emergency Response Team (CERT) T-Systems International GmbH. Drucksache 21/20028 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 1. Sind dem Senat beziehungsweise zuständigen Dienststellen oder Dataport Vorkommnisse beziehungsweise „Infektionen“ von Netzwerkkomponenten beziehungsweise Rechnern im Zusammenhang mit einem möglichen Angriff mit Emotet oder ähnlicher Schadsoftware auf die Freie und Hansestadt Hamburg bekannt? Wenn ja, um wie viele Fälle handelt es sich und wann wurden diese jeweils entdeckt? Folgende Vorkommisse wurden festgestellt: Anzahl der Infektionen Entdeckungszeitpunkt 1 26.11.2018 1 03.12.2018 4 05.12.2018 3 06.12.2018 1 07.12.2018 1 12.12.2018 1 20.05.2019 1 22.05.2019 1 17.01.2020 1 28.01.2020 2. In welchem Umfang lagen Daten von Bediensteten der Freien und Hansestadt Hamburg zum Beispiel in Zusammenhang mit Zeugenaussagen oder Ähnliches beim Berliner Kammergericht vor? Sind die entsprechenden Daten infolge des eingangs beschriebenen Vorfalls an Dritte abgeflossen ? Dazu liegen dem Senat keinerlei entsprechende Erkenntnisse vor. 3. Auch Netzwerke der Freien und Hansestadt Hamburg sind durch den Virenschutzbetreiber McAfee geschützt. Ist zuständigen Dienststellen beziehungsweise Dataport eine entsprechende Fehlbarkeit des Antivirenprogramms bekannt? Wenn ja, wann wurden Schritte eingeleitet, um diese zu beseitigen? Der Hauptübertragungsweg für den Emotet-Schadcode findet per E-Mail statt. Die E-Mail-Infrastruktur der Freien und Hansestadt Hamburg wird durch eine mehrstufige Sicherheitsarchitektur geschützt, in der der Virenscanner von McAfee nur eine von mehreren Sicherheitskomponenten darstellt. Dies vorausgeschickt sind den zuständigen Dienststellen und Dataport aktuell keine Fehlbarkeiten bekannt. Selbst wenn diese künftig auftreten sollten, bestünde aufgrund der Nutzung mehrerer unterschiedlicher Virenscanner ein nur sehr begrenztes Risiko. 4. Inwieweit können die im Gutachten genannten Sicherheitslücken der Berliner IT-Infrastruktur (mangelnde Segmentierung, keine Filterung am Gateway, keine Proxy-Logdaten, lokale Administratoren, mangelnde AD-Logs) auch in Netzwerken der Freien und Hansestadt Hamburg auftreten ? Die in der Fragestellung genannten Sicherheitslücken werden im Netzwerk der Freien und Hansestadt Hamburg durch zahlreiche technische und organisatorische Maßnahmen verhindert. 5. Welche Maßnahmen ergreifen Senat beziehungsweise zuständige Dienststellen und Dataport, um einem Befall von Rechnern durch Emotet und ähnliche Malware vorzubeugen? Siehe Vorbemerkung.