Wenn Kammergerichtspräsident Bernd Pickel den Notbetrieb in seinem Haus begutachten möchte, muss er nur ein paar Schritte in sein Vorzimmer machen. Dort steht er vor zwei Computern: Auf einem davon befinden sich die alten Datenbestände des Gerichts. Ans Internet angeschlossen ist der PC nicht.
"Dieser Rechner hier erlaubt es, diese alten Daten aus dem Netz, das am 27. September 2019 stillgelegt wurde, noch zu lesen und auszudrucken. Der Arbeitsplatz der daneben steht, ist einer, der schon in unserer neuen Umgebung arbeitet. Hat Internetanschluss, alle Fachverfahren, die wir haben, können bedient werden."
Schadensbegrenzung: Gericht ging vom Netz
Solche Rechner-Kombinationen finden sich im ganzen Haus. Ein Fortschritt im Vergleich zum 27. September: Damals war ein Trojaner im Computersystem des Gerichts entdeckt worden. Um den Schaden zu begrenzen, zog das Gericht den Stecker und ging erst einmal vom Netz: 550 Computer und 100 Server wurden deaktiviert. Ein radikaler Vorgang.
"Das erste Gebot war sichern, sichern, sichern. Und das macht man eben am besten, indem man dem Virus die Möglichkeit nimmt, sich weiter zu verbreiten. Und deswegen ist es entschieden worden, dass man erst einmal das Kammergericht vom Internet trennt."
"Emotet" nennt sich die Schadsoftware, die sich das Kammergericht eingefangen hatte. Der Trojaner gelangt meist über den Anhang einer authentisch erscheinenden E-Mail ins System. Und gräbt sich dort weiter, wie die IT-Sicherheitsexpertin Silvana Rößler beschreibt.
"Er schaut nach Passwörtern, die er abgreifen kann, geht über Netzwerkfreigaben und arbeitet sich dann so von Rechner zu Rechner weiter. Bei Emotet zum Beispiel gibt es auch die Möglichkeit, andere Schadsoftware nachzuladen. Und sehr oft beobachten wir dann mit einem zeitlichen Abstand auch das Nachladen von einem Verschlüsselungstrojaner."
Häufig folgt IT-Erpressung: Systemfreigabe gegen Geld
Solche Verschlüsselungsprogramme sperren das gesamte System, es folgt meist IT-Erpressung: Systemfreigabe gegen Geld – gerade Unternehmen beklagten massive Schäden durch diese Kriminalitätsform. Die Erpressung blieb dem Kammergericht erspart – vermutlich auch, weil man schnell genug vom Netz ging. Aber die Schwachpunkte, die im Zuge der Aufarbeitung sichtbar wurden, waren gravierend genug: So hatte die IT-Abteilung selbst den Angriff zunächst gar nicht erkannt. Das Anti-Virus-Programm war nicht auf dem aktuellen Stand, Filter fehlten. Vor allem aber war das Netzwerk nicht ausreichend segmentiert, also in verschiedene Schutzbereiche aufgeteilt: die Täter hatten deshalb vollen Zugriff.
"Der Schaden war nicht genügend segmentiert. Es war eben nicht auszuschließen, dass dieser Virenbefall unser ganzes System – und nicht nur den Bereich, wo er vielleicht eingeschlagen hat – dann betraf." Relevante Netzwerkprotokolle, die dokumentieren, welche Daten wohin fließen, löschte das Computersystem automatisch. Genau deshalb ist die entscheidende Frage bislang ungeklärt: Sind sensible Daten in fremde Hände gelangt?
Immerhin ist das Kammergericht einem Oberlandesgericht – also einer wichtige Berufungs- und Revisionsinstanz. Es geht um Urteile und Beschlüsse, die Namen, Falldetails und andere personenbezogene Daten enthalten. Zur Zuständigkeit des Kammergerichts gehören auch Staatsschutz-Angelegenheiten wie Terrorismus.
Datenabfluss ungeklärt - Untersuchung könnte zwei Jahre dauern
Marcus Mollnau von der Rechtsanwaltskammer Berlin fordert deshalb dringend Klarheit:
"Wir wollen auch Aufklärung und Informationen haben, ob es tatsächlich die Möglichkeit gab, dass Daten abgeflossen sind und welche Daten das waren."
Mitarbeiter-Zugangsdaten zum alten System seien sehr wahrscheinlich abgeflossen, so das Kammergericht. Aber das alte System sei ja abgeschaltet worden. Ein externes Gutachten hält die Frage nach dem Abfluss weiterer Daten derzeit de facto für nicht beantwortbar.
Eine eingehende Untersuchung wäre aufwändig: Der grüne Berliner Justizsenator Dirk Behrendt rechnet mit einer Dauer von zwei Jahren und Kosten in zweistelliger Millionenhöhe. Immerhin, heißt es mit bitterem Humor in der Stadt, seien Berliner Gerichte ja als Papierbetriebe bekannt und wenig digitalisiert.
Es hätte also schlimmer kommen können. Oder auch besser: Dass das Kammergericht seine Informationssysteme weitestgehend selbstverwaltete, gilt als ungewöhnlicher Sonderweg. Es habe an Kompetenz gefehlt, kritisieren Politiker.
Die elf Amtsgerichte und das Landgericht waren deshalb zum Beispiel schon lange unter den Schirm des staatlichen Berliner IT-Verwaltungsdienstleisters ITDZ geschlüpft. Die Berliner IT-Staatssekretärin Sabine Smentek drückt es so aus:
"Die Gerichte haben sich da unterschiedlich positioniert und können selbstverständlich die Leistungen des ITDZs, wie jede andere Verwaltung auch, in Anspruch nehmen. Und das Kammergericht hat das an dieser Stelle zurückhaltend gemacht."
Sonderweg des Gerichts in der IT-Sicherheit jetzt beendet
Kammergericht-Präsident Pickel betont, eigene Anwendungen, aber auch Einfluss auf die Weiterentwicklung der IT-Systeme seien der Grund für den Sonderweg gewesen. Der nun beim Neuaufbau vorbei ist.
"Ich glaube, die Bedrohungslage hat sich allgemein durch diese neue Generation von Viren wie Emotet eben so entwickelt, dass nur noch die ganz Großen, die wirklich auf einem hohen, professionellen Niveau für IT-Sicherheit sorgen können - und die das anders als wir als ihre Hauptaufgabe machen – dass man es denen überlassen muss, die wirklich ganz sensiblen Daten professionell zu administrieren."
"Das Kammergericht ist überall"
In wenigen Tagen hofft das Kammergericht, endgültig an das Netz des ITDZ gehen zu können. Im März soll wieder jeder Mitarbeiter an einem eigenen PC arbeiten. Und die Folgen? Zwar beschäftigt sich das Abgeordnetenhaus mit der politischen Aufarbeitung, personelle Konsequenzen sind derzeit jedoch unwahrscheinlich. Genau wie Strafen: Die Datenschutzbeauftragte kann nicht einmal ein Bußgeld erlassen, weil es sich beim Kammergericht um eine öffentliche Einrichtung handelt.
Und so bleibt der Fall vor allem ein warnendes Beispiel, das sich wiederholen könnte: Wildwuchernde IT-Systeme, über Jahre mitgeschleppte Spezialanwendungen und mangelnde Datenschutz-Kompetenz werden in vielen Verwaltungen beklagt. Und treffen auf wachsende Digitalisierung, neue Angriffswege und immer ausgeklügeltere Phishing-Methoden.
Die Berliner IT-Staatssekretärin Sabine Smentek formuliert es so: "Na, das Kammergericht ist eigentlich überall."