Ende September 2019 kam es am Berliner Kammergericht zum IT-Supergau. Zahlreiche Computer wurden mit den Trojanern Emotet und Trickbot infiziert. Nachdem dieser Sicherheitsvorfall erkannt wurde, wurden die IT-Systeme des Kammergerichts vom Landesnetzwerk abgeklemmt, um eine weitere Verbreitung des Trojaners zu verhindern [1].
In der Folge wurden die kompromittierten Systeme außer Betrieb genommen und verschrottet. Fast 500 Mitarbeiter sind direkt betroffen und müssen den Betrieb bis heute provisorisch aufrechterhalten [2]. „Für einige [Richter] sei die Arbeit von Jahrzehnten dahin“ [3].
Mittlerweile wurden die infizierten Systeme untersucht und ein forensisches Gutachten erstellt [4]. Demnach wurde höchstwahrscheinlich der gesamte Datenbestand gestohlen. Die besondere Brisanz liegt in diesem Fall darin, dass am Kammergericht auch Terrorprozesse behandelt werden und dadurch die Identitäten von Zeugen, verdeckten Ermittlern und Informanten offengelegt wurden.
Offenbar hat man es den Angreifern sehr leicht gemacht die IT-Systeme zu kompromittieren:
- Flaches Netzwerk am Kammergericht [4]
- Ungeregelte Nutzung von USB-Sticks [2, 3]
- Ausbleibende Backups, Schulungen und Sicherheitsupdates [1]
- Geldmangel [1]
- Einsatz hoffnungslos veralteter Software [3]
- Kompetenzgerangel zwischen IT-Serviceeinheiten der Landesverwaltung Berlin [2, 3]
- Vermutlich lag auch keine aktuelle IT-Policy für die Systemnutzer vor [2]
Das erschreckendste Detail an dieser Katastrophe, sie kam mit Ansage [3]. Bereits 2017 hatten Experten die Abschaffung eines auf Windows 95 basierenden Programms gefordert. In einem Gutachten forderten die Experten „Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm“. In 2018 scheint das Kammergericht bereits Probleme mit einem Virus gehabt zu haben [1].
Der eingetretene Schaden ist enorm, sind doch vermutlich hochsensible Daten über Beteiligte in Gerichtsverfahren abgeflossen und damit in kriminelle Hände gelangt. Das Verhalten des Kammergerichts in Bezug auf Schutzmaßnahmen ist unbegreiflich wurde doch schon in einem Gutachten von 2017 dringend eine Modernisierung der IT-Systeme dringend nahegelegt. Der Schaden hätte nicht die katastrophalen Ausmaße oder wäre vielleicht nicht eingetreten, wenn das Kammergericht Berlin konsequent den IT-Grundschutz eingesetzt hätte.
Während jeder Unternehmer Sorge für die Sicherheit seiner IT zu tragen hat und gesetzlich zur Einhaltung der Vorschriften aus BDSG und DSGVO verpflichtet ist und im Fall von Verletzungen der Grundwerte der IT (Vertraulichkeit, Verfügbarkeit, Integrität) mit empfindlichen Strafen rechnen muss, ist in diesem Fall anzunehmen, dass es zu keinen ernsteren Konsequenzen kommen wird.
Der Sicherheitsvorfall am Berliner Kammergericht zeigt wie wichtig es ist IT-Sicherheitskonzepte (IT-Grundschutz, ISO 27001) umzusetzen.
Quellen: