Wie der Tagesspiegel berichtet, musste nach einem Angriff durch den Erpressungstrojaner Emotet das Berliner Kammergericht vom Netz genommen werden (https://www.tagesspiegel.de/berlin/nach-trojaner-angriff-auf-kammergericht-wie-die-berliner-justiz-gesetze-missachtet/25123650.html?utm_source=pocket-newtab). Die Malware Emotet infiziert Computersysteme und verschlüsselt diese, damit sie nicht mehr genutzt werden können. Meist wird der Infizierte dann zur Zahlung eines hohen Geldbetrags aufgefordert, damit die Systeme wieder freigegeben werden (Wir haben bereits über Emotet berichtet: https://www.tagesspiegel.de/berlin/nach-trojaner-angriff-auf-kammergericht-wie-die-berliner-justiz-gesetze-missachtet/25123650.html?utm_source=pocket-newtab).  Genau dies ist nun bei Berlins höchstem ordentlichen Gericht passiert, sodass die Mitarbeiter und Richter nun nahezu zurück in die Steinzeit katapultiert wurden und wieder mit Zettel und Stift oder sogar mit Schreibmaschine arbeiten müssen.

Wie kam es zum Shutdown?

Zu dieser Situation kam es durch eine Reihe von schlecht oder gar nicht umgesetzten Schutzmaßnahmen und durch die Missachtung von Gesetzen und des Datenschutzes. Das Kammergericht hat als öffentliche Stelle ebenso Art. 32 DS-GVO zu beachten und technische und organisatorische Maßnahmen zu treffen, die die Infektion mit solcher Malware verhindern. Wir möchten hier nun auf die Fehler des Kammergerichts eingehen, um noch einmal auf die Bedeutung von Art. 32 DS-GVO und der technischen und organisatorischen Maßnahmen aufmerksam zu machen. Denn fest steht, wenn das Gericht angemessene Maßnahmen umgesetzt hätte, wäre es nicht zu der Situation eines wochenlangen Stillstands in den IT-Systemen gekommen.

Fehlende Sensibilisierung der Mitarbeiter

Die Mitarbeiter wurden nicht ausreichend zu datenschutzrechtlichen Risiken und Malware sensibilisiert, denn durch irgendeinen Mitarbeiter fand die Infektion mit Emotet statt. Sie sollten Grundregeln zum Umgang mit der IT-Infrastruktur und den bereitgestellten Arbeitsmitteln kennen. Zudem scheint es keine Regelungen zur Nutzung von privaten Geräten und der Mitnahme von sensiblen Gerichtsdaten an den privaten Arbeitsplatz gegeben zu haben. Es muss Standard gewesen sein, dass Richter und Angestellte Daten auf USB-Sticks mit nach Hause an Ihre Privatrechner genommen haben. Hier besteht ein besonderes Risiko in der Infektion mit Malware und dem Verlust bzw. der Offenlegung von sensiblen Daten aus dem Gericht. Es hätten klare Regelungen zu diesen Sachverhalten durch das Gericht getroffen werden müssen.

Keine Angriffserkennung

Eine Angriffserkennung durch die IT-Systeme des Gerichts selbst fand nicht statt. Der Angriff wurde erst erkannt, als der Trojaner auf andere Systeme der Berliner Verwaltung übergreifen wollte. Dies lässt den Schluss zu, dass das Netz des Kammergerichts unzureichend durch Antivirensysteme und Firewalls geschützt ist. Wenn der Angriff durch einen mittlerweile durchaus bekannten Verschlüsselungstrojaner nicht von den Systemen erkannt wird, liegt hier eine eklatante Lücke in der IT-Sicherheit vor.

Kein Back-Up

Derzeit konnte noch nicht geklärt werden, ob ein Back-Up für die Systeme des Gerichts vorhanden ist. Sollte tatsächlich kein Back-Up der Daten vorhanden sein, sind diese verloren, da auch häufig nach der Zahlung des „Lösegelds“ an die Angreifer keine Entschlüsselung erfolgt. Dieses Beispiel verdeutlicht noch einmal wie enorm wichtig regelmäßige Back-Ups der Systeme sind, um Datenverluste zu verhindern. Dies ist nicht nur wichtig für den Schutz von personenbezogenen Daten, sondern auch allgemein für die Arbeitsfähigkeit von öffentlichen Stellen und Unternehmen.

Kein IT-Notfallplan

Dieser Fall offenbart auch, dass es beim Kammergericht kein IT-Sicherheitskonzept oder einen Notfallplan für solche Fälle gibt. Es wurde kein Vorgehen festgelegt, wie mit Notfällen umzugehen ist und wer in solchen Momenten welche Verantwortlichkeiten hat. Durch einen Notfallplan kann man sich auf Notfälle vorbereiten, um schnell handlungsfähig zu sein und gegebenenfalls größeren Schaden zu verhindern.

Letztendlich ist festzuhalten, dass das Kammergericht hier gegen Art. 32 DS-GVO verstoßen und nur unzureichende oder teils gar keine technischen und organisatorischen Maßnahmen getroffen hat. Wären die Regelungen des Datenschutzes und der IT-Sicherheit beachtet werden, hätte es nicht zu diesem Shutdown kommen müssen. Die Konsequenzen dieser Cyberattacke sind für das Gericht, die Mitarbeiter und schließlich auch die Bevölkerung, die auf das Gericht angewiesen ist, noch gar nicht endgültig abzusehen.

Durch dieses Beispiel wird deutlich, dass die Umsetzung von technischen und organisatorischen Maßnahmen sinnvoll und geboten ist.