Nach dem Trojaner-Angriff auf das Kammergericht gibt es scharfe Kritik: „Seit Jahren geltende Standards werden dort nicht praktiziert“, sagt die Opposition.

Vor drei Wochen wurde bekannt, dass das Computersystem im Berliner Kammergericht mit dem Trojaner „Emotet“ infiziert ist. Nun mehren sich Anzeichen dafür, dass dort grundlegende Standards im Umgang mit sensiblen Daten systematisch verletzt wurden.

Tagesspiegel-Informationen zufolge war die Nutzung privater Speichermedien wie USB-Sticks zum Transport dienstlicher Daten zwischen Arbeits- und Privatcomputern Alltag unter den mehr als 400 Richtern und Mitarbeitern. Ein Richter erklärt, jeder im Haus habe davon gewusst, viele hätten mitgemacht, auch wenn ein solches Vorgehen in anderen Bereichen der öffentlichen Verwaltung durch interne Weisungen verboten ist.

Erst jetzt, da sich die Folgen des „Emotet“-Befalls für das Gericht und die Mitarbeiter immer klarer abzeichnen, kündige sich ein Umdenken an. Dem Richter zufolge werden die Mitarbeiter des Kammergerichts seit Kurzem per Aushang dazu aufgerufen, private Speichermedien zerstören zu lassen. Eine Abgabestelle für möglicherweise infizierte Speichermedien sei eingerichtet worden.

Der Verlust des USB-Sticks dürfte für Betroffene aber noch das kleinste Übel sein. Experten raten, die für dienstliche Zwecke benutzten und möglicherweise mit „Emotet“ infizierten Privatrechner zu verschrotten. „Emotet dringt in sämtliche Bios-Komponenten eines Rechners ein. Den kriegen Sie da nicht mehr raus“, erklärt ein IT-Unternehmer, der vor seiner Selbstständigkeit über mehrere Jahre in der Berliner Justiz tätig war.

Er sagt: „Viele Juristen denken nicht ansatzweise über den sicheren Umgang mit Daten und ihren Rechnern nach. Es gibt weder Schulung noch Sensibilisierung und selbst wenn es sie gäbe, würden sich die von Berufs wegen unabhängigen Richter darüber hinwegsetzen.“

Vergrößern Per Anhang werden Kammergericht-Mitarbeiter gebeten, private Speichermedien zu zerstören. © Thilo Rückeis

Das bestätigen mehrere Richter des Kammergerichts. Auf die Frage, ob es eine Handreichung gebe, eine sogenannte IT-Policy, die von allen, die mit Daten hantieren, unterschrieben werden muss, lauteten die Antworten entweder „Davon ist mir nichts bekannt“ oder „Ja, ich musste da mal was unterschreiben, aber das habe ich gar nicht gelesen“.

Eine Richterin sagt, was jeder zu Hause tue, sei nirgends geregelt, ein anderer Richter widerspricht: Zuhause dürften keine Daten gespeichert werden, das müsse man jährlich unterschreiben.

Organisierte Verantwortungslosigkeit im Kammergericht?

Viele Richter arbeiten zu Hause – ein Privileg, das sie als Bestandteil der richterlichen Unabhängigkeit ansehen, obwohl es womöglich mit geltendem Datenschutzrecht kollidiert. Es ist dann unumgänglich, auch zu Hause mit personenbezogenen Daten zu hantieren und diese zu sichern.

Der „Emotet“-Fall bringt einen Verdacht an den Tag: Hinsichtlich des Handlings sensibler Daten und deren technischer Absicherung herrscht im Kammergericht organisierte Verantwortungslosigkeit. Kann man das so sagen?

„Ist wohl nicht falsch“, sagt ein Mitarbeiter des Dezernats ITOG, das am Kammergericht, Berlins höchstem ordentlichen Gericht, für die IT zuständig ist. Das Dezernat betreibt die IT in eigener Verantwortung, der landeseigene IT-Dienstleister ITDZ ist nicht beteiligt. Das ITDZ hat von 90.000 PC-Arbeitsplätzen des Landes inzwischen 10.000 in seiner Verantwortung. Der Trojaner „Emotet“ hat, vom Kammergericht kommend, am 25. September beim ITDZ „angeklopft“, das wurde bemerkt.

„Missbräuchliche Nutzung dienstlicher IT-Geräte“

Scharfe Kritik an den Vorgängen übt Bernd Schlömer, Sprecher für Digitales in der FDP-Fraktion. „Extrem fatal“ nennt er das offenbar systematische Unterlaufen von IT-Sicherheitsstandards und erklärt: „Normale, seit Jahren geltende Standards werden dort nicht praktiziert.“

Schlömer forderte, die bis dato praktizierte Vorgehensweise müsse „unmittelbar und sofort abgestellt werden“, außerdem forderte er dienstrechtliche Konsequenzen der „missbräuchlichen Nutzung dienstlicher IT-Geräte“ etwa durch private USB-Sticks.

Die Benutzung privater Speichermedien an dienstlichen Rechnern müsse untersagt und technisch verhindert werden. Warum das im Kammergericht noch nicht geschehen sei, konnte sich Schlömer nicht erklären.

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

In einer noch unbeantworteten schriftlichen Anfrage will er unter anderem wissen, wie die „regelmäßig durchzuführende IT-Sicherheitsbelehrung im Justizwesen des Landes Berlin“ geregelt ist und wann die letzte Belehrung stattgefunden hat. An eine solche können sich mutmaßlich die meisten nicht erinnern.

Jetzt: Schreiben von Hand, Anlegen von Registern auf Karteikarten

Derzeit ist gut dran, wer sich nicht an die wenigen Regeln gehalten hat. „Ich habe meine Sachen immer auch lokal auf meinem Rechner gespeichert, obwohl wir das nicht sollen, deswegen habe ich meine Vorlagen und Textbausteine noch“, sagt eine Richterin. Demnach hat sie einen recht alten Computer („fat client“) – neuere Modelle („thin client“) haben gar keine eigene Festplatte mehr.

Sie benutze den Rechner jetzt wie eine elektrische Schreibmaschine und sei einigermaßen arbeitsfähig. In die rechtlichen Datenbanken wie Juris komme sie nicht. Einige Kollegen würden sich über das Handy einloggen; jeder behelfe sich irgendwie. Über den Stand der Dinge werde man nicht unterrichtet, weder, was den Zeitrahmen angehe, noch, was inhaltlich passiere.

Aus den Geschäftsstellen heißt es, man erlerne uralte Kulturtechniken neu: Schreiben von Hand, Anlegen von Registern auf Karteikarten, Zerschneiden von Blättern zwecks Neuordnung von Absätzen mit anschließender Fotokopie.

Mehr zum Thema Nach Cyberattacke Schadsoftware legt Berliner Kammergericht lahm

Nicht auszudenken, wenn Berlin bereits die elektronische Akte hätte – dann wäre alles weg. Da das Kammergericht seine sämtlichen Vorgänge aber bisher in Papierform hat, kann alles rekonstruiert werden. Noch mal Glück gehabt.