Digitale Attacken auf Verwaltung: Im Notfall Stecker ziehen

Seit Monaten ist das Kammergericht offline – und noch glimpflich davongekommen. Digitale Angriffe auf staatliche Infrastruktur nehmen in Berlin zu.

Bei der digitalen Infrastruktur kann man schon mal den Überblick verlieren Foto: dpa

Wie wichtig Sicherheitsupdates sind, weiß Thomas Heymann, Sprecher und Richter des Berliner Kammergerichts, spätestens seit dem 25. September 2019. Eine durch einen Mitarbeiter wohl um diesen Zeitraum herum angeklickte Datei in einem Mail-Anhang hat dafür gesorgt, dass der Trojaner Emotet das komplette IT-System des Kammergerichts lahmgelegt hat.

Die Sicherheitsstruktur im internen Netzwerk des Gerichts war offenbar derart unzureichend, dass sich die Schadsoftware sofort im gesamten System ausbreitete. Die Zeit berichtete gar, dass einige Datenbanken-Systeme des Kammergerichts noch mit Windows 95 betrieben worden seien. Am Ende hatten die Jurist:innen keine andere Chance, als den Stecker zu ziehen. Seither ist das gesamte Kammergericht offline und nur telefonisch, per Fax und persönlich zu erreichen. Auch alte Karteikästen sind bei der Bearbeitung von Fällen wieder im Einsatz.

Obwohl ein Krisenstab unter der Führung des Kammergerichtspräsidenten Bernd Pickel seither versucht, die Lage wieder in den Griff zu bekommen, ist noch nicht einmal ungefähr absehbar, wann das Gericht wieder online gehen kann. „Wir arbeiten daran, dass das Netz neu aufgestellt wird, und zwar unter dem Dach des IT-Dienstleistungszentrums“, sagt Heymann. Das auch ITDZ abgekürzte Zentrum ist der landeseigene Sicherheitsdienstleister – der bisher nicht für das Kammergericht zuständig war.

Heymann betont zwar, dass der juristische Betrieb weiter funktioniere und auch Verhandlungen stattfänden. Aber natürlich seien gewisse Arbeitsbereiche „eingeschränkt“. Gerichtssachen können in der Regel schriftlich geklärt werden. Juristische Recherchen sind jedoch schwierig: Um ins Internet zu kommen, müssen sich mehrere Richter einzelne Not-PCs mit Netzanschluss teilen. Bis zu fünf Richter müssen mit einem Laptop auskommen. Das funktioniere „in guter Zusammenarbeit“, sagt Heymann, „aber alles dauert etwas länger und ist umständlicher“.

Keine sensiblen Daten geklaut

Dabei ist der Angriff auf das Berliner Kammergericht – immerhin das höchste ordentliche Gericht Berlins – noch verhältnismäßig glimpflich verlaufen. Selbst wenn der Schaden groß zu sein scheint und der Gerichtspräsident Pickel die Lage als „Katastrophe“ bezeichnet: Es hätte deutlich schlimmer kommen können. So wurden wohl keine sensiblen Daten geklaut oder Erpressungsversuche gestartet. Ein Mitarbeiter des ITDZ hatte den Vorfall rechtzeitig bemerkt, bevor Schlimmeres passieren konnte.

Das niedersächsische Neustadt am Rübenberge mit 45.000 Einwohnern hatte weniger Glück. Dort wurde erkennbar, wie empfindlich öffentliche Struktur gegenüber digitalen Attacken ist. Wie die Zeit berichtet, hatte auch dort der Trojaner Emotet gewütet und rund ein Drittel der Daten der Stadtverwaltung verschlüsselt. Kriminelle hatten demnach offenbar Lösegeld für die verlorenen Daten gefordert. Die Gemeinde wollte nicht zahlen, seither sind die Daten verloren: Darunter waren ein Entwurf für eine neue Kita, Pläne einer Schule und der Kanalisation.

Und selbst Experten sind nicht gefeit: Sogar das Onlinesicherheitsportal heise.de wurde schon von dem Erpressungs­trojaner befallen – den Schaden bezifferte das Unternehmen auf wenigstens 50.000 Euro.

Zersplitterte IT-Landschaft

Tobias Schulze, Sprecher für digitale Verwaltung der Linken im Abgeordnetenhaus, schätzt den Angriff auf das Kammergericht auch als eher glimpflich ein. Der Fall zeige, wo es bei der Digitalisierung der Verwaltung noch hakt: „Berlin ist eine unfassbar zersplitterte IT-Landschaft“, sagt Schulze. Jede Verwaltung, jeder Bezirk, jede Behörde habe eine eigene Administration, es gebe keine einheitliche Aktenführung, dafür aber jede Menge inkompatible Software. Wichtig sei es, die digitalen Vorgänge zu zentralisieren, und das geschehe eben beim landeseigenen ITDZ. Dann könne man auch Sicherheitsstandards vereinheitlichen – aber der Ausbau des ITDZ dauere angesichts von Personalmangel länger als erwünscht.

Das e-Government-Gesetz zur Digitalisierung der Verwaltung ist seit Juni 2016 in Kraft und soll die Einführung neuer Kommunikationstechniken für Behörden verbindlich machen. Die Justiz habe damals darauf bestanden, dass sie beim e-Government nicht mitmache, so Schulze. Das Kammergericht habe etwa mit dem Dienstleister Dataport aus Hamburg zusammengearbeitet. Mittlerweile – nach dem Angriff – habe der Präsident des Kammergerichts seine Meinung geändert. Nun ist künftig auch dort das ITDZ verantwortlich.

Aus Sicht von Schulze ist mit der digitalen Zersplitterung der Verwaltung auch zu erklären, dass an vielen IT-Arbeitsplätzen des Landes immer noch Windows 7 auf dem Rechner installiert ist. Bis Januar gibt es für das veraltete Betriebssystem noch Support – danach ist Schluss, und die Sicherheit sinkt.

Schon jetzt ist klar, dass die Verwaltung das Update auf Windows 10 nicht schafft: Nur 60 Prozent der 82.000 behördlichen IT-Arbeitsplätze sind mittlerweile umgestellt, teilte die Innenverwaltung mit. Die interne Zielvorgabe war der 30. November. Bis zum Stichtag am 14. Januar schaffe man wohl lediglich 85 Prozent. Erweiterter Support von Windows 7 aber kostet: Eine sechsstellige Summe sei für den erweiterten Service von Microsoft eingeplant, heißt es. Die sensiblen Daten der Bürger:innen seien aber zu jedem Zeitpunkt geschützt, schreibt die Innenverwaltung bei jeder Gelegenheit.

Schulungen gegen Trojaner

So gut es eben geht, möchte man anfügen. Denn selbst Windows 10 gilt Expert:innen nicht unbedingt als sicher. Und gegen Trojaner, die in gefälschten Mails versteckt sind, helfen letztlich auch nur Sicherheitsschulungen der Mitarbeiter:in,nen, sind sich Expert:innen sicher.

Sabine Smentek, für Digitalisierung zuständige Staatssekretärin, versichert unterdessen, dass man auch auf derartige „Cyberangriffe“ vorbereitet sei. „Wir können Cyberangriffe auf die IT-Infrastruktur der Verwaltung nicht verhindern, haben aber entsprechend Vorsorge getroffen“, sagte sie anlässlich der Veröffentlichung von Zahlen zur digitalen Sicherheit Anfang November. So habe das ITDZ allein im Jahr 2018 rund 31 Mil­lionen Spam-Mails abgeblockt. Gleichzeitig seien circa 7 Mil­lio­nen versuchte Angriffe abgewehrt worden.