zum Hauptinhalt
Kammergerichtspräsident Bernd Pickel in seinem Gericht, das derzeit technisch um Jahrzehnte zurückgeworfen ist.
© Kai-Uwe Heinrich

Trojaner-Angriff: Berliner Kammergericht nicht vor 2020 wieder am Netz

Das höchste ordentliche Gericht der Stadt befindet sich im Notbetrieb. Sein Chef will alles neu und dann gleich richtig machen, erklärt er im Interview.

Seit fast vier Wochen befindet sich das Berliner Kammergericht technisch in einem Zustand wie vor etwa 30 Jahren. Nach einem Angriff mit dem gefährlichen Trojaner "Emotet" wurde das Gericht vom Internet und kurz darauf auch vom Landesnetz getrennt. Im weiteren Verlauf wurde bekannt, dass es viele undichte Stellen und Datenschutzmängel gibt, die solche Vorfälle begünstigen. Ein Gespräch mit dem Gerichtspräsidenten.

Herr Pickel, vor knapp vier Wochen wurde das Kammergericht nach einem Trojaner-Angriff vom Netz genommen. Wie ist die Lage jetzt?
Das Kammergericht funktioniert. Unsere Improvisationsfähigkeit ist groß. Die Beschwernisse sind allerdings auch groß. Wir haben einen Notbetrieb eingerichtet. Alle Daten sind noch da. Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln. Allerdings trauen wir uns noch nicht, mit dem Datenbestand wieder an das Netz zu gehen, weil wir nicht sicher sein können, ob der Trojaner da drin ist und sich nur schlafend stellt. Wir werden den Datenbestand aber auch nicht löschen. Die Daten der Kollegen sind praktisch das Gold des Kammergerichts

Demnach wissen Sie noch immer nicht, wann die Infektion stattfand? Oder können Ihre Daten nicht rückwirkend wiederherstellen auf einen Zeitpunkt vor dem 10. September?
Wir gehen zwar davon aus, dass der Trojaner uns am 25. September infiziert hat und nicht vor dem 10. September gebaut wurde. Doch über das, was zur extrem wichtigen Sicherheit des Landesnetzes getan oder nicht getan werden kann, entscheiden nicht wir. Unsere Sicherheitstechniker besprechen gerade mit den dort Verantwortlichen, ob und welche Backups eingespielt werden dürfen.

Haben Sie nach Bekanntwerden des Angriffs schnell genug reagiert? Es vergingen 48 Stunden, bis das Kammergericht vom Landesnetz genommen war. Viel Zeit für ein Virus, Schaden anzurichten.
Ja, wir haben schnell reagiert. Moderne Viren laden sich Bauteile aus dem Internet, deshalb war das wichtigste, unsere Rechner vom Internet zu nehmen, um das Virus daran zu hindern, sich weiter auszubreiten. Das haben wir nach dem Hinweis vom ITDZ sofort gemacht, noch am 25. September. Unsere Rechner darüber hinaus vom Landesnetz zu nehmen, ist eine schwierige Entscheidung, die überdacht sein will, zwei Tage sind dafür schnell. Wir hatten ja zunächst keinen Schadtatbestand, wir hatten nur Auffälligkeiten. Und wir können unsere Fachverfahren ohne Landesnetz nicht nutzen.

Den Angriff hat das ITDZ bemerkt, die IT-Abteilung des Kammergerichts aber nicht.
Den Mailverkehr macht das ITDZ für uns, und weil der Angriff per Mail erfolgte, hat das ITDZ ihn erkannt. Virenprogramme erkennen Emotet eben nicht immer. Bedenken Sie: Wir haben ein offenes System, uns schreiben Bürger, Anwälte, wir müssen mit ihnen kommunizieren, und nicht alle haben einen wirksamen Virenschutz. Unser System müsste so getrimmt sein, dass es Angriffen von außen standhält. Das hat es aber nicht getan. Wir müssen deshalb, wie andere Emotet-Opfer, unseren Virenschutz neu aufstellen.

Wie gehen Sie jetzt vor?
Wir haben drei Handlungsstränge. Erstens aufzuklären, was passiert ist, zweitens die Gestaltung des provisorischen Betriebs, und drittens, ein neues System für die Zukunft aufzubauen.

Wann rechnen Sie damit, wieder normalen Betrieb zu haben?
Nicht vor 2020. Wir wollen aber bis dahin den provisorischen Betrieb ausbauen und erträglicher machen.

"Viele Juristen denken nicht ansatzweise über den sicheren Umgang mit Daten und ihren Rechnern nach", sagt ein IT-Unternehmer.
"Viele Juristen denken nicht ansatzweise über den sicheren Umgang mit Daten und ihren Rechnern nach", sagt ein IT-Unternehmer.
© Mike Wolff

Warum ist das Kammergericht nicht Kunde beim ITDZ?
Das habe ich so vorgefunden, als ich 2015 hier anfing. Das Kammergericht ist in großem Umfang Dienstleister der ordentlichen Gerichtsbarkeit, wir bilden 2000 Leute aus, wir entwickeln eigene Fachverfahren, machen Schulungen, wir sind die IT-Entwicklungsabteilung und das Help Desk für die ordentliche Gerichtsbarkeit, und wir sind auch deshalb eigenständig geblieben, um schneller und flexibler zu sein. Die IT-Anforderungen verändern sich ständig, darauf muss man reagieren. Manchmal wollen wir auch einfach was ausprobieren, nehmen Sie die elektronische Akte, das ist ein Pilotprojekt, und ein Dampfer wie das ITDZ ist dafür nicht wendig genug. Da sind wir dann das Schnellboot.

Hat sich das bewährt? Die Abteilung wirkt derzeit nicht wie ein Schnellboot.
Für die Bereiche Entwicklung von IT-Technik und für die Schulung und Qualifizierung von Mitarbeitenden ist es unerlässlich, dass man eine kleine, aber innovative IT-Stelle hat. Was wir in Zukunft nicht mehr brauchen ist, dass wir auch den normalen Betrieb selbst administrieren. Der Mailverkehr, das Fachverfahren, das sollte wie bei den Amtsgerichten und dem Landgericht beim ITDZ organisiert werden.

Was für Leute arbeiten im Dezernat ITOG? Sind das Informatiker?
Der Sicherheitskoordinator, den wir seit einem Jahr haben, ist promovierter Informatiker. Ansonsten sind da die unterschiedlichsten Leute. Wir haben Leute mit IT-Qualifikation, aber auch Rechtspflegerinnen, wir haben einen Richter, der für Rechtsfragen, zum Beispiel zum Datenschutz, zuständig ist. Er arbeitet mit unserem Datenschutzbeauftragten zusammen. Der ist gegenüber seinem Vorgänger, der zusätzlich andere Tätigkeiten ausgeübt hatte, praktisch völlig freigestellt. Wir haben nun erkannt, dass der Datenschutz so wichtig ist, dass man nicht noch etwas nebenher machen kann.

Die Krise hat noch weiteres ans Tageslicht gebracht: Der Datenschutz wird nicht ernst genommen. Eine IT Policy, wie sie in Unternehmen vorgeschrieben ist, haben Sie nicht. Und Sie wissen auch nicht, wie viele Richter zuhause arbeiten.
Doch, das weiß ich: alle. Das Gesetz, auf das Sie anspielen, ist von 1992, damals war es vielleicht noch etwas Besonderes, wenn ein Richter mit eigenem Computer zuhause arbeitete, aber heute machen das alle. Diese Meldepflicht bringt nichts mehr.

Per Anhang werden Kammergericht-Mitarbeiter gebeten, private Speichermedien zu zerstören.
Per Anhang werden Kammergericht-Mitarbeiter gebeten, private Speichermedien zu zerstören.
© Thilo Rückeis

Das Gesetz ist alt, aber gültig. Es steht auch nicht nur eine Meldepflicht drin, sondern die Pflicht, Mitarbeiter zur Einhaltung besonderer Regeln des Datenschutzes zu verpflichten. Eine Policy würde das leisten. Wie stellen Sie das sicher, wenn es keine gibt?
Es gibt hier kein Handbuch, auf dem steht: Das ist die IT-Policy. Die Policy ist einfach die Gesamtheit der Regelungen für die IT.

Welche Regelungen haben Sie?
Bei jeder Einstellung überreichen wir den neuen Kolleginnen und Kollegen eine Menge Dokumente, zum Beispiel Hinweise zum Datenschutz. Gerade im Zuge der DSGVO haben wir zuletzt viele Hinweise gegeben. Die IT-Themen sind ungeheuer vielfältig. Für mich ist wichtig, die Mitarbeiter durch Anleitungen, Empfehlungen und praktische Hilfen zu unterstützen. Sie schaffen nicht Datensicherheit, indem Sie einen Mitarbeiter irgendwas unterschreiben lassen.

Gibt es denn keine Standards, auf die alle Mitarbeiter verpflichtet sind? Und zwar verbindlich, überprüfbar? Dass es einen Haufen Regeln gibt und keiner weiß, welche für ihn gelten, kann es ja nicht sein.
Doch, es gibt dazu auch eine IT-Dienstvereinbarung zum Datenschutz, da steht das wesentliche drin.

Von wann ist die?
Aus dem Jahr 2006. Es gibt auch eine Menge Merkblätter und Rundschreiben.

Eigentlich muss es dafür doch ein Gesetz geben. Fühlen Sie sich nicht komplett allein gelassen?
Ich möchte Vorgaben und Regelungen haben, die den Dienstherrn verpflichten, den Kollegen einen legalen, effektiven und sicheren Betrieb von IT auch zuhause zu ermöglichen. Die Sicherheit der häuslichen Systeme herzustellen, wenn sie mit uns kommunizieren, ist eine Aufgabe des Dienstherrn, derer er sich nicht entledigen kann.

Ihre Forderung an den Senator?
Angesichts der Krise sollte man die IT jetzt gleich richtig aufstellen. Wir verfolgen eine Ein-Geräte-Strategie, also dass Richter Dienst-Notebooks haben, die sie hier und zu Hause verwenden können und mit denen sie immer und nur in unserem System arbeiten. Die werden hier dann auch upgedated und mit richtigem Virenschutz versehen. Das ist eigentlich für später geplant, sollte aber jetzt vorgezogen werden. So lange wir das nicht haben, müssen wir auch schmerzhafte Maßnahmen treffen, etwa die Nutzung von USB-Sticks zu untersagen.

Welche Regeln gelten denn bisher für die Nutzung von USB-Sticks?
Aktuell haben wir die Nutzung untersagt, um jeden Weitertransport von Viren auszuschließen. Wir haben auch den Kollegen kostenlose Sticks gegeben mit einer Software, speziell eingerichtet um zu prüfen, ob ihre Rechner zuhause von Emotet befallen sind.

Das macht also jeder Richter selber, und nicht Ihre IT?
Ja, die Analysesticks sollen eine schnelle Klärung ermöglichen, ob Emotet diese privaten Rechner befallen hat. Sofern eine Infizierung festgestellt werden sollte, was bislang noch nicht der Fall war, könnten die Richter die fachliche und schnelle Hilfe unser IT-Abteilung in Anspruch nehmen.

Wie geht es jetzt weiter?
Bei uns kommt alles auf den Prüfstand. Wir wollen die Aufmerksamkeit der Kollegen schärfen, schulen unsere Mitarbeiter, klären weiter auf und bauen den Notbetrieb vorerst noch aus. Wir haben 30 Notfall-PCs eingerichtet, die jetzt im Netz des ITDZ arbeiten, 30 weitere kommen demnächst hinzu. Wir haben unser Fachverfahren wieder in Gang bekommen, können auch unsere Rechnungen wieder bezahlen, wir bewegen uns vorwärts. Die Mitarbeiter können derzeit immerhin zumindest lesend auf die möglicherweise kontaminierten Daten zugreifen. Bald wird man den Unterschied zum Normalbetrieb kaum noch merken.

Zur Startseite