Der Berliner Justizsenator Dirk Behrendt hat nach der Emotet-Attacke auf das Kammergericht der Hauptstadt Fehler eingeräumt. Das Haus sei "sicherheitstechnisch nicht auf dem Stand" gewesen, "auf dem wir sein müssten", erklärte der Grüne am Mittwoch bei einer Anhörung im Rechtsausschuss des Abgeordnetenhauses. Es sei ein schwerfälliger Prozess, ein neues Fachverfahren für das Gericht einzuführen und damit das gesamte dortige Computersystem weniger angriffsanfällig zu machen. Am Geld werde es aber nicht scheitern: Es stünden erhebliche Mittel im IT-Haushalt bereit.

Mithilfe des IT-Dienstleistungszentrums der Berliner Verwaltung (ITDZ) sei es zumindest gelungen, die Attacke "einzugrenzen aufs Kammergericht", zeigte sich Behrendt halbwegs erleichtert. Es habe nach bisherigem Kenntnisstand keinen Datenabfluss gegeben: "Wir gehen nicht von einem gezieltem Angriff auf die IT des Gerichts aus." Möglicherweise sei aber auch die Reaktion rechtzeitig erfolgt und die Justizinstanz nicht vergeblich vom Netz genommen worden. Das ITDZ werde das Kammergericht "künftig unter seinen Schutzschirm nehmen", während es bisher nur den Mailverkehr betreute.

Veraltete Software

Als großen Unsicherheitsfaktor hatten Gutachter der Unternehmensberatung Accenture bereits 2017 das laut dem Senator "selbst programmierte" Fachverfahren zur "Automation des Landgerichts, der Amtsgerichte und des Kammergerichts" (Aulak) ausgemacht, das an Microsoft Word 95 angehängt ist. Die externen Experten rieten dazu, das Programm umgehend abzuschaffen. "Nicht supportete Software und Betriebssysteme sind ein ernstzunehmendes Sicherheitsrisiko", zitiert der "Tagesspiegel" aus der Analyse. Im Fazit heiße es: "Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm."

Berlins Justizsenator Dirk Behrendt geht nicht von einem gezielten Emotet-Angriff aufs Kammergericht aus, musste sich viele kritische Fragen von Abgeordneten anhören.

Dem Plan des Senats zum IT-Einsatz in der Berliner Justiz zufolge sollten bis September zumindest alle Berliner Amtsgerichte mit der neueren, aber auch schon wieder als angestaubt geltenden Alternative "Forumstar" ausgerüstet werden. Für das Kammergericht gab es darin keine genaue Zeitvorgabe. Auch für Aulak sollten dem Papier zufolge aber bis zu dessen vollständiger Ablösung "die zwingend notwendigen Modifikationen vorgenommen" werden.

Bei der Einführung von Windows 7 sei diskutiert worden, "dass Aulak keine Zukunft hat", berichtete Behrendt. Der gesamte Justizbereich werde auch für die E-Akte vorbereitet, die auf Aulak nicht entwickelt werden könne. Trotzdem hänge der Migrationsprozess noch. Die künftige IT-Struktur auch für das Kammergericht werde aber zumindest ohne USB-Sticks als weiteres Einfalltor für Schadsoftware laufen, da vor allem den Richtern Dienst-Notebooks für die Heimarbeit ausgehändigt würden.

Weiterhin Einschränkungen

Aktuell sei die Arbeit des Gerichts "sehr stark belastet", konstatierte dessen Präsident, Bernd Pickel. Die Forensik mithilfe externer Partner wie T-Systems habe ergeben, dass wohl "ausschließlich Clients verseucht" seien. Es handle sich um 20 Rechner. Die Datenhaltung an sich sei zwar nicht infiziert, der Bestand aber "möglicherweise kontaminiert". Der Chef des Hauses erläuterte: "Wir leiden nicht mehr unter dem Virus, sondern unter der Therapie, die wir gemacht haben." Um zu vermeiden, dass Emotet wieder aktiv werden könne, bleibe ein Großteil der Rechner vorerst vom Internet abgehängt.

Die Arbeit sei schwer belastet, berichtete Kammergerichtspräsident Bernd Pickel. Für rund 500 Nutzer sei an 60 PCs wieder "gruppenbezogener E-Mail-Verkehr" möglich.

Sofort nach den ersten Gegenmaßnahmen sei das besondere Anwaltspostfach (beA) wieder verfügbar gemacht worden, führte Pickel aus. Gemeinsam mit dem ITDZ habe man eine "grüne Zone" eingerichtet und "frische, neue Server" angeschafft. "Lebenswichtig" sei es gewesen, auch Aulak bald wieder betreiben zu können, um etwa Ladungen zu versenden. Zudem gebe es inzwischen "Auskunfts-PCs", die den Zugriff auf "das Meiste" erlaubten, "was die Kollegen gespeichert haben auf lokalen Festplatten". Nur elektronisch weiterverarbeitet werden dürften die Daten bislang nicht.

Maßnahmen und Ursachenforschung

Zudem hat das Haus dem Juristen zufolge "mit gruppenbezogenem E-Mail-Verkehr auf 60 PCs angefangen", wofür es bislang rund 500 Nutzer gebe. "Das Faxen hat dann auch hoffentlich bald ein Ende", zeigte sich Pickel zuversichtlich. Als Vorsichtsmaßnahme werde das bisherige System nicht wieder hergestellt, obwohl es Backups gebe. "Wir reinigen alle infizierten Clients, setzen sie neu auf", laute die Losung. Im Gespräch sei auch, Aulak auf den gesäuberten Rechnern gar nicht mehr zu starten und möglichst im 1. Quartal 2020 die Migration auf Forumstar durchzuführen.

Das Landeskriminalamt (LKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) "waren seit dem zweiten Tag beteiligt", versicherte Pickel auf Fragen der Abgeordneten. Er habe aber "keine große Hoffnung, dass man den Täterkreis ermitteln kann". Es handle sich "vermutlich um gewöhnliche Kriminelle". Auch die eine E-Mail, "die es ausgelöst hat, haben wir nicht gefunden". Es sei zudem schwer zu beziffern, wie teuer der Vorfall dem Gericht zu stehen komme: Am meisten schlage die "vertane Arbeitszeit" zu Buche, der Rest seien "Bagatellkosten".

Für den Schutz der häuslichen Systeme der Mitarbeiter vor einer Verbreitung des Trojaners via Outlook "haben wir einige spezielle Desinfec't-Stifte mit Heise entwickelt", erläuterte Pickel. Es seien aber keine weiteren Emotet-Viren gefunden worden. Bei dem durchgeführten Glücksspiel sei es nur eine Frage der Zeit gewesen, dass es im Land Berlin einschlage, beklagte der Rechtsexperte der SPD-Fraktion, Sven Kohlmeier. Die IT-Sicherheit werde in Digitalisierungshaushalten zu oft vergessen. Sprecher der mitregierenden Grünen und Linken sprachen von einem "Schreckschuss" und einem Ausgang mit zwei blauen Augen. Die Opposition rügte, dass der Online-Angriff Berlin wieder negativ in die Schlagzeilen gebracht und der Senat den Ausschuss sowie die Öffentlichkeit lange nicht hinreichend über den Status quo informiert habe.

Auch Heise hat seine Erfahrungen mit Emotet. Aufzeichnungen zu Lehren daraus in Form von Webinaren gibt es als Bundle im heiseshop. (mon)