Mit einem lauten Knall wurde im letzten September bekannt, dass das Berliner Kammergericht Opfer eines Hackerangriffs wurde. Als Folge des Angriffs musste Berlins höchstes ordentliches Gericht vollständig vom Netz genommen werden – insgesamt ein bitterer Schlag für die Justiz der Hauptstadt. Die Hintergründe und Folgen des Angriffs waren lange unklar. Die in die Jahre gekommene IT-Infrastruktur war schnell als Hauptschuldige ausgemacht. Ein nunmehr veröffentlichtes Gutachten untermauert diese erste Einschätzung.
Gutachten bringt Licht ins Dunkel
Das Gutachten des IT-Dienstleisters T-Systems bestätigt erste Vermutungen, wonach es den Hackern vor allem durch mangelnde technische Sicherheitsvorkehrungen besonders leicht gemacht wurde. Durch das Zusammenspiel aus veralteter Technik, mangelnden Schutzmaßnahmen und fehlenden Netzwerksegmentierungen konnten die Angreifer die in den letzten Jahren regelmäßig (wir berichteten mehrmals) für Furore sorgende Schadsoftware Emotet problemlos einschleusen.
Zur Erinnerung:
Emotet ist eine Computer-Schadsoftware, die zumeist über Spam-Kampagnen verteilt wird. Verschleiert als vermeintliche Antwort auf eine tatsächliche E-Mail wird sie meist durch sogenannte Makros in Office-Dokumenten oder Links verbreitet. Emotet nutzt bereits infizierte interne Systeme, um täuschend echt aussehende E-Mails an neue potentielle Opfer zu verschicken. An diesen E-Mails ist oft ein vorangegangener E-Mail-Verkehr angehängt, so dass der Empfänger von einer „echten“ E-Mail ausgeht. Durch diese Vorgehensweise kommt es nicht selten zu einer rasanten Verbreitung von Emotet.
Einmal infiziert, konnte sich Emotet im System des Kammergerichts ungehindert ausbreiten und weitere Schadsoftware (TrickBot) nachladen. Ein „Standardvorfall“ wurde so schnell zu einem „massiven Incident“. Kontaminierte Anhänge in E-Mails oder die Nutzung von verseuchten Speichermedien wie USB-Sticks gelten als wahrscheinlichste Ursache für den Virenbefall. In der Folge konnten die Hacker nahezu auf das komplette System zugreifen und zahlreiche, höchst sensible Informationen einsehen. Womöglich wurden mehrere Datensätze sogar abgegriffen. Laut dem Gutachten sei der Angriff „klar auf Datenabfluss ausgerichtet“ gewesen. Ob es aber tatsächlich zu einem Verlust von Daten kam, lässt das Gutachten offen.
Höchst sensible Daten betroffen
Welche Brisanz der Hackerangriff hat, wird mit Blick auf die Arbeits- und Aufgabenbereiche des Kammergerichts deutlich: Neben Berufungs- und Revisionsprozessen werden vor dem Kammergericht politische Strafsachen wie Spionage und Terrorismus verhandelt. Durch den Hackerangriff könnten folglich besonders schützenswerte Daten zahlreicher Prozessbeteiligter betroffen sein, z.B. auch Daten von verdeckten Ermittlern oder Informanten. Es dürfte auf der Hand liegen, welche schwerwiegenden Folgen diese Daten in den falschen Händen haben können.
Regelmäßige Prüfung der TOM empfohlen
Aufgrund der Aktualität des Angriffs durch Emotet empfehlen wir einmal mehr, die hierzu vom Bundesamt für Sicherheit und Informationstechnik (BSI) herausgegebenen Hinweise zu berücksichtigen.
Der Vorfall am Kammergericht Berlin zeigt zudem deutlich, wie unerlässlich eine funktionelle, an den Puls der Zeit angepasste IT-Infrastruktur ist. Neben organisatorischen Vorkehrungen (u.a. regelmäßige Sensibilisierung und Schulung des Personals) stellt sie das Fundament für eine ordnungsgemäße und sichere Verarbeitung personenbezogener Daten dar. Sowohl datenschutzrechtlich Verantwortliche als auch Auftragsverarbeiter müssen zu jeder Zeit dafür sorgen, dass personenbezogene Daten und damit einhergehende Informationen angemessen geschützt sind. Hierbei gilt: Je sensibler ein personenbezogenes Datum ist, desto höhere Anforderungen sind an dessen Schutz zu stellen. Nicht nur Berliner Behörden und Gerichte sollten daher die aktuellen Ereignisse zum Anlass nehmen, ihre technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO auf Optimierungsbedarf zu prüfen.