Das Berliner Kammergericht wurde im Herbst mit einem Virus attackiert. Ausmaß und Folgen werden erst langsam deutlich.

Im September wird im Netz des Kammergerichts entdeckt, was manche als „IT-Desaster“ oder „Datengau“ beschreiben. Unbekannte verschaffen sich Zugriff zum Netz des Berliner Kammergerichts. Auch vier Monate später ist vieles ungewiss. Klar ist nur: Es ist der schwerste Hackerangriff den Berlin bislang erlebt hat. Eine Rekonstruktion.

25. September 2019: Auf den Rechner des höchsten Berliner Gerichts bemerken Frühwarnsysteme des landeseigenen IT-Dienstleistungszentrum Berlin (ITDZ) verdächtige Datenströme aus der Justizbehörde heraus auf das Berliner Landesnetz. Eine Schadsoftware ist am Werk. Fortan arbeiten Spezialisten an der Behebung des Problems, sagt das Gericht.

1. Oktober 2019: Die Techniker greifen eine knappe Woche später zum Notschalter. Das komplette IT-System des Gerichts muss vom Netz getrennt werden. Alle Computer werden abgeklemmt. Von der Attacke seien „einzelne Computer“ betroffen gewesen, sagt Sprecherin Lisa Jani. Dennoch habe man „als Vorsichtsmaßnahme“ alle PCs vom Netz genommen. Mitarbeiter des Kammergerichts können weder auf E-Mails noch auf gespeicherte Daten zugreifen. Auch der Zugang zum Internet und Intranet ist nicht mehr möglich. Was das nach außen bedeutet, zeigt bis heute ein Blick auf die Internetseite: „Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen.“

8. Oktober 2019: IT-Spezialisten haben die Cyberattacke unter Kontrolle gebracht, teilt das ITDZ mit. Der Trojaner namens „Emotet“ infizierte zwar die Computer des Kammergerichts, ein Übergreifen auf andere Systeme der Berliner Verwaltung sei aber verhindert worden. Auch auf einen möglichen Datenklau gebe es keine Hinweise. Zwar müssten sämtliche Rechner im Gericht neu aufgesetzt werden, teilte ein Justizsprecher mit. Ausgetauscht würden hingegen nur jene PCs, die ohnehin ersetzt werden sollten.

26. Oktober 2019: Berlins Justizsenator sieht Berlin in dem Cyberangriff mit einem blauen Auge davonkommen. „Wir gehen momentan nicht von einem gezielten Angriff auf das Kammergericht aus. Es ist nach unseren Erkenntnissen auch nicht zum Abfluss von Daten gekommen.“ Mittlerweile hat das Kammergericht 30 Rechner erhalten, die ans Internet und das Landesnetz angeschlossen seien. Ein Schlaglicht fällt nun auch auf die marode IT des Gerichts. Das Kammergericht, Berlins höchstes Gericht, habe sich stets geweigert, mit seinen Daten unter das Dach der ITDZ zu ziehen. Die Richter bestanden jahrelang auf eine eigene Lösung. Die Folgen sind fatal. Die IT sei auf einem veralteten Stand gewesen, wohl auch weil Mitarbeiter nicht das nötige Know-how gehabt hätte, heißt es aus Justizkreisen. Bis zuletzt arbeitete das Gericht noch mit einem Textverarbeitungsprogramm aus dem Jahr 1995. „Da sind einfachste Sicherheitsanforderungen nicht eingehalten worden“, sagt Sven Kohlmeier, rechts- und netzpolitische Sprecher der SPD-Fraktion im Abgeordnetenhaus.

30. Oktober 2019: Das Kammergericht arbeitet weiter im provisorischen Notbetrieb. Bislang sind 60 neue Computer installiert worden. Ausgetauscht werden müssten plötzlich aber alle mehr als 500, sagt Gerichtspräsident Bernd Pickel im Rechtsausschuss des Abgeordnetenhauses. Der komplette Austausch sei notwendig, weil die schwer erkennbare Schadens-Software sonst wieder aktiv werden könnte. Justizsenator Dirk Behrendt (Grüne) versicherte nochmals, dass keine Daten gestohlen wurden. „Wir gehen nicht von einem gezielten Angriff aus“, sagte der Grünen-Politiker. Es seien keine Geldforderungen eingegangen.

In der Zwischenzeit: Datenforensiker von T-Systems analysieren befallene Rechner und arbeiten an einem Gutachten zum Cyberangriff für das Kammergericht.

27. Januar 2020: Plötzlich ist alles anders. Entgegen früherer Angaben sind bei der Attacke doch Daten gestohlen worden, teilt die Justizverwaltung mit. Dies geht aus dem Experten-Gutachten hervor. „Es ist insoweit davon auszugehen, dass durch die Schadsoftware Passwörter, wie beispielsweise Browserpasswörter, abgeflossen sind“, heißt es. Die Justizverwaltung veröffentlicht das Gutachten gleich mit. Laut diesem seien Angreifer höchstwahrscheinlich in der Lage gewesen „den gesamten Datenbestand des Kammergerichts zu exfiltrieren und zu manipulieren“, also anzuzapfen. Welche Daten abgeflossen sind, können die Experten nicht sicher sagen. Von wem der Angriff kam und mit welchem Ziel? Auch das bleibt unklar. Dies liegt unter anderem daran, dass die für die Auswertung entscheidende Datei Angaben für die Zeit vor dem 14. Oktober überschrieben hat.

29. Januar 2020: Justizsenator Behrendt muss sich im Rechtsausschuss den Fragen der Abgeordneten stellen. Durch den Angriff seien höchstwahrscheinlich Kontaktdaten, Passwörter und E-Mail-Betreffdaten betroffen gewesen, sagt Behrendt. Es werde als „grundsätzlich möglich“ eingestuft, dass auch Stammdaten von Verfahrensbeteiligten oder Rechtsanwälten abgeflossen sind. Jedoch nur „mit geringer Wahrscheinlichkeit“, betont der Justizsenator. Der Angriff habe nur wenige Tage gedauert, ehe er aufgeflogen sei, sagt Kammergerichtspräsident Bernd Pickel. „Deswegen haben wir eine recht hohe Wahrscheinlichkeit, dass die Dokumente nicht abgeflossen sind.“ Zudem seien die Daten weder zerstört noch verschlüsselt worden. Auch von Erpressungsversuchen wisse er nichts, sagt der Kammergerichtspräsident. Sein Schluss: „Jeden Tag wird die Wahrscheinlichkeit, dass Dokumente abgeflossen sind, geringer.“

Offen ist, ob das ganze Ausmaß der Attacke aufgearbeitet wird. Aus Kostengründen sei bisher nur ein einziger Rechner ausgewertet worden. Alle PCs zu analysieren, würde „ungefähr zwei Jahre dauern und kosten in zweistelliger Millionenhöhe verursachen“, sagt Behrendt. Trotz des hohen zeitlichen und finanziellen Aufwands habe er „eine Offenheit dafür“. Netz-Experte Kohlmeier hält davon nichts. „Da stehen die Kosten mit dem Aufklärungswert in keinem Verhältnis.“ Das viele Geld solle man besser investieren, um beim Kammergericht eine moderne IT-Infrastruktur einzurichten. Bald sollten 80 bis 90 Prozent der ursprünglichen Arbeitsfähigkeit wiederhergestellt sein, sagt Pickel im Ausschuss.

Ausblick: Noch immer arbeitet das Kammergericht aber mit nur 60 PCs. „Das höchste ordentliche Gericht in Berlin ist bis heute in seiner Arbeit eingeschränkt“, sagt der rechtspolitische Sprecher der CDU-Fraktion, Sven Rissmann. Aktuell würden dort schlecht fotokopierte Vordrucke per Hand ausgefüllt. „Wir arbeiten auf dem Stand der 1980er Jahre.“ Der Fall werfe „ganz dunkle Schatten auf die IT-Landschaft in Berlin“, sagt Ralf Knispel, Vorsitzender der Vereinigung Berliner Staatsanwälte (VBS). Alleine die Möglichkeit, dass Daten abgeflossen sein könnten, sei erschreckend. Der SPD-Abgeordnete Kohlmeier macht sich keine Illusionen, dass solche Fälle in einer zunehmend digitalen Welt, viel häufiger auf die Verwaltung zukommen könnten. „Das ist der Anfang von dem was wir noch erleben werden mit Cyberangriffen in Zukunft.“