Gefahren durch Homeoffice wegen Corona: Justizverwaltung riskiert Hacker-Angriff durch USB-Sticks

Die folgenschwere Virus-Attacke auf das Netzwerk des Berliner Kammergerichts ist noch keine sechs Monate her, da riskiert die Justiz den nächsten Krisenfall. Weil aufgrund der grassierenden Coronavirus-Pandemie immer mehr Mitarbeiter nach Hause geschickt werden, beschafft die Senatsverwaltung für Justiz aktuell USB-Sticks „für die häusliche Arbeit“.

Einem am Montag verfassten Schreiben zufolge seien diese ausschließlich für den dienstlichen Datentransport vom Büro-Arbeitsplatz zum häuslichen Arbeitsplatz vorgesehen. Vom Heimarbeitsplatz zurück an auf den Dienstrechner sollten diese wiederum per Mail verschickt werden, erklärte Sebastian Brux, Sprecher der Justizverwaltung. Schließlich sei das eigene System mit Virenscannern gesichert. Diese würde Schadsoftware erkennen und abhalten, sagte Brux.

Kein Schutz vor Viren wie „Emotet“

Während IT-Experten diese Praxis für untauglich halten, weil das Einsickern moderner Viren wie „Emotet“ so nicht sicher verhindert werden könne – siehe Kammergericht – ist die tatsächliche Situation wohl noch viel gefährlicher. Mehrere der Justiz nahestehende Personen berichteten dem Tagesspiegel zuletzt unabhängig voneinander, dass Mitarbeiter der Senatsverwaltung ihre dienstlich genutzten Sticks – Sticks des Dienstherrn werden dem Schreiben zufolge erst jetzt beschafft – über den Einweg-Transport hinaus verwenden. Daten würden von ihnen vom Dienstrechner auf den Privatrechner und von dort wieder zurück transferiert.

Mehr zur Hacker-Attacke auf das Kammergericht:

• Kammergericht soll wieder online gehen –die Freigabe für den Anschluss der neuen Computer wurde erteilt
• Knapp fünf Monate nach der Virus-Attacke arbeitet das Kammergericht weiter offline. Nun starten die Richter einen „dringenden Appell“.
• Der erfolgreiche Virusangriff auf das Kammergericht hat Folgen: Der IT-Verantwortliche verliert seinen Posten. Der Rechtsausschuss befasst sich mit dem Thema.
• Monate nach der Trennung des Kammergerichts vom Internet wird klar: Der Schritt hätte schon Tage vorher erfolgen müssen, Warnungen wurden ignoriert.

Selbiges war in dem am Montag verschickten Schreiben zwar ausdrücklich untersagt worden. Allerdings waren zahlreiche Mitarbeiter offenbar schon Ende vergangener Woche ins Homeoffice geschickt worden. Das Schreiben und die Nutzungsvorgaben vom Montag kamen offensichtlich zu spät.

Hinzu kommt: Selbst die nach dem IT-Gau am Kammergericht naheliegendste aller Sicherheitsmaßnahmen, die Deaktivierung der dienstlichen USB-Ports, wurde den Berichten und auch der internen Anweisung zufolge bislang nicht umgesetzt.

In Bundesministerien sind solche Sicherheitsvorkehrungen längst Standard. Im Landesdienst wiederum werden Mitarbeiter offiziell immer noch angewiesen, die Ports zum Datentransfer zu nutzen.

Beobachter sind entsetzt

Damit konfrontiert, dass Mitarbeiter dienstliche Daten per USB-Stick zwischen Büro- und Heimarbeitsplatz transferieren, reagierte Brux zurückhaltend. „Das wäre ein Vergehen“, erklärte er und verwies darauf, dass Mitarbeiter bei ihrer Einstellung über Grundsätze im Schutz von Daten sowie im Umgang mit IT-Systemen informiert würden und sich zu deren Einhaltung verpflichteten.

Darüber, wie häufig diese Grundsätze geprüft und die Mitarbeiter über Weiterentwicklungen informiert würden, traf er keine Aussage. Mit Blick auf die aktuelle Situation sprach Brux von einer „Krisensituation“ und davon, dass Vorkehrungen angesichts dessen „gelockert“ werden müssten.

Der Fall sorgt bei Beobachtern deshalb für Entsetzen, weil sie nach dem erfolgreichen Virus-Angriff auf das Kammergericht von einer Sensibilisierung im Umgang mit Risiken der IT-Architektur ausgegangen waren. Der Angriff mit dem unter Experten als extrem gefährlich geltenden „Emotet“-Virus war Ende September bekannt geworden.

Daraufhin hatte das Kammergericht komplett vom Landesnetz getrennt werden müssen. Die gesamte IT des Gerichts muss erneuert werden, das betrifft Soft- wie auch Hardware. Mit der Wahrnehmung dieser Aufgabe ist das IT-Dienstleistungszentrum (ITDZ) betraut, aktuell läuft der sukzessive Wiederaufbau der Gerichts-IT.