BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/18946 21. Wahlperiode 19.11.19 Schriftliche Kleine Anfrage des Abgeordneten Richard Seelmaecker (CDU) vom 11.11.19 und Antwort des Senats Betr.: Berliner Kammergericht durch Hackerangriff lahmgelegt – Wie gut ist Hamburgs Justiz gewappnet? Die „Frankfurter Allgemeine Zeitung“ berichtete am 2. Oktober 2019: „Eine Schadsoftware hat das Computersystem des obersten Straf- und Zivilgerichts des Landes Berlin, des Kammergerichts, befallen und lahmgelegt. Seit fünf Tagen ist deshalb keine elektronische Kommunikation mit dem Gericht mehr möglich. „„Im Rahmen des Notfallmanagements“ sei das Kammergericht „seit dem 27.09.2019 11:35 vom Landesnetz getrennt“, heißt es in einem internen Schreiben der Behörde, das der F.A.Z. vorliegt.“ (https://www.faz.net/aktuell/ wirtschaft/diginomics/schadsoftware-legt-berliner-kammergericht-lahm- 16413935.html.) Mittlerweile wurde festgestellt, dass es sich bei dem Trojaner Emotet, der wohl eingesetzt wurde, um eine Schadsoftware handelt, die zurzeit deutschlandweit wütet. Im weiteren Verlauf wurde in Berlin bekannt, dass es viele undichte Stellen und Datenschutzmängel gibt, die solche Vorfälle begünstigen. So berichtete „Der Tagesspiegel“ am 17. Oktober 2019, dass immer weitere Missstände aufgedeckt werden. „Nicht nur bei Gericht, auch bei der Staatsanwaltschaft ist es Usus, dass Dezernenten Akten mit nach Hause nehmen, sie dort bearbeiten, ihre Arbeitsergebnisse auf privaten USB-Sticks speichern und diese dann wieder in die Rechner im Gericht stecken, um die Arbeitsergebnisse in die Justizsoftware zu kopieren.“ Für die Gerichte bedeutet solch ein Cyberangriff ein besonders hohes Risiko, das durch die anstehende Digitalisierung der Justiz noch weiter steigt. Der IT-Rechtler Stefan Hessel äußerte sich im Interview der „Legal Tribune Online“ dazu: „(…) Die deutsche Justiz steht vor der Einführung der elektronischen Akte – ist das Stoff für ein Bedrohungsszenario? Aus meiner Sicht wird nicht nur die Einführung der e-Akte, sondern die gesamte Digitalisierung der Justiz die Bedrohungslage noch einmal verschärfen . Jede zusätzliche Email, jeder weitere Datenaustausch sorgt für mehr potentielle Angriffsfläche. Auch beim besonderen elektronischen Anwaltspostfach kann ungeprüft Schadsoftware verschickt werden. Das ist erstmal nicht schlimm, soweit der Empfänger ausreichend für das Risiko sensibilisiert ist. Wo bringt die Digitalisierung der Justiz strukturell neue Risiken ein? Drucksache 21/18946 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Die Einführung der e-Akte wird zu einer stärkeren Zentralisierung der Infrastruktur führen. Die Daten liegen dann nicht mehr als Akte im Zimmer des einzelnen Richters, sondern alle zusammen digital an einem Speicherort z.B. für ein Bundesland. Sie müssen sich vorstellen, bei einem Einbruch an einem Amtsgericht, müssten die Einbrecher schon kistenweise Papier raustragen oder viel kopieren, um wirklich etwas mitzunehmen. Auf digitalem Weg ist so ein Einbruch und Abschöpfen von Datenbeständen viel gefährlicher. Ich bin mir sicher, wir werden noch einige Angriffe erleben, die sich zielgerichtet gegen die Justiz richtet. Welche neuen Cyber-Bedrohungen könnten dann auf die Justiz zukommen? Mit einem zielgerichteten Cyberangriff lassen sich auf einen Schlag alle Urteile eines Gerichts beschaffen, oder die Akten dazu, oder auch Urteilsentwürfe . Die Angreifer könnten also erfahren, wie ein Gericht zu einem Fall entscheiden wird. Und auch die Angreifergruppen könnten vielfältiger werden. Ein Vorgeschmack bot schon die Veröffentlichung des Haftbefehls im Fall des sogenannten Chemnitz-Leaks. Der Justizmitarbeiter soll der AfD nahegestanden habe, er hatte also offenbar auch ein politisches Motiv. Aber auch Wirtschaftsspionage, Kriminelle, die die Boulevardpresse mit Details zu Prozessen mit Prominenten versorgen wollen oder Material für Insider-Geschäfte suchen, sind denkbar. Wie könnte das aussehen? Stellen Sie sich nur mal vor, man wüsste am Vortag schon wie ein großer und wichtiger Dieselabgas-Prozess gegen VW ausgehen wird. Das hätte natürlich Auswirkungen auf Aktienkurse. Aber auch Terroristen könnten versuchen Informationen über Prozesse gegen ihre Mitglieder zu beschaffen. Daneben gibt es auch Hackergruppen, die nicht nur kurzfristig, sondern über Monate in einem Netzwerk unbemerkt bleiben und kontinuierlich Daten abgreifen, ähnlich wie wir es bei dem Hackerangriff auf den Deutschen Bundestag 2015 erlebt haben.“ https://www.lto.de/recht/justiz/j/justiz-gerichte-hacker-trojaner-angriff-edvbea -e-akte-digitalisierung-kammergericht-berlin/ Mit der Drs. 21/17640 berichtet der Senat über die zahlreichen Maßnahmen zur Digitalisierung der Hamburger Justiz. Zum Sicherheitsaspekt verweist er neben der Vorlage des – am 25. September 2019 von der Bürgerschaft verabschiedeten – Entwurfs des IT-Justizgesetz – HmbITJG unter Ziffer 1.3.2 auf das „Data-Center-Justiz“: „Vor dem Hintergrund des hohen Schutzbedarfs der Daten und Prozesse in der Justiz beabsichtigen die Trägerländer Bremen, Hamburg, Sachsen-Anhalt und Schleswig-Holstein den Betrieb geschäftskritischer IT-Infrastrukturen bei Dataport auf- bzw. auszubauen. Die IT-Verfahren der Dataport-Trägerländer mit einem hohen Schutzbedarf sind bereits heute im Dataport-Rechenzentrum mit einer Zusatzmaßnahme („erweiterte Sicherheit“) von den anderen Strukturen abgetrennt. In Bezug auf die Qualität der IT-Sicherheit, die Einbettung in die IT-Strategie der Justiz sowie die Ausnutzung von Kosten- und Effizienzsynergien kann eine weitergehende Kooperation der Landesjustizverwaltungen im Sinne eines gemeinsamen „Data Center Justiz“ (DCJ) jedoch von Vorteil sein. Eine länderübergreifende Arbeitsgruppe in Zusammenarbeit mit Dataport prüft daher schrittweise die Machbarkeit.“ Es stellt sich die Frage, ob Hamburgs Justiz damit ausreichend vor Hackerangriffen geschützt ist beziehungsweise Notfallpläne für den Fall eines Angriffs bereithält. Vor diesem Hintergrund frage ich den Senat: Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/18946 3 1. Wurden Hamburgs Gerichte schon einmal „Opfer“ eines Trojaners? Falls ja, wann und inwiefern ist es hierbei gelungen, Dokumente abzuschöpfen oder zu verschlüsseln? Vor dem Hintergrund des hohen Schutzbedarfs werden geschäftskritische IT-Infrastrukturen bei Dataport in einem der modernsten Rechenzentren Europas, dem hochsicheren RZ², betrieben. Der Endgerätebetrieb der Gerichte wird durch die Gerichte selbst organisiert. In den Jahren 2015 und 2017 sind einzelne Endgeräte von Trojanern infiziert worden. Dabei wurden Daten in geringfügiger Menge innerhalb der Hamburger Gerichte verschlüsselt. Ergriffene Sofortmaßnahmen haben sowohl die Datenwiederherstellung als auch die Entfernung der Trojaner in weniger als 24 Stunden gewährleistet. In zwei weiteren Fällen (2018) waren vier Endgeräte innerhalb der Hamburger Gerichte durch einen Trojaner betroffen. Es wurden keine Daten abgeschöpft oder verschlüsselt. 2. Welche Vorgaben gibt es an Hamburgs Staatsanwaltschaften und Gerichten zur IT-Sicherheit und zur Verwendung privater USB-Sticks im Rahmen der Aktenbearbeitung? Gibt es eine IT-Policy? Die Freie und Hansestadt Hamburg hat ein Informationssicherheitsmanagementsystem (ISMS) in Anlehnung an ISO 27001 auf Basis des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den Vorgaben aus dem IT-Handbuch der Freien und Hansestadt Hamburg umgesetzt, in das auch die Justiz eingebunden ist. In der Endgeräte-Richtlinie ist unter anderem geregelt, dass grundsätzlich nur das von der jeweiligen Dienststelle bereitgestellte IT-Zubehör (wie USB- Sticks) an den dienstlichen Endgeräten genutzt werden darf. Die Verwendung von privaten USB-Sticks innerhalb der Hamburger Staatsanwaltschaften und der Gerichte ist nicht beziehungsweise nur im Einzelfall (beispielsweise Beweismittelsicherung) durch eine vorab durch die jeweils zuständige IT erteilte Genehmigung zulässig. 3. Erhalten Staatsanwälte und Richter auf Wunsch Laptops? Personen mit Mobilitätsanforderungen erhalten ein dienstliches mobiles Endgerät. 4. Wie häufig werden bei der Staatsanwaltschaft und den Gerichten Back- Ups gemacht? Es werden mindestens täglich Back-ups durchgeführt. 5. Wie lange würde es in Hamburg dauern, bis ein Hackerangriff bei den Gerichten erkannt wird, die Programme heruntergefahren werden und ein Betrieb mit Backup-Daten wiederaufgenommen werden kann? Die Dauer zur Erkennung eines Hackerangriffs sowie der Zeitbedarf für Entstörungsmaßnahmen sind abhängig von Art und Umfang des Angriffs. Im Übrigen siehe Antwort zu 1. 6. Welche Notfallpläne gibt es für die Weitergabe der Störungs-Infos und für die nötigen Zuständigkeiten und Entscheidungsbefugnisse, welche IT wann heruntergefahren oder wie zusätzlich gesichert werden soll? Die Hamburger Justiz ist in das Notfallmanagement der Freien und Hansestadt Hamburg eingebettet. Sicherheitsvorfälle werden an Dataport und an das Computersicherheits -Ereignis- und -Reaktionsteam (CERT) gemeldet. Es existiert ein zentrales Informationssicherheitsmanagement (InSiMa) und innerhalb der Hamburger Justiz sind dezentrale Informationssicherheitsbeauftragte (InSiBe) tätig. Das Informationssicherheitsmanagement in der Justiz soll darüber hinaus weiter ausgebaut werden. Im Übrigen siehe Antwort zu 2. Zudem verfügt Dataport über standardisierte Notfallpläne für alle Kundenverfahren im Rechenzentrum, die die Wiederherstellung beliebiger Kundenverfahren an beiden RZ²-Standorten aus der gespiegelten Datensicherung vorsehen. Dazu gehören auch Alarmierungs- und Meldewege intern sowie zu den Kunden. Bei Vorliegen eines Notfalls werden Informationen über einen Notfallstab bereitgestellt. Im Rahmen der Auftragsverarbeitung obliegt die Entscheidung über zu ergreifende Gegenmaßnahmen wie zum Beispiel Sperren des Internetzugangs, Trennen von Endgeräten vom Netz Drucksache 21/18946 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 oder das Herunterfahren von Fachanwendungen den Auftragsberechtigten der Justiz. Besteht eine übergreifende Gefährdung für die Rechenzentrumsinfrastruktur und damit auch für andere Kunden, entscheidet Dataport in Abstimmung mit den Chief Information Officers (CIOs) der Trägerländer über geeignete Gegenmaßnahmen. 7. Welche Maßnahmen zur Verhütung weiterer Schadensausbreitung und zur Gewährleistung eines Notbetriebs zum Beispiel mit Eilrechtsschutz gibt es zum Beispiel in Notfallplänen? Werden diese in gewissen Zeitabständen geübt, wie beispielsweise bei Feuer- oder Katastrophenalarm? Grundsätzlich werden organisatorische und technische Maßnahmen ergriffen, um einen Notbetrieb zu gewährleisten. Die Notfallvorsorgemaßnahmen seitens Dataport sind im Einzelnen in den entsprechenden Notfallhandbüchern umfassend dokumentiert , wie zum Beispiel Einsatz der automatischen Löschanlagen, administrative Notfallzugänge und die Nutzung von Notfallkonten und Wiederanlaufplänen. Das Notfallmanagement bei Dataport ist Gegenstand der Zertifizierung der Rechenzentren nach ISO 27001 auf Basis des IT-Grundschutzes. Diese Maßnahmen werden im Rahmen von jährlichen Notfallübungen regelmäßig evaluiert und fortgeschrieben. In Abhängigkeit der jeweiligen Übungsszenarien werden auch gemeinsame Übungen mit Behörden der Trägerländer durchgeführt. 8. Zu welchen Erkenntnissen ist die länderübergreifende Arbeitsgruppe in Zusammenarbeit mit Dataport zur Errichtung eines „Data Center Justiz“ bislang gekommen? Die Machbarkeit der Errichtung eines „Data Center Justiz“ wird derzeit noch geprüft.