Schwach­s­telle Refe­rendar?

Dass es um die IT-Sicherheit der Justiz stellenweise schlecht bestellt ist, dürfte spätestens seit dem Cyberangriff auf das Kammergericht im September 2019 auch einer breiteren Öffentlichkeit bekannt sein.

Doch während im Fall des Kammergerichts die Justiz vermutlich zufällig Opfer einer größeren Cybercrime-Kampagne wurde, schlummert in der Justiz eine Bedrohung ganz anderer Art. Die Rede ist von den Tausenden Referendarinnen und Referendaren, die jährlich ihren Vorbereitungsdienst in der Justiz antreten und im Rahmen ihrer Ausbildung nicht nur Zugriff auf sensible Justizdaten bekommen, sondern auch zusätzliche Risiken für die IT-Systeme der Justiz mitbringen.

Der Referendar als potenzieller Innentäter

Innentäter sind im Bereich der IT-Sicherheit gefürchtet. Es handelt sich um Personen, die Teil einer Institution sind und deren IT-Sicherheit von innen bedrohen. Neben unzufriedenen oder gar gekündigten Mitarbeitenden werden als klassische Beispiele für mögliche Tätergruppen auch immer wieder Praktikanten genannt, weil diese sich mitunter leicht einschleusen lassen. Innentäter haben somit nicht nur legale Zugangsmöglichkeiten zur Institution, sondern können auch über ein gefährliches Insiderwissen verfügen oder dieses schnell erwerben. Nicht zuletzt deswegen bewertet die europäische Agentur für Cybersicherheit ENSIA Innentäter in einer aktuellen Analyse als eine der Top-15-Bedrohungen für die IT-Sicherheit und stellt einen wachsenden Trend entsprechender Angriffe fest.

Referendarinnen und Referendare können zu unabsichtlich handelnden Innentätern werden. Denn auch durch einen leichtsinnigen Umgang mit IT-Systemen können Personen in einer Institution zur Gefahr von innen werden. Neben dem Risiko, dass Referendare, beispielsweise über gefälschte Zeugnisse, gezielt in den Justizbetrieb eingeschleust werden oder dort, z.B. in Folge von Unzufriedenheit oder persönlichen Problemen, rekrutiert werden, können also auch durch fehlende IT-Kenntnisse bei den angehenden Volljuristinnen und -juristen Innentäter-Konstellationen entstehen. Nicht vergessen darf man dabei auch, dass – wie der Fall eines Referendars aus Leipzig zeigt – längst nicht jeder Referendar als unbedenklich eingestuft werden kann.

Wenn Justiz-Daten vom Privatrechner automatisch in die USA fließen

Wie bei allen Bedrohungen für die IT-Sicherheit gilt bei Innentätern die Prävention als der entscheidende Faktor zur Minimierung von Risiken. Neben einer sorgfältigen Auswahl des Personals zählt dazu vor allem, wie der Zugang zu sensiblen Informationen geregelt ist. Bei ihrer Ausbildung in der Justiz bekommen die Referendarinnen und Referendare grundsätzlich keinen direkten Zugriff auf die IT-Systeme der Justiz, sondern ihnen werden ausbildungsrelevante Justizdaten wie etwa Ermittlungsakten oder Klageschriften gesondert zugänglich gemacht.

Sollen Referendarinnen und Referendare Justiz-Daten bearbeiten, also etwa eine Anklageschrift oder einen Urteilsentwurf entwerfen, dann nutzen sie dafür in der Regel ihre Privatgeräte. Und die sind dem Einflussbereich und der Kontrolle durch die Justiz vollständig entzogen, was es – wie in anderen Fällen von "Bring your own device" – sehr schwer bis unmöglich macht, ausreichende IT-Sicherheitsmaßnahmen zu gewährleisten.

Die Verarbeitung von Justizdaten auf Privatgeräten kann dabei auch unter Datenschutzaspekten problematisch sein. Ein Beispiel hierfür ist die Übertragung von sensiblen Justizdaten in die USA, wenn auf dem Privatgerät der Nachwuchsjuristinnen und -juristen Daten automatisch mit einem Cloudanbieter in den USA synchronisiert werden. Zur Minimierung solcher Risiken bleibt der Justiz neben der Hoffnung, dass schon alles gut gehen wird, vor allem die Möglichkeit, die Referendarinnen und Referendare mit Hilfe von Weisungen, Handreichungen und Schulungen für die Gefahren zu sensibilisieren.

Jedes Bundesland macht eigene Vorgaben

Für den juristischen Vorbereitungsdienst ist jedes Bundesland in eigener Verantwortung zuständig - und damit auch für die Prävention bei der IT-Sicherheit. Hierbei gehen die Bundesländer, wie eine eigens für diesen Beitrag durchgeführte Reihe von Informationsfreiheitsanfragen zeigt, ganz unterschiedliche Wege. Wie aus den Antworten der Justizministerien ersichtlich wird, verpflichten alle Bundesländer, die dortigen Referendare zur Vertraulichkeit bzw. auf die geltenden gesetzlichen Vorgaben zu Datenschutz und IT-Sicherheit.

In Nordrhein-Westfalen müssen Referendarinnen und Referendare darüber hinaus eine Dienstanweisung zum Datenschutz und zur Datensicherung beim Einsatz von IT-Geräten beachten. Diese sieht unter anderem vor, dass Daten grundsätzlich nicht auf Privatgeräten, sondern auf einem von der Justiz zur Verfügung gestellten USB-Stick zu speichern sind. Ein Austausch der Daten per E-Mail oder über Soziale Medien ist ebenfalls grundsätzlich untersagt. Ausbilder dürfen von diesen Vorgaben nicht abweichen.

In Baden-Württemberg existiert ebenfalls eine umfangreiche Dienstanweisung zur IT-Nutzung. Diese erlaubt jedoch auch den Einsatz privater USB-Sticks, wenn dienstliche nicht zur Verfügung stehen. In diesem Fall müssen die Daten jedoch mit dem Programm "7-zip" verschlüsselt werden. Das Passwort für die Schlüsselung soll mindestens 10 Stellen enthalten und auf einem separaten Kanal – genannt werden Telefon oder SMS – ausgetauscht werden. Die verschlüsselten ZIP-Dateien dürfen nach der Verschlüsselung auch per E-Mail verschickt werden. Unverschlüsselte Daten dürfen nur versandt oder auf Privatgeräten gespeichert werden, wenn sie anonymisiert wurden. Darüber hinaus solle nprivate Computer stets mit Updates versorgt werden, sowie über eine Anti-Viren-Software und eine Personal Firewall verfügen.

Auf verschlüsselte USB-Sticks setzt man auch in Rheinland-Pfalz. Wobei dort nicht einzelne Dateien, sondern gleich der gesamte USB-Stick mit Hilfe der Microsoft-Lösung "BitLocker" verschlüsselt wird. Das zugehörige Passwort wird den Referendarinnen und Referendaren mündlich mitgeteilt. Um sicherzustellen, dass über die USB-Sticks keine Viren in das Justiznetz eingeschleust werden, existieren spezielle Rechner zur Überprüfung auf Schadsoftware. In Brandenburg erhalten die Referendare neben einem allgemeinen Hinweis auch eine Anleitung zur Verwendung der Dokumentenverschlüsselung in Word und werden angehalten die Justizdaten nach der Aktenbearbeitung zu löschen. In Bayern, Hessen, Thüringen und Sachsen-Anhalt werden keine spezifischen Hinweise zu Datenschutz und IT-Sicherheit im juristischen Vorbereitungsdienst gegeben. In Niedersachsen, Hamburg und Berlin lagen bei den Justizbehörden hierzu keine Informationen vor. Bisher nicht beantwortet wurden die Anfragen in Mecklenburg-Vorpommern, dem Saarland, Sachsen, Schleswig-Holstein und Bremen.

Verantwortung für IT-Sicherheit soll auf Referendare abgewälzt werden

Trotz einiger ambitionierter Ansätze zur Risikominimierung in den Ländern zeigt die Auswertung, dass alles in allem Zweifel an der Gewährleistung eines ausreichenden IT-Sicherheitsniveaus beim Umgang von Referendarinnen und Referendaren mit Justizdaten angebracht sind. Zu kritisieren ist insbesondere die Nutzung von Privatgeräten durch die Referendare, da diese in der Regel nicht hinreichend befähigt sein dürften, die notwendigen technischen Schutzmaßnahmen zu ergreifen.

Ihnen derartige Kenntnisse jedoch über Verpflichtungserklärungen und Dienstanweisungen abzuverlangen, obwohl die Vermittlung und Umsetzung von Maßnahmen zu Datenschutz und IT-Sicherheit in der juristischen Ausbildung meist keinerlei Rolle spielt, ist unfair und kann die Justiz zugleich nicht von ihrer Verantwortung befreien. Ändern sich die in der Justiz vorhandenen IT-Sicherheitskonzepte nicht grundlegend, dürfte der nächste IT-Sicherheitsvorfall nur eine Frage der Zeit sein. Mögliche Quelle einer Infektion mit Schadsoftware könnte dann der USB-Stick eines Referendars oder einer Referendarin sein, statt – wie zuletzt beim Kammergericht vermutet – der eines Richters.

Stefan Hessel ist Rechtsanwalt und Associate im Team Cybersecurity& Datenschutz bei reuschlaw Legal Consultants in Saarbrücken.