JurPC Web-Dok. 133/2019 - DOI 10.7328/jurpcb20193410134

Lena Leffer, Karin Potel [*]

“IT-Sicherheit in der Justiz - Neue Gefahren für die Gerichte? 28. EDV-Gerichtstag - Auftaktveranstaltung

JurPC Web-Dok. 133/2019, Abs. 1 - 27


A. Allgemeine Ausführungen

Abs. 1
Vom 18.09.2019 bis zum 20.09.2019 fand zum 28. Mal der EDV-Gerichtstag an der Universität des Saarlandes statt. Die Auftaktveranstaltung stand in diesem Jahr unter dem Motto: „IT-Sicherheit in der Justiz  – Neue Gefahren für die Gerichte?“. Stellvertretend für die Interdisziplinarität der Veranstaltung konnten wieder Vortragende aus den Bereichen der juristischen und technischen Wissenschaft und Praxis gewonnen werden.Abs. 2
Im Mittelpunkt der Veranstaltung stand der spezifische Bereich der Justiz. In diesem Zusammenhang wurden zentrale Fragen der Digitalisierung und die dadurch resultierenden Gefährdungslagen angesprochen. Die zahlreichen Diskussionsbeiträge belegen den regen Informations- und Wissensaustausch zwischen den Anwesenden. Deutlich wurde dabei auch, dass die Darlegung von praxisrelevanten Problemen Anreize für eine interdisziplinäre Forschung liefern kann. Insoweit brachte die in diesem Jahr verstärkt geführte Diskussion über IT-Sicherheit in der Justiz zahlreiche neue Impulse.Abs. 3
Daneben bietet die Veranstaltung für Rechtsanwälte auch einen berufsbezogenen Aspekt: Die Teilnahme wird als Fortbildung im Sinne des § 15 FAO anerkannt.Abs. 4
Im nachfolgenden Beitrag sollen die einzelnen Vortragsthemen der diesjährigen Auftaktveranstaltung des 28. EDV-Gerichtstages kurz vorgestellt werden.Abs. 5

B. Zum Programm

Abs. 6
Eröffnet wurde die Veranstaltung wie bereits in den vergangenen Jahren von Prof. Dr. Christoph Sorge. Dieser ist Inhaber der Professur für Rechtsinformatik an der Universität des Saarlandes und assoziiertes Mitglied des CISPA − Helmholtz-Zentrum für Informationssicherheit. Prof. Dr. Christoph Sorge, zugleich Mitglied des Vorstandes des EDV-Gerichtstages, begrüßte die zahlreichen Teilnehmer der Tagung im Saarland. Um die Aktualität der Veranstaltung zu betonen, verwies er auf einige der kürzlich eingetretenen Sicherheitsvorfälle und übergab anschließend das Wort an Stefan Hessel.Abs. 7
Stefan Hessel ist wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes und dem CISPA − Helmholtz-Zentrum für Informationssicherheit sowie Geschäftsführer der Defendo GbR – Hessel & Rebmann (www.defendo.it), die Justiz, Anwaltschaft und Unternehmen in Datenschutz- und IT-Sicherheitsfragen berät. Zudem ist er seit März 2018 Rechtsreferendar beim Saarländischen Oberlandesgericht.Abs. 8
Herr Hessel beschäftigte sich in seinem Vortrag schwerpunktmäßig mit der Digitalisierung der Justiz. Dies sei nicht nur ein vorteilhafter, sondern auch ein zwingend notwendiger Prozess. Denn eine digitale Gesellschaft benötige auch eine digitale Justiz. In einem Ausblick stellte Herr Hessel dar, dass die Justiz in naher Zukunft Angriffspunkt größerer Cybercrime-Kampagnen sein wird. Dabei müsse berücksichtigt werden, dass eine Vielzahl von Risiken und möglichen Angriffen aufgrund der Bedeutung der Sicherheit der Justiz für das Vertrauen in den Rechtsstaat inakzeptabel sei. Insbesondere ist die Verwirklichung selbst unwahrscheinlicher Gefahren im Ergebnis mit einem hohen Schaden verbunden. Daher müssen geeignete Schutz- beziehungsweise Abwehrmaßnahmen ergriffen werden. Ausgangspunkt muss dabei die Sicherung der Anwendungen sein. Dazu stehen verschiedene – teils einfache – Ansätze zur Verfügung. Im digitalen Bereich bieten sich Schulungen des Personals beispielsweise hinsichtlich der Einrichtung einer wirksamen Datenträgerverschlüsselung an. Daneben können auf analoger Ebene bereits Maßnahmen wie die Absicherung von Gebäudeeingängen Wirkung entfalten. Hessel betonte abschließend den hohen Stellenwert einer ausreichenden Berücksichtigung von IT-Sicherheit. Ansonsten drohe die durch die Digitalisierung erhoffte Verbesserung und Vereinfachung der Verfahrensabläufe sowie die Schaffung eines bürgerfreundlichen Zugangs zur Justiz zu einer Büchse der Pandora voller möglicher Cyberangriffe zu werden.Abs. 9
Abs. 10
Holger Junker ist Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich Detektion von Angriffen auf Regierungsnetze mit dem Schwerpunkt Fallbearbeitung und Signaturerstellung. Zudem ist er Entwickler von ProcessBouncer, einem Open-Source-Tool zur effektiven Verhinderung von Systeminfektionen durch Ransomeware und anderer Schadsoftware.Abs. 11
Herr Junker begann seinen Vortrag mit einigen Ausführungen zur aktuellen Bedrohungslage, wobei er insbesondere die Problematik von Ransomeware sowie die erheblichen Fortschritte im Bereich des sogenannten Social Engineerings betonte. Nach seiner Auffassung ist die verstärkte Gefahr von Cyberangriffen vor allem auf den stetigen Wandel hinsichtlich der Taktiken, Werkzeuge und Vorgehensweisen der Angreifer und zugleich auf eine zunehmende Professionalisierung der Täter zurückführen. Mit Blick auf die angesprochenen Probleme stellte Herr Junker einige Lösungsansätze dar. Er ging insbesondere auf die Stellung des Menschen als vermeintlich schwächstes Glied in der Sicherheitskette ein. Dabei gebe es, so Junker, viele naheliegende Lösungsansätze. So sollte ein Nutzer beispielsweise stets darauf achten, die aktuellste Version des Betriebssystems oder einer Anwendung zu verwenden, da für diese immer neue Sicherheitsupdates zur Verfügung stünden. Auch in anderen Bereichen bieten sich nach Junker bereits relativ einfache Lösungsansätze an. Insbesondere ist im Bereich des Homeoffice auf sichere Verbindungen und Kommunikationswege zu achten.Abs. 12
Frederik Möllers ist Executive bei Michael Backes Cybersecurity. Er promoviert außerdem am Lehrstuhl für Rechtsinformatik, an dem er zuvor als wissenschaftlicher Mitarbeiter tätig war. In seiner Forschung widmet er sich den Themen Datenschutz in Smart Homes sowie Cybercrime und Legal Tech. In seinem Vortrag beschäftigte er sich mit der Sicherheit von Webbrowsern und Webseiten.Abs. 13
Zunächst stellte er die Grundlagen des sogenannten Cross-Site-Scripting (XSS) dar. Dabei handelt es sich um einen konzeptionell bereits älteren, aber immer noch sehr verbreiteten Angriff auf Besucher von Webseiten. Aufgrund einer Sicherheitslücke in der Umsetzung der Webseite ist es möglich, unbeteiligten Besuchern der Webseite einen JavaScript-Code unterzuschieben. Dieser wird im Kontext der Webseite ausgeführt. Darüber können etwa Login-Daten abgegriffen oder die Nutzer anderweitig ausgespäht werden. Obwohl das Problem des Cross-Site-Scriptings bereits seit circa 20 Jahren bekannt ist, werden vorhandene Schutzmaßnahmen von Webseitenbetreibern oft nur unzureichend umgesetzt. Dennoch ist das Thema weiterhin Gegenstand der Sicherheitsforschung: Eine Arbeitsgruppe des CISPA – Helmholtz-Zentrums veröffentlichte im Februar 2019 Details zum sogenannten "Persistent Client-Side Cross-Site Scripting".[1]Abs. 14
Um die Brisanz dieser Sicherheitslücken zu unterstreichen, wurden im Vortrag diverse Beispiele vorgeführt. So wurden auf einer dafür präparierten Webseite die Zugangsdaten aus einem Passwortmanager abgegriffen, ohne dass es einer Interaktion des Nutzers bedurfte.Abs. 15
Darüber hinaus thematisierte Herr Möllers die Sicherheit aus der Perspektive der Webseitenbetreiber. Veraltete Software sowie Fehler bei der Umsetzung eigener Funktionen können dazu führen, dass Angreifer die Kontrolle über eine Webseite übernehmen.Abs. 16
Des Weiteren stellte Herr Möllers ein relativ neues Problem im Zusammenhang mit dem Betrieb einer Webseite – das sogenannte Ad Cloaking – vor. Hierbei platzieren Angreifer Schadcodes in Form einer Werbeanzeige auf Werbeplattformen. So können beispielsweise Kryptowährungen im Browser des Webseitenbesuchers geschürft werden oder Weiterleitungen auf Betrugsseiten erfolgen. Schützen kann sich sowohl der Nutzer – mit Hilfe von AdBlockern – als auch der Betreiber, indem die Werbeanzeigen zum Beispiel mit Hilfe von Frames vom Kontext der Webseite getrennt werden. Dies schränkt zwar die Möglichkeiten der Werbung ein, ein vollständiger Schutz, so Möllers, ist jedoch andernfalls derzeit kaum möglich.Abs. 17
Auf den Vortrag von Herrn Möllers folgte ein weiterer Vortrag von Herrn Junker zum Thema „sicherer Büroalltag“.Abs. 18
Dabei stellte er Drucker, Faxgeräte und Multifunktionsgeräte, welche trotz der fortschreitenden Digitalisierung vielfach noch zum Einsatz kommen, in den Fokus seiner Betrachtung. Der Einsatz dieser Geräte ist zum einen zwangsläufig mit Medienbrüchen verbunden, zum anderen birgt er oftmals ein massives Sicherheitsrisiko. Zur Verdeutlichung dieser Problematik stellte Junker einige Zugriffsmöglichkeiten – beispielsweise auf die durch das Gerät ausgedruckten, kopierten oder per Fax versendeten Dokumente – dar. Ermöglicht werden diese Zugriffe nicht nur auf dem analogen Wege, sondern unter anderen auch durch nicht-zugangsbeschränkte Webschnittstellen. Hat der Angreifer erst einmal Zugriff auf ein internes Netz erlangt, stehen ihm zahlreiche Möglichkeiten zur Verfügung, dieses auszunutzen. Neben der Möglichkeit, auf Dokumente zuzugreifen, kann er auch Druckvorgänge in Gang setzen. Dies geschah bereits im Jahre 2016 an einigen deutschen Universitäten.Abs. 19
Herr Junker riet daher den Praktikern zur Verwendung sicherer Passwörter und zudem zur Separierung von Netzwerken und der Einrichtung von besonderen Zugriffsbeschränkungen. So können nicht-autorisierte Zugriffe von außen verhindert werden. Um auch analogen Angriffen vorzubeugen, schlug er vor, die entsprechenden Geräte beispielsweise mit einer PIN zu versehen. Ein verantwortungsbewusster Umgang mit Bürogeräten ist, so Junker, daher nicht nur in physischer Hinsicht zu beachten, sondern auch dann, wenn es um die Sicherheit des Netzwerkes geht. Dabei hob er insbesondere die Sicherung von hausinternen Netzwerkdosen hervor. Daneben sei auch das oftmals vergessene Thema der verantwortungsbewussten Entsorgung von Bürogeräten zu beachten. Denn eine Vielzahl dieser verfügt mitunter über sehr große Festplatten und speichert abhängig von Produkt und Konfiguration alle verarbeiteten (bedeutet gedruckten, empfangenen und gescannten) Dokumente. Die Sicherheit von Bürogeräten erfordere daher nach Auffassung von Junker ein Tätigwerden auf mehreren Ebenen.Abs. 20
Andreas Rebmann ist wissenschaftlicher Mitarbeiter bei der Professur für Rechtsinformatik, sowie zusammen mit Herrn Hessel Geschäftsführer der Defendo GbR – Hessel & Rebmann (www.defendo.it).Abs. 21
In seinem Vortrag beschäftigte sich Herr Rebmann mit Kommunikationsstrategien in den Feldern Datenschutz und IT-Sicherheit. Er plädierte hier für einen offensiven Umgang mit dem Thema, sowohl im Bereich der Prävention, als auch im Anschluss an IT-Sicherheitsvorfälle. So zeigte er auf, dass eines der größten Probleme beim Thema IT-Sicherheit in Unternehmen nicht etwa technische Fehler seien, sondern die schleppende interne Kommunikation von erforderlichen Maßnahmen. Dabei ist ein zumindest grundlegendes Verständnis der vorgeschriebenen Maßnahmen essentiell für die erfolgreiche Umsetzung. Als besonders hilfreich hierfür nannte Rebmann die Etablierung einer IT-Sicherheitskultur, in der für das Thema IT-Sicherheit bei allen Mitarbeitern einer Behörde ein Bewusstsein geschaffen werden muss. IT-Sicherheit und Datenschutz sollten nach seiner Auffassung zur „Chefsache“ gemacht werden, um den Mitarbeitern mit gutem Beispiel voran zu gehen. Regelmäßige Schulungen sind daher laut Rebmann eben nicht nur für die Führungsebene oder die IT-Abteilung notwendig, sondern für alle Mitarbeiter wichtig.Abs. 22
Im Ergebnis sind vor allem zwei grundlegende Erkenntnisse zu nennen: Der Faktor Mensch wird – obwohl immer relevanter im Feld IT-Sicherheit – oft vernachlässigt und meist reichen schon einfache Maßnahmen aus, um das Maß an IT-Sicherheit bereits nicht unerheblich zu erhöhen.Abs. 23

C. Fazit

Abs. 24
Auch in diesem Jahr versammelte die Auftaktveranstaltung des EDV-Gerichtstages Praktiker und Wissenschaftler und leistete damit ihren Beitrag zur Förderung der interdisziplinären Zusammenarbeit. Im Vordergrund der Veranstaltung standen diesmal – anders als in den vergangenen Jahren – die Gerichte und damit die Justiz. Geblieben ist jedoch der Grundgedanke der Veranstaltung: Es geht um einen effektiven und bedachten Umgang mit IT-Sicherheitssystemen und deren Anwendungen. Aufgrund des großen Andranges ist mit einer Fortführung des Erfolgskonzepts der Auftaktveranstaltung des EDV-Gerichtstages auch im kommenden Jahr zu rechnen.Abs. 25
Abs. 26
Von links nach rechts: Holger Junker, Frederik Möllers, Stefan Hessel, Andreas Rebmann, Prof. Dr. Christoph SorgeAbs. 27

Fußnoten:

[*] Dipl. iur. Lena Leffer ist wissenschaftliche Mitarbeiterin am Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes und CISPA − Helmholtz-Zentrum für Informationssicherheit. Zudem ist sie seit September 2019 Rechtsreferendarin beim Saarländischen Oberlandesgericht. E-Mail: lena.leffer@uni-saarland.de
Dipl. iur. Karin Potel ist wissenschaftliche Mitarbeiterin am Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes. Zudem ist sie seit September 2019 Rechtsreferendarin beim Saarländischen Oberlandesgericht. E-Mail: karin.potel@uni-saarland.de
[1] https://people.cispa.io/ben.stock/papers/steffens2019locals.pdf.

[online seit: 23.10.2019]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
Zitiervorschlag: Leffer, Lena, "IT-Sicherheit in der Justiz - Neue Gefahren für die Gerichte?" 28. EDV-Gerichtstag - Auftaktveranstaltung - JurPC-Web-Dok. 0133/2019