Der Vortrag analysiert welche Bedrohungen für die IT-Sicherheit durch die Digitalisierung der Justiz entstehen. Er unterscheidet dabei zwischen zufälligen und zielgerichteten Angriffen. Darüber hinaus arbeitet der Vortrag heraus, dass die Justiz nicht nur die DSGVO, sondern auch aufgrund des Justizgewährungsanspruchs zur Gewährleistung von IT-Sicherheit verpflichtet ist. Sodann untersucht der Vortrag anhand eines Einzelfallbeispiels, wie gut die
deutsche Justiz vor Angriffen geschützt ist, bevor abschließend Lösungsansätze für die Verbesserung der IT-Sicherheit in der Justiz unterbreitet werden.
Was tun bei einer Datenpanne? Das verlangt die DSGVO
IRIS 2020 - Hessel/Rebmann: IT-Sicherheit in der Justiz – Wege aus einer drohenden Krise
1. IT-Sicherheit in der Justiz – Wege aus einer
drohenden Krise
Ass. iur. Stefan Hessel
Associate im Team Datenschutz & Cybersecurity bei reuschlaw Legal Consultants in Saarbrücken &
Geschäftsführer der Defendo GbR – Hessel, Rebmann & Vogelgesang
Andreas Rebmann, M.A.
Wissenschaftlicher Mitarbeiter, Professur für Rechtsinformatik, Universität des Saarlandes &
Geschäftsführer der Defendo GbR – Hessel, Rebmann & Vogelgesang
2. 28.02.2020 Hessel / Rebmann – IRIS 2020 2
Digitalisierung der Justiz
●
Elektronische Kommunikation
●
E-Akte
●
Strukturierter Parteivortrag
●
Legal Tech
➔
Umfassende Verlagerung von
(analogen) Prozessen in die digitale
Welt
3. 28.02.2020 Hessel / Rebmann – IRIS 2020 3
Veränderte Ausgangslage
●
Steigende Menge digital verfügbarer
Daten
‒ Zentralisierte Infrastrukturen
‒ Durchsuchbarkeit
‒ Kopierbarkeit
●
Globale Erreichbarkeit über das Internet
‒ Kommunikationsvorgänge
‒ Zugriff auf Daten
4. 28.02.2020 Hessel / Rebmann – IRIS 2020 4
Neue Bedrohungen
●
Justiz als Beifang von Cybercrime-Kampagnen
(z.B. Ransomware, Emotet, etc.)
●
Beispiel: Angriff auf das Kammergericht
Berlin Herbst 2019
5. 28.02.2020 Hessel / Rebmann – IRIS 2020 5
Neue Bedrohungen
●
Zunahme zielgerichteter Angriffe
●
Veränderung des Kosten-Nutzen-Risikos
(„Es gibt mehr zu holen“)
●
Geringere Hemmschwelle bei
Cybercrime
●
Größere Tätergruppe (weltweite
Angriffe)
6. 28.02.2020 Hessel / Rebmann – IRIS 2020 6
Terrorismus
Sprengstoffanschlag gegen die JVA Weiterstadt durch die RAF am 27. März 1993 (Quelle: t-
online.de)
7. 28.02.2020 Hessel / Rebmann – IRIS 2020 7
„Cyber-Jihad“
●
Islamistische Terrorgruppen verfügen über
entsprechendes Know-how
‒ April 2015: Hack des Sender TV 5 Monde
‒ Juni 2017: Behördenwebseiten in Ohio und
Maryland
●
Mögliche Anlässe für Angriffe auf die deutsche
Justiz
‒ Verfahren gegen Gefährder, Rückkehrer oder
sonstige Anhänger der islamistischen Szene
8. 28.02.2020 Hessel / Rebmann – IRIS 2020 8
„Texas Prison Hack“
●
Kevin Mitnick: Die Kunst des
Einbruchs
●
Zwei Häftlinge mit Interesse für
Computer
●
Nicht inventarisierte Computerteile
i.V.m. Social Engineering
●
Verlegung von Ethernet und
Telefonkabeln im Gefängnis
●
Internetzugriff über den Rechner
des Anstaltsleiters und die Modem-
Einwahldaten eines Wärters
9. 28.02.2020 Hessel / Rebmann – IRIS 2020 9
Digitale Gefangenenbefreiung
●
April 2015: Mittels
illegalem Mobiltelefon
Webseite und E-
Mailadresse aus der
Zelle heraus eingerichtet
●
E-Mail des Court Service
mit Anordnung den
Gefangenen auf Kaution
freizulassen
●
Freilassung nach 3 Tagen Neil Moore, Quelle: Metropolitan Police
●
Variante: IT-Angriff mit dem Ziel die Freilassung von
Gefangenen zu erreichen
10. 28.02.2020 Hessel / Rebmann – IRIS 2020 10
Der Anruf des „Haftrichters“
Quelle: Wall Street Journal, 30.08.2019
Quelle: Vice, 09.03.2018
11. 28.02.2020 Hessel / Rebmann – IRIS 2020 11
Entwendung von Akten(teilen)
●
Wirtschaftliche Motivation:
‒ Erlangung von Informationen i.S.v. § 16
GeschGehG oder vergleichbaren Informationen
→ z.B. Wirtschaftsspionage, Insidergeschäfte,
etc.
‒ Erlangung von sonstigen Informationen → z.B.
Boulevardpresse
●
Politische Motivation:
‒ August 2018: „Chemnitz-Leak“: Innentäter
veröffentlicht Haftbefehl
12. 28.02.2020 Hessel / Rebmann – IRIS 2020 12
Angriffsmethoden
●
Alles denkbar von
Dumpster Diving bis
zu hochtechnisierten
Angriffen mit
Schadsoftware
●
Es ist mit einem
weitreichenden
Einsatz gegen die
Justiz zu rechnen!
One man’s trash is the enemy’s treasure (Quelle:
(U.S. Air Force photo by Staff Sgt. Nesha Humes)
14. 28.02.2020 Hessel / Rebmann – IRIS 2020 14
Anmerkung zur Schadenshöhe
●
Vielzahl von Risiken ist
inakzeptabel → hoher Schaden
●
Vertrauen in die Sicherheit der
Justiz ist essentiell für den
Rechtsstaat
●
Selbst kleine Vorfälle können
dieses Vertrauen erschüttern
16. 28.02.2020 Hessel / Rebmann – IRIS 2020 16
IT-Sicherheit als justizielle Verantwortung
●
DSGVO für die Justiz voll anwendbar
‒ Allerdings eigene Aufsicht
●
Zugleich verfassungsrechtliche
Verpflichtung durch
Justizgewährungsanspruch als
institutionelle Garantie
(Mindestmaß an IT-Sicherheit)
17. 28.02.2020 Hessel / Rebmann – IRIS 2020 17
Aktueller Stand
●
Bisher: Starke Fokussierung auf Sicherheit von
Anwendungen (z.B. e-Akte-Lösung)
●
Zur Bewältigung des entstehenden Risikos jedoch
umfassende IT-Sicherheitskultur unter Berücksichtigung
der Gewährleistung von Funktionsabläufen notwendig
●
Defizit vor allem bei:
‒ „Begleitprozessen“ (z.B. Schulung des Personals bzgl.
Grundregeln der IT-Sicherheit, Verschlüsselung von
Dienstgeräten, etc.)
‒ Vermeintlich analogen Prozessen (z.B. Absicherung von
Gebäudeeingängen, Auskünfte am Telefon, etc.)
‒ Ausbildungsbereich (z.B. Referendare)
18. 28.02.2020 Hessel / Rebmann – IRIS 2020 18
Lösungswege
●
Grundverständnis schaffen
●
IT-Sicherheit als Prozess begreifen (ISMS)
●
Kommunikation von IT-Sicherheit
●
Gesetzliche Regelung:
‒ IT-Sicherheitsgesetz für die Justiz
‒ Überprüfung bzw. Aufgabe der
datenschutzrechtlichen Selbstkontrolle?