Bereits die von den Oppositionsfraktionen (CDU, FDP) und den Koalitionsfraktionen (SPD, Die Linke und Bündnis 90/Die Grünen) getrennt beantragten Beratungen zum IT-Sicherheitvorfall beim Kammergericht im Rechtsausschuss des Abgeordnetenhauses am 25. September sollten als Ergebnis Perspektiven und Schlussfolgerungen erbringen. Aus der Sitzung des Rechtsausschusses am 30. Oktober ist jedoch wenig bekannt geworden.
Zum IT-Sicherheitsvorfall hat die Justizverwaltung Hinweise zu den Abläufen und Mängeln (freie Nutzung privater USB-Sticks, keine regelmäßige Überprüfung der IT-Sicherheitsbelehrungen, fehlende Schulungen zum Thema „Social Engineering“, fehlendes Grundschutzkompendiums in der Verantwortung der zuständigen Behördenleitung) später bei der Beantwortung einer parlamentarischen Anfrage eines Oppositionsabgeordneten gegeben. Nun soll auf Antrag der Fraktion der CDU eine Besprechnung im Ausschuss für Kommunikationstechnologie und Datenschutz des Abgeordnetenhauses am 9. Dezember die allseits fehlende Aufarbeitung des Vorfalls nachgeholt werden. Anträge der Fraktionen im Abgeordnetenhaus zu dem schwerwiegenden Vorfall sind bisher zur IT-Sicherheit beim Kammergericht nicht gestellt worden.
Eine bemerkenswerte Initiative des Justizsenators zur IT-Sicherheit im Bereich der ordentlichen Gerichtsbarkeit kann auch nicht verzeichnet werden. Die medienwirksame Bekanntgabe der ohnehin geplanten Beschaffung von Laptops für die Richterschaft entlastet den Justizsenator nicht entscheidend in seiner Verantwortlichkeit für die IT-Sicherheit bei den Gerichten. Seit mehreren Jahren sind in den von der für Justiz zuständigen Senatsverwaltung erstellten Beschreibungen zum „IT-Einsatz in der Berliner Justiz“ keine Ausführungen zur IT-Sicherheit enthalten.
Die wenige Wochen vor dem IT-Sicherheitsvorfall von der Justizverwaltung auf ihrer Website veröffentlichte Übersicht zu den IT-Vorhaben der Berliner Justiz enthält nicht einen einzigen Satz zur IT-Sicherheit. Die im Haushaltsplanentwurf für 2020/2021 beim Haushaltskapitel 0615 – Kammergericht – beim Titel 81254 – Informationsmanagement in der Ordentlichen Gerichtsbarkeit (Masterplan IMOG) jeweils eingestellten Jahresraten von 300.000 Euro für die IKT-Sicherheit: Erstellung und Fortschreibung von Sicherheitskonzepten sind für Dienstleistungen des IT-Dienstleistungszentrums Berlin (ITDZ) für ausgewählte IT-Fachverfahren der ordentlichen Gerichtsbarkeit vorgesehen. Die Haushaltsansätze entsprechen denen der Jahre 2018 und 2019. Grundsätzliche IT-Sicherheitskonzeptionen werden damit nicht finanziert Bei den diesjährigen parlamentarischen Haushaltsberatungen sind Aspekte der IT-Sicherheit im Bereich der Gerichte nicht angesprochen worden. Was deshalb auffällig ist, weil der ein oder andere Abgeordnete schwere Vorwürfe nach dem IT-Sicherheitsvorfall erhob.
Das zurückhaltende Verhalten des Justizsenators bei der Umsetzung von IT-Sicherheitsmaßnahmen findet im übrigen seinen besonderen Niederschlag bei der am 24. April 2018 zwischen der Senatsverwaltung für Finanzen und dem erweiterten Hauptpersonalrat sowie Hauptrichter- und Hauptstaatsanwaltsrat des Landes Berlin abgeschlossenen und vom Justizsenator mit unterschriebenen Rahmendienstvereinbarung zum elektronischen Rechtsverkehr und zur elektronischen Aktenführung in den Berliner Gerichten, Staatsanwaltschaften und der Amtsanwaltschaft. Sie weist den örtlichen Dienststellen die Beachtung der IT-Sicherheitsgrundsätze des Landes Berlin ausdrücklich zu. Den einzelnen Gerichten wird verantwortlich die Erstellung von Sicherheitskonzepten mit den aktuellen BSI-Standards übertragen. Es hat eine fortlaufende Dokumentation der getroffenen Maßnahmen zur Gewährleistung des Datenschutzes und der IT-Sicherheit zu erfolgen. Die Einhaltung der Datenschutzbestimmungen und Sicherheitsrichtlinien ist regelmäßig von der Dienststelle zu prüfen. Festgestellte Mängel sind unverzüglich zu beheben.
Mit diesen Regelungen hat der Senat seine Verantwortlichkeiten und die der Behördenleitungen auf die Dienststellenleitungen verlagert, obwohl diese die ihn zugeordneten Kompetenzen höchst eingeschränkt selbst wahrnehmen können. Die Dienststellenleitungen können sehr selten über die notwendigen fachlichen, personellen und finanziellen Möglichkeiten verfügen, um die IT-Sicherheit in eigener Verantwortung zu gewährleisten.
Bei den Gerichten kommt hinzu, dass das Gesetz zur Ausführung des Gerichtsverfassungsgesetzes – AGGVG – vom 23. März 1992 nur eine geringe Grundlage für die Anforderungen an die IT-Sicherheit in der heutigen Zeit bildet. Aus dieser Sicht heraus muss nicht nur der Justizsenator tätig werden, um die Gewährleistung der IT-Sicherheit im Bereich der Gerichte gesetzlich unter Einbeziehung der umfangreich vorhandenen IT-Sicherheitsvorschriften vorzuschreiben und die Rahmenbedingungen dafür zu beschreiben.