Im September 2019 traf ein Cyberangriff das Kammergericht Berlin – das höchste ordentliche Gericht der Hauptstadt. Der Vorfall legte systemische Schwachstellen offen, die weit über einen einzelnen Standort hinaus bedeutsam sind. Sechs Jahre später, im April 2026, veröffentlicht das US-Unternehmen Anthropic ein KI-Modell, das vollständig autonom Zero-Day-Schwachstellen in Software findet. Die Verbindung zwischen beiden Ereignissen ist direkter, als es auf den ersten Blick scheint: Wenn KI-gestützte Werkzeuge Schwachstellen schneller aufspüren als bisherige Methoden, trifft das auf eine Justiz-IT-Infrastruktur, die schon gegen herkömmliche Angriffe nicht gewappnet war.
Der Angriff: Emotet, TrickBot und die vollständige Kompromittierung
Der Emotet-Trojaner gelangte über eine gefälschte E-Mail in das Netzwerk des Kammergerichts. Was folgte, war ein lehrbuchmäßiger mehrstufiger Angriff: Emotet lud die Schadsoftware TrickBot nach, die sich im gesamten Netzwerk ausbreitete und systematisch Zugangsdaten abgriff. Die T-Systems-Forensik kam zu dem Ergebnis, dass die Angreifer höchstwahrscheinlich in der Lage gewesen sind, den gesamten Datenbestand des Kammergerichts zu exfiltrieren.
Die mögliche Tragweite ist kaum zu überschätzen: Unter den potenziell betroffenen Daten befanden sich Namen verdeckter Ermittler, Zeugenaussagen in Terrorismusverfahren, Angeklagtendaten und richterliche Entscheidungsentwürfe. 550 Computer wurden abgeschaltet. Das Gericht arbeitete monatelang mit Stift, Papier, Schreibmaschinen und Fax.
Die Ursachen: Strukturelle Defizite, nicht Pech
Der T-Systems-Bericht legte offen, was den Angriff so verheerend machte. Es war nicht die Raffinesse der Schadsoftware – Emotet war 2019 bereits gut dokumentiert. Es waren grundlegende Architekturmängel.
Das Netzwerk des Kammergerichts war nicht segmentiert. Nach dem Eindringen konnte sich die Schadsoftware ungehindert auf jeden erreichbaren Rechner ausbreiten. Die Endpoint-Protection versagte. Es gab keine Gateway-Filterung, die den Abruf bekannter Schadsoftware-Server blockiert hätte. Proxy-Logs, die eine frühe Erkennung ermöglicht hätten, existierten nicht. Backup-Server waren defekt.
Ein Detail verdient besondere Aufmerksamkeit: Das Kammergericht hatte sich zuvor bewusst gegen den Anschluss an die zentrale IT-Sicherheitsinfrastruktur des ITDZ Berlin entschieden. Die Begründung lag in der richterlichen Unabhängigkeit. Das Ergebnis war ein Netzwerk, das weder zentral geschützt noch eigenständig abgesichert war.
Die DSGVO-Dimension: 63 Tage statt 72 Stunden
Die DSGVO verlangt in Art. 33 die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden. Das Kammergericht meldete den Vorfall erst nach 63 Tagen – weit jenseits der gesetzlichen Frist. Art. 34 DSGVO verlangt zudem die Benachrichtigung der Betroffenen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Bei potenziell exfiltrierten Daten verdeckter Ermittler und Zeugen in Terrorismusverfahren dürfte diese Schwelle deutlich überschritten gewesen sein.
Die Frage, ob Gerichte als Organe der Rechtspflege denselben DSGVO-Anforderungen unterliegen wie andere Verantwortliche, ist eindeutig zu bejahen. Art. 37 Abs. 1 lit. a DSGVO verpflichtet öffentliche Stellen sogar explizit zur Benennung eines Datenschutzbeauftragten. Ausnahmen für die Justiz bestehen nur für die richterliche Tätigkeit selbst – nicht für die IT-Infrastruktur, auf der diese Tätigkeit abgewickelt wird.
Föderale Fragmentierung: 16 Bundesländer, 16 IT-Systeme
Das Kernproblem der Justiz-IT in Deutschland ist struktureller Natur. 16 Bundesländer verwalten jeweils eigene Justiz-IT-Systeme mit unterschiedlichen Sicherheitsniveaus, unterschiedlichen Dienstleistern und ohne verbindliche einheitliche Standards. Was in einem Bundesland als Sicherheitsanforderung gilt, kann in einem anderen fehlen. Der IT-Sicherheitsrechtler Stefan Hessel konstatierte: Die Justiz habe kein Interesse, sich mit der IT-Sicherheit zu befassen. Dort glaube man, das sei nur ein Thema für die Systemadministratoren.
Das BSI verfügt mit dem IT-Grundschutz über ein umfassendes Rahmenwerk für Informationssicherheit. Spezifische BSI-Leitlinien für die Justiz existieren jedoch nicht. Die verfassungsrechtlich garantierte richterliche Unabhängigkeit begrenzt die direkte Autorität des BSI über die Justiz-IT. Das Ergebnis ist ein Verantwortungsvakuum: Die Justiz soll unabhängig sein, hat aber nicht die Ressourcen und häufig nicht das Bewusstsein, ihre IT-Sicherheit eigenständig auf dem erforderlichen Niveau zu halten.
In Berlin nutzten Richter routinemäßig private PCs und USB-Sticks für dienstliche Zwecke. VPN-Verbindungen waren nicht verfügbar. Derartige Praktiken sind kein Einzelfall, sondern symptomatisch für eine Justiz-IT, die historisch auf Papierakten ausgerichtet war und den digitalen Wandel nachholend vollzieht.
Die eAkte als Vergrößerung der Angriffsfläche
Die elektronische Akte war gesetzlich zum 1. Januar 2026 vorgeschrieben. Der Bundestag hat im November 2025 eine Opt-out-Regelung beschlossen, die eine flächendeckende Verfügbarkeit auf 2027 verschiebt. Technisch bedeutet die Umstellung, dass sämtliche Verfahrensakten – Urteile, Entscheidungsentwürfe, Gutachten, persönliche Daten von Parteien und Zeugen – dauerhaft digital gespeichert und über Netzwerke zugänglich werden.
Aus Sicherheitsperspektive vergrößert das die Angriffsfläche erheblich. Ein einzelner gezielter Angriff könnte alle Akten eines gesamten Gerichts offenlegen – nicht nur die laufenden, sondern sämtliche archivierten Verfahren. Bei einem Gericht wie dem Kammergericht Berlin umfasst das Zivil-, Straf- und öffentlich-rechtliche Verfahren aus Jahrzehnten.
Die Frage ist nicht, ob die Digitalisierung richtig ist. Sie ist notwendig, längst überfällig und im Interesse der Rechtsuchenden. Die Frage ist, ob die IT-Sicherheitsarchitektur der Geschwindigkeit folgt, mit der die Angriffsfläche wächst. Der Kammergericht-Vorfall von 2019 gibt Anlass zu ernsthaften Zweifeln.
Der Brückenschlag zu Claude Mythos
BSI-Präsidentin Claudia Plattner erklärte am 10. April 2026, ihre Behörde erwarte Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben.
Was bedeutet das für die Justiz-IT? Wenn KI-gestützte Werkzeuge Schwachstellen in Betriebssystemen und Webbrowsern im industriellen Maßstab auffinden, betrifft das unmittelbar die Software, auf der Gerichte arbeiten. Windows, Linux, Firefox, Chrome, Office-Anwendungen – die Werkzeuge der täglichen richterlichen Arbeit.
Ein Angreifer, der mit vergleichbaren KI-Werkzeugen arbeitet, würde auf eine Infrastruktur treffen, die beim Kammergericht Berlin 2019 nicht einmal gegen einen herkömmlichen Emotet-Angriff standgehalten hat. Die Kombination aus beschleunigter Angriffsentwicklung und struktureller Unterinvestition in die Justiz-IT erzeugt ein Bedrohungsszenario, das über einzelne Sicherheitsvorfälle hinausgeht. Es geht um die Integrität der Rechtsprechung selbst.
Die unbequeme Frage
Die richterliche Unabhängigkeit ist ein Verfassungsgut von höchstem Rang. Sie schützt die Rechtsprechung vor politischer Einflussnahme. Sie wurde aber nie dafür konzipiert, IT-Sicherheitsentscheidungen zu treffen. Wenn ein Gericht sich unter Berufung auf die richterliche Unabhängigkeit gegen den Anschluss an zentrale Sicherheitsinfrastruktur entscheidet, schützt es damit weder sich selbst noch die Verfahrensbeteiligten. Es schafft ein Einfallstor.
Die Lösung kann nicht darin bestehen, die richterliche Unabhängigkeit zu beschneiden. Sie muss darin bestehen, verbindliche IT-Sicherheitsstandards für die Justiz zu schaffen, die der richterlichen Tätigkeit nicht vorgreifen, aber die technische Infrastruktur verlässlich absichern. Das BSI, die Justizministerkonferenz und die Präsidien der Gerichte sind hier gleichermaßen gefordert.
FAQ
1. Was genau ist beim Kammergericht Berlin passiert?
Im September 2019 drang der Trojaner Emotet über eine gefälschte E-Mail in das Netzwerk des Kammergerichts Berlin ein und lud die Schadsoftware TrickBot nach. Da das Netzwerk nicht segmentiert war, breitete sich die Infektion unkontrolliert auf alle erreichbaren Rechner aus. Die Forensikanalyse durch T-Systems ergab, dass die Angreifer höchstwahrscheinlich den gesamten Datenbestand des Gerichts exfiltrieren konnten. 550 Computer wurden abgeschaltet. Das Gericht arbeitete monatelang mit analogen Mitteln. Zu den potenziell betroffenen Daten gehörten Informationen zu verdeckten Ermittlern, Zeugen in Terrorismusverfahren und richterliche Entscheidungsentwürfe. Der Vorfall offenbarte grundlegende Architekturmängel: fehlende Netzwerksegmentierung, versagende Endpoint-Protection, keine Gateway-Filterung und defekte Backup-Server.
2. Warum war der Angriff so verheerend?
Die Ursache lag nicht in der Raffinesse der Schadsoftware. Emotet war 2019 bereits gut dokumentiert und durch angemessene Sicherheitsmaßnahmen kontrollierbar. Das Kammergericht hatte sich jedoch bewusst gegen den Anschluss an die zentrale IT-Sicherheitsinfrastruktur des ITDZ Berlin entschieden. Die Begründung lag in der richterlichen Unabhängigkeit. Das Ergebnis war ein Netzwerk ohne Segmentierung, ohne wirksame Filterung, ohne aussagekräftige Protokollierung und mit defekten Backup-Systemen. Richter nutzten private PCs und USB-Sticks für dienstliche Zwecke. VPN-Verbindungen standen nicht zur Verfügung. Jede einzelne dieser Lücken hätte den Angriff nicht verhindert, aber seine Auswirkungen erheblich begrenzen können.
3. Hat das Kammergericht gegen die DSGVO verstoßen?
Die Meldung an die Datenschutzbehörde erfolgte erst nach 63 Tagen. Art. 33 DSGVO verlangt eine Meldung binnen 72 Stunden nach Bekanntwerden einer Datenschutzverletzung. Zudem verlangt Art. 34 DSGVO die Benachrichtigung betroffener Personen bei hohem Risiko für deren Rechte und Freiheiten. Bei potenziell exfiltrierten Daten verdeckter Ermittler und Zeugen in Terrorismusverfahren dürfte diese Schwelle deutlich überschritten gewesen sein. Öffentliche Stellen sind von der DSGVO nicht ausgenommen. Lediglich die richterliche Tätigkeit selbst genießt Privilegierungen – die IT-Infrastruktur, auf der diese Tätigkeit abgewickelt wird, nicht. Art. 83 Abs. 7 DSGVO öffnet den Mitgliedstaaten allerdings die Möglichkeit, Bußgelder gegen öffentliche Stellen einzuschränken.
4. Warum ist die föderale Struktur ein Problem für die Justiz-IT?
In Deutschland verwalten 16 Bundesländer jeweils eigene Justiz-IT-Systeme mit unterschiedlichen Sicherheitsniveaus und Dienstleistern. Verbindliche einheitliche Standards für die IT-Sicherheit der Justiz existieren nicht. Das BSI verfügt mit dem IT-Grundschutz über ein Rahmenwerk, hat aber keine direkte Autorität über die Justiz-IT der Länder. Spezifische BSI-Leitlinien für die Justiz fehlen. Die verfassungsrechtlich garantierte richterliche Unabhängigkeit wird teilweise als Argument gegen zentrale IT-Sicherheitsvorgaben herangezogen. Das Ergebnis ist ein Verantwortungsvakuum: Die Justiz soll unabhängig sein, hat aber häufig weder die Ressourcen noch das Bewusstsein, ihre IT-Sicherheit eigenständig auf dem erforderlichen Niveau zu halten.
5. Was hat der Kammergericht-Vorfall mit Claude Mythos zu tun?
Der Zusammenhang ist struktureller Natur. Claude Mythos zeigt, dass KI-gestützte Werkzeuge Schwachstellen in Software im industriellen Maßstab auffinden können – in genau den Betriebssystemen und Anwendungen, die auch die Justiz nutzt. Sicherheitsexperten warnen, dass vergleichbare Fähigkeiten innerhalb von sechs bis zwölf Monaten auch Angreifern zur Verfügung stehen könnten. Diese beschleunigte Angriffsentwicklung trifft auf eine Justiz-IT, die beim Kammergericht 2019 nicht einmal gegen einen herkömmlichen Emotet-Angriff standgehalten hat. Die Kombination aus steigender Angriffsfähigkeit und struktureller Unterinvestition erzeugt ein Bedrohungsszenario, das über einzelne Sicherheitsvorfälle hinausgeht.
6. Welche Risiken schafft die elektronische Akte?
Die eAkte, die ab 2026/2027 flächendeckend eingeführt wird, bedeutet, dass sämtliche Verfahrensakten dauerhaft digital gespeichert und über Netzwerke zugänglich werden. Ein einzelner gezielter Angriff könnte damit alle Urteile, Entscheidungsentwürfe, Gutachten und persönlichen Daten eines gesamten Gerichts offenlegen. Die Angriffsfläche wächst mit jedem digitalisierten Dokument. Die Digitalisierung ist notwendig und im Interesse der Rechtsuchenden. Die Frage ist, ob die IT-Sicherheitsarchitektur der Geschwindigkeit folgt, mit der die Angriffsfläche wächst. Verbindliche Sicherheitsstandards, regelmäßige Audits und eine zentrale Koordinierung sind dafür unabdingbar.
7. Was muss sich ändern?
Drei Maßnahmen sind vordringlich. Erstens: Verbindliche IT-Sicherheitsstandards für die gesamte deutsche Justiz, die über unverbindliche Empfehlungen hinausgehen und regelmäßig überprüft werden. Zweitens: Eine klare Abgrenzung zwischen richterlicher Unabhängigkeit und IT-Sicherheitsentscheidungen. Die Unabhängigkeit schützt die Rechtsprechung, nicht die Wahl des Betriebssystems oder die Entscheidung gegen Netzwerksegmentierung. Drittens: Ausreichende finanzielle und personelle Ressourcen für die Justiz-IT. Das BSI, die Justizministerkonferenz und die Gerichtspräsidien müssen hier zusammenwirken. Die Alternative ist, dass die nächste Kompromittierung nicht ein einzelnes Gericht betrifft, sondern ein ganzes Bundesland.
8. Sind auch internationale Gerichte betroffen?
Ja. Der Internationale Strafgerichtshof in Den Haag wurde im September 2023 und erneut im Juni 2025 Ziel gezielter Cyberangriffe. Im Mai 2025 sperrte ein US-Cloud-Anbieter auf Anweisung der US-Regierung das Postfach des Chefanklägers. Dieser Vorfall illustriert eine zusätzliche Dimension: Die Abhängigkeit europäischer und internationaler Justizinstitutionen von US-Technologieanbietern erzeugt Risiken, die über klassische Cyberangriffe hinausgehen. Wenn ein Cloud-Anbieter den Zugang zu justizrelevanten Daten auf politische Anweisung hin sperren kann, berührt das die Funktionsfähigkeit der Rechtsprechung unmittelbar. Auch deutsche Gerichte nutzen Software und Cloud-Dienste überwiegend US-amerikanischer Anbieter.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
