DEN HAAG · Drastische Cyberabwehrmaßnahme beim niederländischen Justizapparat: Nach Hinweisen des Nationalen Zentrums für Cybersicherheit (NCSC) auf eine Schwachstelle in Citrix-Systemen hat das Openbaar Ministerie (OM) seine gesamte interne IT-Umgebung vom Internet getrennt. Laut OM wurde die Sicherheitslücke nicht nur entdeckt, sondern aktiv ausgenutzt. Die Maßnahme betrifft den Zugriff auf sämtliche digitalen Arbeitsmittel außerhalb der Standorte. Die Auswirkungen auf laufende Strafverfahren sollen begrenzt bleiben. Wie lange die digitale Abschottung andauert, ist derzeit unklar.

Das Openbaar Ministerie hat seine gesamte digitale Infrastruktur vom Internet getrennt, nachdem eine schwerwiegende Sicherheitslücke bekannt wurde, die offenbar bereits ausgenutzt worden ist. Betroffen ist das Citrix-System, das für die Büroautomatisierung und den Zugriff auf Justizdaten essenziell ist. Die Entscheidung, den Zugang vollständig zu kappen, traf das College van procureurs-generaal nach einer Analyse der internen Systeme. Die Folge: Mitarbeiter des OM können sich nicht mehr von außen einloggen, auch innerhalb der Justizgebäude bestehen Einschränkungen. Bereits am Freitag war die Arbeit bei der Justiz stark eingeschränkt, Termine mussten abgesagt, Unterlagen notgedrungen ausgedruckt werden. Dennoch sollen die meisten Strafprozesse weiterlaufen, so eine Sprecherin der Raad voor de rechtspraak laut RTL Nieuws. Die Richter würden entscheiden, ob ein Verfahren verschoben werden muss. Das OM bemüht sich gemeinsam mit seinen Partnern, die Folgen für Justizabläufe und Personal gering zu halten.

Citrix-Sicherheitslücke als Einfallstor

Ausgangspunkt des Vorfalls ist eine Schwachstelle in der Citrix NetScaler-Software, wie das NCSC bereits im Juni und Anfang Juli gemeldet hatte. Dieses System wird von über 1300 Organisationen in den Niederlanden genutzt und bildet die Schnittstelle zwischen öffentlichem Internet und internen Netzwerken. Laut dem OM wurde die Schwachstelle auch tatsächlich zur Ausführung eines Angriffs genutzt. Die Entscheidung, das gesamte System offline zu nehmen, wurde getroffen, nachdem durch interne Analysen Hinweise auf unbefugten Zugriff festgestellt wurden.

Auswirkungen auf den Justizbetrieb

Wie NOS berichtet, führte die Abschaltung am Freitag zu erheblichen Beeinträchtigungen: Staatsanwälte konnten nicht auf Akten zugreifen, Bürger mit Terminen wurden wieder nach Hause geschickt. In einzelnen Fällen wurden Dokumente händisch ausgedruckt, um Verhandlungen dennoch stattfinden zu lassen. Ein Sprecherin der Raad voor de rechtspraak sagte, dass bisher keine Strafverhandlungen abgesagt wurden. Dennoch bedeutet die Maßnahme faktisch einen Ausnahmezustand für den gesamten Justizapparat.

Cyberkriminelle oder Spionageakteure?

Nach Angaben von NOS ist noch völlig unklar, wer hinter dem Angriff steckt. Cybersecurity-Experten wie Christo Butcher (Fox-IT) oder Bert Hubert vermuten dahinter entweder Cyberkriminelle mit Erpressungsabsicht oder staatlich gesteuerte Spionageakteure. Der Zugriff über Citrix gilt dabei als besonders kritisch, da dieses System quasi der digitale Haupteingang zu allen Daten des OM ist. Laut Hubert bedeutet dies, dass potenziell alle Informationen eingesehen worden sein könnten. Von einer Nebensache könne keine Rede sein.

China als möglicher Akteur genannt

Obwohl keine konkreten Hinweise auf einen staatlich gesteuerten Angriff aus China vorliegen, nennt NOS China als häufigen Akteur bei langfristigen, schwer erkennbaren Spionageangriffen. Durch sogenannte Honeypots im Netz – also nachgebildete Testsysteme – versuchen Sicherheitsexperten, Hinweise auf die Herkunft der Angreifer zu sammeln, unter anderem durch Analyse der Arbeitszeiten der Angreifer in bestimmten Zeitzonen.

Abschaltung als Notmaßnahme

Experten wie Butcher bewerten die Komplettabschaltung nicht als Überreaktion. Im Gegenteil: Sie sei oft die einzige Option, wenn nicht klar ist, wie tief ein Angriff reicht oder welche Bereiche betroffen sind. Wie BNR meldet, wurden zwar bereits Sicherheitsupdates für die Citrix-Systeme eingespielt, aber offenbar konnten diese das Problem nicht vollständig lösen.

Unklarer Zeitrahmen für Wiederherstellung

Laut OM ist derzeit nicht absehbar, wie lange die Analyse und Wiederherstellung der Systeme dauern wird. Solange keine Sicherheit besteht, dass Angreifer entfernt wurden, bleibt die digitale Justizinfrastruktur vom Internet getrennt. Die Mitarbeiter wurden laut RTL intern informiert, auch Justizminister David van Weel hat die Tweede Kamer offiziell in Kenntnis gesetzt.

Erinnerung an frühere Ausfälle

Bereits Ende März war es beim OM zu einer schwerwiegenden IT-Störung gekommen, die mehrere Tage andauerte. Ob es einen Zusammenhang zum aktuellen Vorfall gibt, ist nicht bekannt.