Ansichten eines Informatikers

Die bundesinnenministrige Digitalisierungsposse Justizpostfach

Hadmut
17.12.2023 21:25

Ich glaub’, ich steh’ im Wald.

Der Wahnsinn kennt kein Halten: Das Bundesinneministerium will es unbedingt digital haben und setzt das mit behördlich-gesetzlichem Wahnsinn durch.

Ich hatte doch neulich schon berichtet, dass es da dieses neumodische „elektronisches Bürger- und Organisationenpostfach (eBO)“ gibt, und mir das wohl blüht, weil ich da gerade vor dem Verwaltungsgericht Wiesbaden gegen den Landesdatenschutzbeauftragten von Hessen klage, weil der partout nicht nur kein Problem darin sehen will, dass die Deutsche Bank das Bankgeheimnis bricht und die Kontodaten willkürlich an das Landeskriminalamt weiterpumpt, sondern sich auch notorisch weigert, sich überhaupt dazu zu äußern, als hätte es den Vorgang nie gegeben.

Nun hat der Datenschutzbeauftragte dem Gericht 60 Seiten Akten vorgelegt und verweist darauf, statt sich zur Sache zu äußern. Außer dass meine Klage keine Aussicht auf Erfolg habe, sagt er fast nichts. So etwas wie die Rechtsgrundlagen der Datenübertragung mitzuteilen kennt er nicht. Also habe ich Akteinensicht verlangt, was ich auch darf. (§§ 99,100 VwGO). Normalerweise bekommt man da einen Stapel Fotokopien.

Aber, ach.

Die sind da beim Gericht inzwischen digitialisert, und anscheinend nicht mehr in der Lage, auf Papier zu arbeiten. Man hat mich auch gebeten, nur noch per Fax (!) mit ihnen zu kommunizieren, weil das dann automatisch in ihre digitale Dokumentenverwaltung läuft und sie es nicht mühsam einscannen müssen.

Ich hatte angeboten, dass sie mir die Akten auch per E-Mail schicken können. Das könnten sie zwar, wollen sie aber nicht, ohne dass die Gegenseite zustimmt. Der hessische Landesbeauftragte ist zwar der Meinung, dass da jeder, der will, meine Kontoverbindungen abfragen kann, nur ich selbst sie nicht per E-Mail erhalten darf.

Nun faxte mir das Verwaltungsgericht, dass der Datenschutzbeauftragte von Hessen meint, dass keine Bedenken bestehen, mir das elektronisch zu übermitteln, „… solange die Übermittlung auf einem sicheren Weg erfolgt. Ob hierzu die E-Mailadresse des Klägers geeignet ist, wird bezweifelt.

Verschlüsselung kennt er nicht, und sagen wir es so: Meine Mailbox ist zumindest vertraulicher als mein Bankkonto. Das mit dem „Bankgeheimnis“.

Nun bittet mich das Gericht, mir einen von zwei Alternativen auszusuchen:

  1. Benennung eines Gerichts vor Ort, an dem ich Akteneinsicht nehmen kann, indem sie die Akte dahin schicken. Was mir nun gar nicht behagt, weil ich damit nur zusätzliche Probleme mit den Berliner Gerichten obendrauf bekomme.
  2. Einen „sicheren elektronischen Weg“ zu benennen. Ohne sich näher zu äußern, was das sein solle.

Sicherheitstechnisch ist das qualitativer und quantitativer Quark.

Denn erstens gibt es – schon so oft bebloggt – keine „sichere“ Kommunikation, weil Sicherheit keine absolute Eigenschaft ist, sodern relativ gegen einen bestimmten Angriff. Es gibt kein „sicher“. Es gibt nur „sicher gegen …“. Das kann es auch nicht, weil sich manche Sicherheitsziele einander widersprechen. Beispielsweise Beweisbarkeit und Abstreitbarkeit. Entweder oder, beides kann man nicht haben. Subtiler ist aber der Widerspruch zwischen Vertraulichkeit und Beweisbarkeit. Denn wenn eine Seite Dritten nachweisen kann, einem einen bestimmten Text gesandt zu haben, (und der Dritte damit vielleicht sogar in die Lage versetzt wird, weitere Texte zu lesen), dann ist es ja nicht mehr vertraulich.

Es gibt auch keine totale Sicherheit. Sicherheitsanforderungen müssen immer quantitativ eingeordnet werden, Wahrscheinlichkeit, Kosten und so weiter. Deshalb verwendet man in der Industrie die Stufen „Offen, Nur für den Dienstgebrauch (NfD), Vertraulich, Streng Vertraulich“, oder bei Behörden „Offen, NfD, Geheim, Streng Geheim“. Deshalb fängt alle Sicherheit immer erst einmal damit an, dass man die Sicherheitsstufen definiert und die Daten klassifiziert. Erst dann, wenn die Daten eingestuft sind, wie stark sie geschützt werden müssen, und wogegen, kann man beurteilen, welche Sicherheitsmaßnahmen verantwortlich sind.

Aber versucht mal, dass dem Landesbeauftragten von Hessen für den Datenschutz klarzumachen.

Dass das zur Hälfte Schikane und zur Hälfte gesetzliche Drangsalierung ist, liegt auf der Hand. denn ab 2024 ist es ja Pflicht, das elektronische Bürger- und Organisationenpostfach zu verwenden. Manche sagen, Pflicht für alle, andere sagen, für „professionelle Verfahrensbeteiligte“. Wer oder was auch immer das sein mag. Man könnte meinen, dass Anwälte damit gemeint sind, aber die müssen ihr Anwaltspostfach ja schon lange verwenden, die können damit nicht gemeint sein. Bin ich das, weil ich als Blogger mein Geld verdiene? Man weiß es nicht.

Schauen wir nämlich in Artikel 3 ERV-Ausbaugesetz, dann heißt es da:

Artikel 3

Weitere Änderung der Zivilprozessordnung zum 1. Januar 2024

§ 173 Absatz 2 der Zivilprozessordnung, die zuletzt durch Artikel 2 dieses Gesetzes geändert worden ist, wird wie folgt geändert:

1. In Satz 1 Nummer 1 werden nach dem Wort „Steuerberater“ die Wörter „sowie sonstige in professioneller Eigenschaft am Prozess beteiligte Personen, Vereinigungen und Organisationen, bei denen von einer erhöhten Zuverlässigkeit ausgegangen werden
kann,“ eingefügt.
2. Satz 2 wird aufgehoben.

Tja. Nichts Genaues weiß man nicht. Laut Medienstaatsvertrag müssen Anbieter von Telemedien nämlich auch irgendwie zuverlässig sein.

Netzpolitik.org dagegen scheint mehr zu wissen:

Wer das MJP nutzen will, muss sich zudem ein BundID-Konto anlegen. Das sei ein „weiterer guter Grund, um sich für die BundID zu entscheiden“, erklärte Bundesinnenministerin Nancy Faeser (SPD) in der Pressemitteilung. Für Bürger:innen und Unternehmen ist die Einrichtung beider Konten bislang freiwillig.

Doch ob das MJP wirklich ein „guter Grund“ für die BundID ist, erscheint fraglich: Wollen sich Privatpersonen für das OZG-Postfach MJP registrieren, brauchen sie großes Vertrauen in die Justiz. Denn ihre personenbezogenen Daten sind nicht nur einsehbar für Behörden und Anwält:innen, mit denen sie in direktem Kontakt stehen, sondern auch für alle Teilnehmer:innen des elektronischen Rechtsverkehrs, die im Justizwesen arbeiten. Dazu zählen neben ihrem Personal rund 165.000 Rechtsanwält:innen und rund 6.700 Notar:innen. Hinzu kommen alle Behördenmitarbeiter:innen, die beim besonderen elektronischen Behördenpostfach (beBPo) angemeldet sind.

Dieses Postfach wie auch die besonderen Postfächer für Anwält:innen (beA), Notar:innen (beN) und Steuerberater:innen (beST) beruhen auf der Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfaches (EGVP). Das MJP, das zunächst Elektronisches Bürger- und Organisationspostfach (eBO) hieß, baut technisch und rechtlich auf diesem System auf. Das wiederum sieht ein besonderes Online-Verzeichnis vor, in dem wie in einem Adressbuch die Daten von Rechtsanwält:innen, Notar:innen und anderen in der Justiz Tätigen neben Daten der Gerichte erfasst sind. Das sind Angaben wie Name und Anschrift, E-Mail-Adressen, die auch in städtischen Verzeichnissen öffentlich zugänglich sind.

Aber wenn doch unsere Bundesexpertin für Datenschutz und IT-Sicherheit, Nancy Faeser, sagt, dass es ein guter Grund sei, sich für die BundID zu entscheiden …

Nun muss ich aber an diese Akten, und das zeitnah. Ich kann nicht wieder meine ganze Reiseplanung umschmeißen, weil ich dann vielleicht erst im Januar erfahre, bei welchem Gericht das aufgeschlagen ist.

Also probiere ich es mal. Es ist zwar sicherlich eine dumme Idee, aber dumme Ideen sind ja auch Blogfutter.

BundID

Muss man mit dem ePerso anmelden.

Und weil das mit der Software und den Lesegeräten und so weiter schwierig ist, gehen sie da von vorherein davon aus, dass man das Handy verwendet, mit der Ausweisapp.

Ich bin nicht davon ausgegangen, dass es einen praktikablen Weg unter Linux gibt, habe inzwischen aber gesehen, dass es unter Ubuntu sogar die Ausweisapp2 als Package gibt. Gruselig: Das Ding ist zwar ein Binary, zieht aber – indirekt – eine Kette von Perl-Bibliotheken nach. Gruselig, aber hätte ich vorher wissen müssen. Sollte es sich am Ende doch noch auszahlen, dass ich vor über 10 Jahren, so um 2010 herum, mehrere Exemplare der ComputerBILD gekauft habe, weil kostenlose („gratis statt 34,90 Euro“) Kartenleser drauf waren? Toll, dass das Ding schon USB hatte und es USB auch heute, 13 Jahre später, noch gibt. Auf dem Kartenleser steht „REINERSCT“, aber die Beschriftung hat dann doch den 10 Jahren nicht standgehalten, denn es ist nur ein Aufkleber, dessen Klebstoff sein Mindesthaltbarkeitsdatum lang überschritten hat, der Aufkleber pellt sich ab. Darunter kommt das Logo der Telekom zum Vorschein, das man mit „REINERSCT“ überklebt hatte. ComputerBILD kann ihren Nutzen haben, man muss sie nur 10 Jahre reifen lassen wie einen Wein. Beachtlicherweise habe ich aber auch Kartenleser, auf denen „REINERSCT“ normal aufgedruckt worden war, ohne Aufkleber. Anscheinend hatte man für die Telekom produziert, die Telekom hatte sie dann wohl nicht abgenommen, und man hatte sie über die ComputerBILD verkloppt und der Steuerzahler hat gezahlt.

Wie auch immer, sie unterstellen schon selbst, dass man ein Handy verwendet, und tatsächlich hat das dann mit dem Handy auch problemlos funktioniert. Obwohl das meine Missbilligung findet, denn ich halte Handys nun auch nicht gerade für „sicher“.

Und sie legen auch Wert darauf, dass man da eine „Datenschutzerklärung“ bekommt und sich mit Anlegen des Kontos einverstanden erklärt hat (was doppelter Quatsch ist, wenn man die Erklärung nicht vorher sieht, und weil man ja gesetzlich verpflichtet sein kann, das Zeug zu nutzen, damit also keine Willenserklärung abgeben kann), wobei man natürlich gar nicht erfährt, wer alles die personenbezogenen Daten sehen kann, wie netzpolitik.org behauptet. Beachtlich ist dabei nämlich, dass man ja einerseits fordert, dass manche Leute kein Impressum mehr angeben müssen, um ihre Privatadresse wegen Bedrohungs- und Belästigungslagen geheim zu halten, andererseits dann aber so ein Datenmonster geschaffen wird, in dem jeder Anwalt die Daten abfragen kann.

Das Postfach

Und das hat mich jetzt Nerven gekostet.

Denn erst einmal habe ich lange, lange im Kreis herum geklickt. Es heißt ja, das Postfach sei eine Browseranwendung. Und die Schritte erklären sie mit schönen Graphiken.

Nur: Es steht nicht dabei, wo man diese Schritte machen soll, auf welcher Webseite. Wenn ich auf „anmelden“ klicke, komme ich immer im Kreis herum auf die Seite zur Registrierung bei BundID. Da habe ich mich ja schon erfolgreich angemeldet, das weiß aber mein Browser nicht. Gelegentlich will das Ding auch auf einen Port auf „127.0.0.1“ (localhost) zugreifen, wo nichts ist. Ein Fehler? Vermutlich will das Ding da auf die Ausweis-App zugreifen, das wusste ich aber zu dem Zeitpunkt nicht, dass es eine funktionierende Linux-App gibt. Es gibt nämlich nie irgendwelche technischen Angaben. Es heißt immer nur „mach erst das, mach dann das“.

Ich nahm also an, dass da vielleicht ein Link nicht stimmt, weil es ja hieß, dass das alles im Browser läuft, und wollte eine Anfrage schicken. Das geht aber nicht per E-Mail, sondern nur per Kontaktformular:

Fehlermeldung. Keine Umlaute erlaubt. Oder vielleicht stört das # in ihrem URL. Vielleicht habe ich auch einfach nicht richtig gegendert.

Des Rätsels Lösung: Man kann das Postfach gar nicht von außen anmelden. Sondern nur aus BundID heraus, nachdem man sich dort angemeldet hat. Weil mir zu dem Zeitpunkt noch nicht bewusst war, dass es eine Ausweisapp für Ubuntu gibt (neulich gab es das nämlich noch nicht lauffähig, als ich das letzte Mal gesucht habe), habe ich mich erste einmal probeweise mit dem Handy und den ePerso in der BundID eingeloggt und bekam sofort nahegelegt, mir doch ein solches Postfach anzulegen, am besten mit dem Handy. Was dann auch funktioniert hat, aber anders, als ich mir das dachte.

Man muss ein Passwort eingeben, ohne zu dem Zeitpunkt so klar zu wissen, wofür. Es ist das Passwort für ein Zertifikat. Und mein Handy legt mir nahe, es, weil es doch ein Passwort ist, am besten gleich in das Google Passwort Wallet (= US Cloud) hochzuladen. Die Webseite fragt mich zunächst, ob

Hä!?

Versteht mich nicht falsch. Ich bin Informatiker. Ich weiß, was das ist. WLAN-Zertifikat. Klare Sache. Authentifikation und Verschlüsselung nach IEEE 802.1X, EAP-TLS, auf WLAN und Ethernet. Habe ich in den letzten ca. 25 Jahren einige Male installiert, auch für Kunden, anderen verordnet, und Kollegen angeleitet, wie man das macht. Zuhause braucht man das nicht so, aber im Firmenumfeld sollte sowas eigentlich sein. (Macht nur fast keiner, weil es den meisten zu kompliziert ist, kriegt nämlich nicht jeder hin, ist auch nicht ganz einfach und etwas fehleranfällig. Wenn ihr aber mal in Euren DSL- oder Kabelrouter zuhause guckt, oder auch in einen „managed switch“, falls Ihr einen habt, kann es sein, dass Ihr das da findet, auch viele der billigen im SOHO-Bereich haben sowas nämlich schon drin. Sucht nach 802.1X oder RADIUS.) In der Praxis macht man dann, wenn man in der Firma auch Gäste empfängt, eher ein Gast-WLAN auf, aber spätestens dann, wenn man in den Besprechungsräumen und für Gäste zugänglichen Bereichen Ethernet-Ports hat, die von Mitarbeitern auch für LAN-Zugang verwendet werden, gehört da Port-Security drauf, und die funktioniert genauso wie bei WLAN, und da kann man Zertifikate einsetzen. Ich weiß, was WLAN-Zertifikate sind. Versteht mein „Hä!?“ also bitte nicht falsch.

Ich verstehe aber nicht, was das mit der Ausweis-App zu tun hat. Ich könnte mir zwar vorstellen, dass es Behörden-Netze gibt, in denen man sich mit dem Personalsausweis anmeldet. Und es gibt ja sogar den Plan, dass man künftig Internet nur mit persönlicher Identikation nutzen können soll. Dafür wäre sowas nutze, so weit sind wir aber noch lange nicht (oder doch?), und die kann man auch nicht einfach so verwenden. Dazu ist einiges an Konfigurationsaufwand auf Seiten des Ethernet-Switches oder WLAN-Routers erforderlich. Das geht nicht einfach so. Und hat mit einem Justizpostfach nun wirklich nichts zu tun.

Die andere Option mit VPN und App-Nutzerzertifikat erscheint mir plausibler, aber eigentlich ist ein WLAN-Zertifikat genauso gebaut wie ein VPN-Zertifikat. Müsste man sich mal im Detail anschauen, vermutlich unterschiedliche Extensions. Was der Durchschnittbürger mit solchen Fragen anfangen soll, erschließt sich mir nicht. Dieselben Leute, die bundesinnenministrig hinter diesem Gruselkabinett stecken, machen sonst ja gerne Webseiten „in einfacher Sprache“, damit alle sie verstehen.

Das Ergebnis ist nun, dass mir ein Zertifikat erstellt wurde (was natürlich Quark ist, weil der Witz ja nicht im Zertifikat, sondern in der Kombination aus Zertifikat und privatem Schlüssel liegt), und das nun irgendwo auf meinem Handy herumliegt. Der Ort, an dem ich das eigentlich wirklich nicht ablegen würde, weil ich meinem Handy nicht traue. Weiß der Teufel, ob das nicht längst – zusammen mit dem Passwort – in die Cloud hochgeladen wurde und irgendwo auf Google Drive herumliegt oder sowas.

Wo das liegt, ist nicht ersichtlich. Ich soll es zwar gleich verwenden, um mich einzuloggen, und auf meine Mailbox zuzugreifen, aber es geht nur der Filebroser auf und ich soll erst einmal suchen gehen. Ich habe den Verdacht, dass es die Datei sein könnte, die mir der Filebrowser auf dem Handy mit dem Logo eines Fingerabdrucks anzeigt.

Ein Dateimount mit anschließendem find bringt hervor, dass das Zertifikat (nämlich samt privatem Schlüssel als pkcs12) unter


Interner gemeinsamer Speicher/Download/
Mein-Justizpostfach_Persoenlicher-Schluessel.p12

liegt.

Das ist jetzt also „sicher“ aus Sicht des Bundesinnenministeriums, der Justiz, und vielleicht auch des hessischen Datenschutzbeauftragten.

Dann will ich mal schauen, wie ich jetzt das Ding noch davon überzeuge, nicht nur mit meinem Handy, sondern auch mit meinem normalen Webbrowser zu funktioneren, damit ich an die Akten über die Korrespondenz zwischen dem hessischen Landesdatenschutzbeauftragten und der Deutschen Bank komme, die ja beide überzeugt sind, dass das völlig in Ordnung sei, einfach mal so und ohne Rechtsgrundlage meine Kontobewegungen samt Spenderdaten der letzten Jahre per unverschlüsselter CD durch die Gegend zu schicken.

Zur Bedeutung des Wortes „sicher“, und darüber, dass man etwas nicht sicher macht, indem man es „sicher“ nennt, fällt mir bestimmt noch das eine oder andere ein.

Beispielsweise könnte man auf die Idee kommen zu fragen, wie „sicher“ und wie „end-to-end“ eine Nachrichtenverschlüsselung sein kann, wenn man den Schlüssel nicht selbst wählt, sondern einem das Schlüsselpaar von einem Server des Bundesinnenministeriums geliefert wird. Denn wo der Schlüssel erzeugt wurde, im Handy in der App, im Browser (vor 25, 30 Jahren gab es in Mozilla mal eine Funktion, um Schlüsselpaare zu erzeugen und nur den Public Key als CertRequest zur Signierung hochzuladen und das Zertifikat herunterzuladen, aber ich glaube, die flog irgendwann mal raus, ich glaube, die war proprietär.), oder eben auf den BundID-Server, das war mir jetzt nicht zuverlässig ersichtlich. Da das Ding als Download daherkam, nehme ich an, dass das ganze pkcs12-Gebilde (Zertifikat plus privater Schlüssel in einer Datei) zusammen vom BundID Server kam und damit sicherheitstechnisch noch wertloser ist als ein Berliner Abitur in Sachen Bildung.

Man sollte sich aber tunlichst davor hüten, so etwas als dumm zu bezeichnen, sonst hat man wieder die Staatanwaltschaft am Hals und wieder ein Konto weniger.

Es besteht jedoch weiterer Diskussionsbedarf.

Halten wir vorerst fest, dass meine Auffassung von „sicher“ und die des Bundesinnenministeriums nicht deckungsgleich sind.