Die entsetzliche digitale Gerichtsakte

Ach, Du meine Güte …

Ich prüfe gerade die Gerichtsakte beim Verwaltungsgericht Wiesbaden, wo ich gegen den Hessischen Datenschutzbeauftragten Klage, weil der sich in der Causa Deutsche Bank/Ricarda Lang tot stellt. Mich hat es ja schon geschüttelt, als ich gelesen habe, dass die Akte bisher 485 Seiten hat. Als ich die Seitenzahl gesehen habe, habe ich mich gefragt, was zur Hölle da drin stehen mag, weil meine eigene Akte viel kürzer ist.

Mich haut’s gerade aus den Latschen. Jede Menge Digitalgeplärre.

• Zuerst hatte ich meine Klage natürlich auf Papier eingereicht. Dazu gibt es ein ausführliches Scan-Protokoll, wann, mit welchem Scanner und welchen Einstellungen das gescannt wurde.
• Weil man mir in der Geschäftsstelle bei einer telefonischen Nachfrage sagte, dass ihnen Fax lieber ist, weil sie das nicht scannen müssen, habe ich zunächst gefaxt. Da gibt es dann jede Menge Hinweise
  

  Die Datei ‘FaxEmail.eml’ konnte nicht gewandelt werden. Sie können sich über das Kontextmenü die Originaldatei herunterladen.

• Mit dem Beklagten (Datenschutzbeauftragten) hat man über das Behördenpostfach kommuniziert, was dann jedesmal einen Prüfbericht ergibt, ob denn auch alle Prüfsummen und Signaturen stimmen.
• Weil der Datenschutzbeauftragte sich zunächst weigerte, über das Gericht mit mir zu kommunizieren, wenn ich Fax verwende, weil das nicht sicher sei, und es damals das „Justizpostfach“ neu gab, das „sicher“ sein solle, habe ich das angemeldet und seither benutzt. Für jeden Vorgang gibt es einen ausführlichen, mehrseitigen Bericht, in dem alle Details der X.509-Signatur und die Signaturdaten, Hash-Daten, Fingerprints, Schlüsseleigenschaften im Hex-Dump (aber in Proportionalschrift) ausgedruckt sind, obwohl damit kein Mensch etwas anfangen kann.
• Selbst wenn man die nochmal einlesen könnte, wäre das wohl nicht mehr zu verwenden, weil die Seiten und auch meine Schriftsätze automatisch paginiert – also verändert – wurden.

Das ist ganz fürchterlich, weil man strikt am Bild der alten analogen Akte festhält, in der alles auf A4 ausgedruckt und abgeheftet wird. Jetzt war „digital“, also in Form von A4-PDFs. Aber immer noch als seitenweise Akte. Man kann zumindest an dem, was ich da bekommen habe, keine Signatur mehr prüfen. Man sieht nur Berichte, in denen steht, dass die Signatur stimme (in grün).

Da hat irgendwer vorsorglich einfach alles protokolliert, damit auch nichts fehle, und nicht verstanden, dass einem Protokolle gar nicht so viel bis gar nichts bringen.

Und würde man dagegen angehen wollen, weil man irgendetwas anzweifelt, kann man nicht beweisen, hier, schau mal, die Signatur stimmt nicht, das Dokument wurde verändert. Da kommt es dann zur richterlichen Beweiswürdigung, die sagen, hier in der Akte steht, dass die Signatur geprüft wurde und das grün ist, und im Gesetz steht, das ist „sicher“.

Das ist gewollt und nicht gekonnt.

Da hat sich eine Bürokratieseele größte Mühe gegeben, das alles nachvollziehbar zu machen, alles sicher und beweisfähig, nur keine Angriffsfläche für Hacker – aber die Kryptographie und das Prinzip dahinter nicht verstanden. Dass man Meta-Daten wie Signaturen nicht als Hexdump ausdruckt und in die Akte anfügt, sondern dass man die binär als Meta-Daten ablegen muss.

Da hat sich jemand richtig Mühe gegeben und das total gut gewollt, mit Fleiß und Sorgfalt alles umgesetzt – und trotzdem Mist gebaut, weil er entweder das Prinzip dahinter nicht verstanden hatte, oder weil Juristen, Richter, die das Prinzip nicht verstanden hatten, das genau so haben wollten.

Davon abgesehen: „Sicher“ ist das ganze Ding sowieso nicht, weil ich dann, wenn ich einen Schriftsatz absende, sowieso nicht sehe, was und wieviel ich da signiere. Ich lade ein PDF hoch, habe meinen Personalausweis in einen Schlitz gesteckt, geben eine PIN ein und das Ding zeigt mir an, die Sache sei hochgeladen. Was ich aber signiert habe, nämlich ob mein PDF oder was auch immer, und wieviele Signaturen überhaupt gerade ausgestellt wurden, ob ich also ohne es zu wissen und zu merken, noch irgendetwas anderes mitsigniert habe, sehe ich nicht. Im Prinzip könnte das Ding automatisiert alles machen – Politiker beleidigen, Waschmaschinen bestellen, Konto kündigen, Konto anlegen, ohne es zu merken. Juristisch unangreifbar, weil sie es alle für „sicher“ halten und das doch im Gesetz steht und die Regierung das sagt, dass das „sicher“ ist. Weil sie nicht verstehen, was sie da machen.

Das ist nicht sicher. Es ist zweifellos sicherer als E-Mail, weil schwieriger anzugreifen und aus weniger Angreiferpositionen. Aber „sicher“ ist es nicht. Steht kein Wort drin, mit welcher Software das signiert wurde, welche Version, welche Prüfsumme.

Neulich habe ich mich auf einer Webseite angemeldet, die eine Personenprüfung per ePerso plus Handy durchführen wollte. Irgendeine App (ich glaube, es war DHL/Post) sollte ich runterladen und das mit der machen. Auch da sehe ich schon nicht, wieviele Vorgänge die mit meiner eingegebenen PIN ausführt. Aber: Obwohl ich mir hunderprozentig sicher war, die PIN richtig eingegeben zu haben, weil ich die Anzeige eingeschaltet und sie nochmal verglichen und geprüft habe, bevor ich „Return“ gedrückt habe, zeigt das Ding an, dass die PIN falsch sei, ich sie nochmal eingeben müsste. Gleiche nochmal, beim zweiten Versuch geht’s.

Ein Fehler? Oder habe ich gerade irgendwas signiert, ohne es zu merken? Woher weiß ich, dass die Software nicht kompromittiert ist?

Und die Gerichtsakte ist schlicht unlesbar, weil die mit dem ganzen nutzlosen Digitalprotokollscheiß zugemüllt ist.

Wer baut so einen Mist?

Und wie würde man im Zweifel Richter davon überzeugen können, dass das alles eben nicht „sicher“ ist, obwohl die ganze Akte voll von Protokollen, HexDumps und Angaben, dass irgendwas sicher und geprüft sei? Wie würde man einem Richter erklären, dass „sicher“ bedeuten würde, die Signatur auf’s Neue zu prüfen und nicht einen Zettel in der Akte zu haben, auf dem Steht, die Akte stimme?

Dass ich im Prinzip als Akte nicht ein 485-Seiten-PDF zu bekommen habe, sondern eine strukturierte Datei mit den einzelnen Dokumenten und Signaturen, damit ich die überprüfen kann und nicht einem Protokoll glauben muss, auf dem steht, es sei „sicher“?

Man hat versucht, ganz viel Sicherheit reinzurühren. Fingerprints als MD5 und SHA1 (Uralt-X.509), aber dann die Signaturen mit SHA512. Aber keine Signaturdatei.

Ach, und: Die Korrespondenz zwischen der Richterin und der Geschäftsstelle als automatisierter Screenshot eines Chats. Gar nicht mal schlecht, aber frappierend beim Lesen.

Nicht nur, dass die Akte durch den Digitalmüll unlesbar ist (wobei ich nicht weiß, ob das bei denen auch so ist, oder nur in der Aktenkopie für mich, vielleicht ist das bei denen in deren Benutzeroberfläche ja besser gemacht ist) – das gibt eine Riesenkatastrophe, wenn das irgendwann mal jemand angreift und dann IT-Sicherheitsleute und Juristen aufeinanderprallen.

Vereinfacht gesagt: Da ist der Unterschied nicht klar, ob man eine Signatur prüft, oder ob man einen Zettel hat, auf dem steht, dass die Signatur mal gestimmt hat, man das aber nicht mehr nachprüfen kann.

Vielleicht sind die Daten in ihrem System richtig gespeichert – ich glaube es aber nicht. Zumindest nach dem, was sie mir geschickt haben, ist das ziemlich vermurkst, weil alles als Ausdruck in PDF gewandelt. Das ist so wie die modernisierte Version von Ausdrucken und wieder Einscannen. Vielleicht ist das dort intern besser gespeichert und das nur die Version, die bei „Partei will Aktenkopie“ erzeugt wird. (Immerhin geht das schnell und kostenlos und muss nicht ausgedruckt und versandt werden – PDF erzeugen, ins Justizpostfach , zack und da.)

• Solange alles stimmt, ist es besser als vorher.
• Wenn es aber mal nicht stimmt, kommt man damit in Teufels Küche.

Nachtrag:

Die Datei ‘xjustiz_nachricht.xml’ konnte nicht gewandelt werden. Sie können sich über das Kontextmenü die Original-Datei herunterladen.

Technik, die begeistert.