Ansichten eines Informatikers

Mehr Abenteuer mit dem „sicheren“ Justizpostfach

Hadmut
20.12.2023 14:13

Ich bin ja so begeistert …

Zur Erinnerung: Die Sache war ja die, dass ich gegen den Hessischen für den Datenschutz und so weiter klage, weil der meint, die Deutsche Bank habe alles richtig gemacht, sich aber zu der Weitergabe meiner Bankdaten – und den Daten der Spender – partout nicht äußern will. Das hat er nicht im Bescheid, das hat er nicht in der Klageerwiderung, das tut er nicht einmal, nachdem ich beim Gericht beantragt habe, ihn dazu aufzufordern und ihm das Gericht das mit Frist zugestellt hat. Als gingen ihn solche Datenschutzsachen alle gar nichts an, und er meint, da sei ich ganz falsch, so eine Kontenkündigung sei eine rein zivilrechtliche Angelegenheit. Als ob er noch nie irgendwas von Datenschutzrecht gehört hätte.

Nun musste er ja dem Gericht die Akten vorlegen, also was zwischen ihm und der Deutschen Bank gelaufen ist. Und ich habe, wie ich das so darf und darauf Anspruch habe, eine Kopie dieser Akten angefordert, und dazu reingeschrieben, dass es mir egal ist, ob sie mir das auf Papier oder als E-Mail schicken.

Papier können – oder wollen – sie beim Gericht anscheinend nicht mehr, weil jetzt alles digitalisiert ist. Ich wurde auch gebeten, von Schriftsätzen auf Papier ganz abzusehen, Fax sei ihnen lieber. Das müssten sie nicht Scannen, das läuft direkt in die elektronische Akte. Vermutlich geht da auch gerade viel per Home-Office. (Ein Richter am Finanzgericht sagte mir vor Jahren schon, dass sie da nur noch zu den mündlichen Verhandlungen ins Gericht kommen, ansonsten aber alles von zuhause aus machen, und ihr Arbeitszimmer als „häusliches Arbeitszimmer trotzdem nur begrenzt von der Steuer absetzen können.)

Mit E-Mail war der Datenschutzbeauftragte – der in eigener Sache dann ganz plötzlich die Vertraulichkeit entdeckte – aber auch nicht einverstanden, es müsse schon ein „sicherer“ elektronischer Weg sein, ohne näher zu spezifizieren, was „sicher“ sein soll oder welcher Weg ihm da so vorschwebte.

Deshalb hatte ich mich ins Verderben gestürzt und ein „Justizpostfach“ eröffnet – ich berichtete ja schon – weil ich annahm, dass man genau das von mir verlangt, denn die Bundesregierung nennt es ja auch „sicher“, ohne das näher zu spezifizieren. So wie in „Das ist sicher eine gute Idee“. Oder „Das kostet sicher Geld“.

Verfügbarkeit

Nun bin ich als Informatiker und IT-Sicherheitsfuzzi in Sachen IT-Sicherheit gelegentlich etwas spitzfindig. Ich habe darüber vor fast 30 Jahren an der Uni Seminare und Vorlesungen gehalten.

„Sicherheit“ als absolute Eigenschaft gibt es nicht. Es gibt immer nur Sicherheit relativ zu gewissen Sicherheitszielen und in Bezug auf gewisse Angriffe. „Sicher gegen …“.

Dazu kommt im Deutschen noch das Problem, dass wir sprachlich, und deshalb auch oft gedanklich nicht zwischen „Safety“ (Betriebssicherheit) und „Security“ (Angriffssicherheit) unterscheiden.

Nun gibt es zwar die klassischen drei Sicherheitsziele, die Vertraulichkeit, Integrität und Beweisbarkeit (alter Gag aus den Vorlesungen am EISS: Merkregel „CIA“ = Confidentiality, Integrity, Authenticity, zu deutsch „KGB“ = Kommunikationssicherheit, Gewährleistete Übertragung, Beweisbarkeit), aber das ist längst veraltet (nicht nur, weil es den KGB nicht mehr gibt). Da sind längst eine Reihe anderer Sicherheitsziele dazugekommen, wie etwa Abstreitbarkeit, und besonders, und ganz wichtig: Verfügbarkeit.

Nun ist das mit der Verfügbarkeit so eine Sache, weil sie sich über beides erstreckt, Safety und Security. Security, weil es um den Schutz gegen sogenannte „Denial of Service“-Angriffe und auch solche wie „Ransom-Ware“, also Erpressung durch böswillige Verschlüsselung geht. Aber eben auch Safety, also die Frage, was passiert, wenn man seinen Schlüssel verliert, ob der Schlüssel ein Single Point of Failure ist. Oder auch, ob man strukturell Mist gebaut und das getan hat, was ich seit Uni-Zeiten als „übersichert“ bezeichne – Zuviel des Guten kann auch schlecht sein. In der Fachsprache nennt man es „(Disaster) Recovery“ oder auch „Continuity“, sich mit der Frage zu befassen, wie man sicherstellt, dass es nach einer Störung schnell wieder weitergeht oder es erst gar nicht zu einer Störung und Unterbrechnung kommt.

Und gerade weil es hier darum geht, dass einem jeder, der Zugang zu diesem System hat, jede Behörde, jedes Gericht, jeder Rechtsanwalt, damit angeblich „rechtssicher“ irgendwas zustellen kann (was man derzeit nicht einmal bemerkt, wenn man damit nicht rechnet, weil man nicht benachrichtigt wird, sondern ständig reingucken muss), stellt sich mir die Frage, was eigentlich passiert, wenn man eines der drei wichtigen Zugangsdinge verliert:

  • den Personalausweis
  • die PKCS12-Datei
  • das Passwort zur PKCS12-Datei

Und zwar sowohl echten, als auch vorgetäuschten. („Tut mir leid, Herr Richter, ich konnte den Beschluss nicht lesen, der Hund hat den USB-Stick gefressen/im Wald verbuddelt/zerbissen!“)

Datenverlust geht immer.

Und den Personalausweis kann man ja auch leicht verlieren – man soll ihn ja immer mit sich führen, und in Berlin gibt es reichlich Taschendiebe und Überfälle.

Und der kann auch kaputt gehen. Meinen ersten ePerso habe ich nie elektronisch verwendet, aber ich bin in seiner Gültigkeitsdauer einige Male umgezogen. Da muss man ja immer auf das Einwohnermeldeamt zur Ummeldung, und irgendwann sagten sie mir dabei mal, dass sie mir zwar einen Aufkleber mit der neuen Anschrift auf auf den Ausweis pappen, aber die neue Adresse nicht elektronisch speichern können, weil der Chip kaputt wäre und der Ausweis nicht mehr elektronisch ansprechbar sei.

Und: Der Personalausweis kann auch ganz schnöde und einfach ablaufen. Ich glaube, dann gilt der auch elektronisch nicht mehr.

In Berlin nämlich kann das Monate dauern, bis man überhaupt einen Termin zur Beantragung eines neuen Ausweises bekommt. Ich hatte ja über das Drama meines Ausweisantrages schon ausgiebig berichtet. Bei der Polizeikontrolle im Gericht fragte ich mal, was ich eigentlich gemacht hätte, wenn ich nicht über schräge Tricks rechtzeitig einen neuen Personalausweis bekommen und keinen Reisepass hätte. Ob ich dann nicht mehr in das Gericht rein käme. Die Antwort der Polizei war, dass ihnen das Problem natürlich bekannt sei, es ginge ihnen da ja auch nicht besser, und die Polizei daher nicht mehr so auf das Ablaufdatum achte, Ausweise auch noch für ein paar Monate danach anerkenne, wenn man sagt, dass man keinen Termin bekommen habe. Das geht aber bei einem Computer nicht.

Was also macht man, wenn man die Schlüsseldatei verloren oder keinen Zugriff auf einen gültigen Personalausweis mehr hat, und nicht merkt, dass einem irgendwer irgendwas Wichtiges mit irgendeiner Frist zugestellt hat?

Von wegen Vertraulichkeit und End-zu-End-Verschlüsselung.

Weil ich am Sonntag Abend also einen Brief per Justizpostfach an das Verwaltungsgericht geschickt hatte, um eben dieses Postfach zu testen und dem Gericht mitzuteilen, dass ich so etwas jetzt habe, aber auch, um als Alternative PGP+E-Mail anzubieten, und um Übersendung der Akte zu bitten, rechnete ich also mit einer Antwort. Und habe deshalb in das Postfach gesehen.

So sieht das dann aus:

Man weiß also gar nicht, dass man überhaupt etwas bekommen hat, solange man sich nicht einloggt (ich muss da jetzt wohl alle 3 Tage reingucken … ), aber selbst wenn man sich einloggt, weiß man noch nicht, von wem. Hätte man also irgendein Problem mit der PKCS12-Datei oder dem Passwort, wüsste man noch nicht einmal, wen man kontaktieren muss, um mitzuteilen, dass man seine Nachricht nicht lesen kann.

Und dann kommt etwas, was mir äußerste Kopfzerbrechen bereitet.

Wenn man nämlich auf Entschlüsseln klickt, geht ein Fenster auf, in dem man die PKCS12-Datei (Zertifikat und privater Schlüssel) als Dateiparameter angibt, und das Passwort, mit dem die PKCS12-Datei verschlüsselt ist. Und dann wird nicht etwa die verschlüsselte Datei heruntergeladen und vom Browser entschlüsselt, sondern die Liste der Nachrichtenbox verändert sich und zeigt nun konkret an, dass das Ding vom Verwaltungsgericht Wiesbaden kam und aus zwei Schriftstücken besteht.

Und ich kann daran äußerlich nicht erkennen, ob das alles in meinem Browser bleibt und das alles nur irgendwelche Java-Script-Kunststücke sind, oder ob der Schlüssel und sein Passwort hochgeladen und die Nachrichten auf dem Server entschlüsselt werden. Es sieht nach letzterem aus.

Selbst wenn ich dem Ding jetzt unter die Motorhaube schauen und da vorfinden würde, dass der Schlüssel lokal in meinem Browser bleibt und das alles nur raffiniert in JavaScript so gemacht ist, dass es lediglich so aussieht, als würde das auf der Serverseite entschlüsselt, obwohl der Server nie Schlüssel und Klartext sieht, und die Liste vom Browser gebaut wird, würde mir das nichts nutzen, weil ich ja nicht weiß, ob es beim nächsten Login immer noch so ist oder verändert wurde.

Die Verschlüsselung ist damit – vor allem unter dem Schlagwort „End-zu-End-Verschlüsselung“ ziemlich wertlos, weil ich doch dem Server vertrauen muss – entweder, weil er meinen Schlüssel und den Klartext der Nachrichten kennt, oder weil ich zumindest drauf vertrauen muss, dass die Software in der Webseite so ehrlich ist, dass sie den Schlüssel nicht hochlädt.

Ich will es mal so sagen: Wäre dieser Staat noch vertrauenswürdig und würde der nicht auf hinterfotzige Art versuchen, an meinen Daten zu kommen, hätte ich ja diesen Rechtssstreit gar nicht, weil es ja hier darum geht, dass das Landeskriminalamt Berlin über ein inszeniertes Strafermittlungsverfahren rechtswidrig und heimlich meine Kontodaten abgegriffen hat. Genauso würden die sich am Schlüssel vergreifen. Das Portal kann also unmöglich als „sicher“ einzustufen sein.

Sicherheitstechnisch gesprochen: Die Konstruktion zwingt mich, meinen geheimen Schlüssel dem Angreifer anzuvertrauen, oder zumindest zum Gebrauch des geheimen Schlüssels Software zu verwenden, die vom Angreifer kommt.

Sicherheitstechnisch ist das also ziemlich wertlos, und kaum sicherer als unverschlüsselt. Mit dem Unterschied, dass ich selbst nicht mehr an die Daten komme, wenn ich das Passwort oder die PKCS12-Datei verliere.

Das Problem Kartenleser und Support

Es kommt noch ein ganz anderes Problem dazu.

Ich hatte beschrieben, dass ich das unter Linux, Ubuntu 23.10, verwende und da auch eine AusweisApp2 gefunden habe, mit der das tatsächlich auf Anhieb funktioniert. Aber nur mit dem Billigst-Kartenleser aus der ComputerBILD.

Ich hatte erzählt, dass ich mir damals, als der ePerso rauskam, einige Exemplare der ComputerBILD gekauft hatte, weil da ein Kartenleser, der nominell um die 35 Euro kosten sollte, auf Steuerzahlerkosten gratis mit dabei war. Mit diesem REINERSCT cyberJack RFID Basis, hergestellt 2011-01, funktioniert es einwandfrei.

Aber nicht akzeptabel.

Der Haken ist nämlich, dass dieser einfache kleine Kartenleser weder Display noch Tastatur hat. Man sieht also nicht, was da vor sich geht. Man hat eine App unbekannter Herkunft und Zusammensetzung, in die man die PIN eingegeben hat, und hat seinen Ausweis im Kartenleser liegen. Die App könnte also im Hintergrund unbemerkt Tod und Teufel „rechtssicher“ per Ausweis bestellen, und vor Gericht hätte man keine Chance, weil doch das alles „beweissicher“ ist. Kinderpornoportal, neues e-Auto online plus 30 Waschmaschinen bestellt, Kontobestand nach Kenia überwiesen, sowas alles. Ich weiß also jetzt schon nicht mehr, ob meine Ausweis-PIN in üblen Hacker-Foren angekommen ist und das Ding üble Dinge treibt, sobald ich meinen Ausweis irgendwo drauf lege.

Man hat keine ernstliche Kontrolle darüber, was da „rechtssicher“ abläuft. Würden einem die Juristen ja auch nicht glauben.

Die Abhilfe der Wahl wären besser Kartenleser mit Display und Tastatur, die sicherstellen, dass man die PIN nicht gegenüber potentiell böser Software offenbart, und auch genau sieht, welche Vorgang man freigibt. Es wäre ja denkbar, dass mir das Ding nur vorgaukelt, ich würde mich im Justizpostfach anmelden und in Wirklichkeit mein Geld nach Russland überweist.

Und genau deshalb habe ich mir genau so einen Leser auch damals gekauft. Einen REINERSCT cyberJack RFID Standard. Von 2011-07, noch originalverpackt und gegen Manipulation beidseitig versiegelt.

Der wird auch von der Ausweisapp erkannt und sie sagt sogar, dass sie Treiber dafür hat, nachdem ich das Paket libifd-cyberjack6 installiert und den pcscd neu gestartet habe, es sei alles gut.

Der Leser selbst gibt sich auch gesund, denn sobald er über USB Strom bekommt, bootet er, gibt als Softwareversion 1.0 an und gibt sich dann betriebsbereit. Völlig tot ist er also nicht, und zumindest irgendwas muss gehen, denn wenn ich den Ausweise reinstecke (und im Fach für Kontaktlose hat er anscheinend keinen Schalter), blinkt die LED, er scheint also zumindest RFID-mäßig zu bemerken, dass da was RFID-Mäßiges in die Nähe kam. So völlig kaputt kann er also nicht sein.

Die AusweisApp2 ist da anderer Meinung. Wenn es daran geht, die PIN einzugeben (erwartet auf der Tastatur des Kartenlesers und nicht am PC) kommt nur

Bei der Kommunikation mit dem Ausweis ist ein Fehler aufgetreten. Bitte überprüfen Sie, dass der Ausweis korrekt aufgelegt ist und versuchen Sie es erneut.

Und der Link auf den Support.

Ist der Leser defekt? Nach 12 Jahren ist da wohl keine Garantie mehr drauf. Neuen kaufen?

Ein pcsc_scan meldet aber den Leser und „German Passport“. Die Hardware kann also eigentlich nicht kaputt sein, denn die Kommunikation funktioniert ja so weit, dass er den Ausweis als solchen erkennt.

Inkompatibilität? Eigentlich auch nicht, denn die AusweisApp2 erkennt den Leser, zeigt genau das Modell an und meint, da wäre alles gut, alles funktioniere.

Bevor ich jetzt aber auf Verdacht teuer Geld für einen neuen Kartenleser rauswerfe (auf Amazon finde ich eigentlich auch nur das gleiche Modell, wäre also so nass wie vorher), dachte ich, ich frage mal beim angegeben Support an, ob die was dazu wissen.

Deren Antwort:

Vielen Dank für Ihre Anfrage.

Eine Liste der kompatiblen Kartenleser finden Sie hier: https://www.ausweisapp.bund.de/usb-kartenleser

Der Bund stellt aktuell leider keine offiziell unterstützte Version der AusweisApp für Linux bereit.
Diese Entscheidung wurde auf Grundlage der geringen Marktverbreitung von Linux und der zusätzlich starken Fragmentierung der Linux-Distributionen getroffen.
Die AusweisApp2 unterliegt jedoch mit EUPL 1.2 einer OpenSource-Lizenz, und der Quelltext wird auf Github bereitgestellt unter
https://github.com/Governikus/AusweisApp2

Eine Kompilierung ist auch unter Linux möglich. Alternativ können Sie auch ein bereits von der Community vorbereitetes Docker-Image der AusweisApp2 verwenden:
https://hub.docker.com/r/aklitzing/ausweisapp2

Weitere Community-Projekte finden Sie unter:
https://www.ausweisapp.bund.de/software/community-projekte/

Bitte haben Sie jedoch Verständnis dafür, dass wir (die Governikus KG) als mit der Entwicklung der AusweisApp2 beauftragte Firma für den Einsatz unter Linux keinen Support leisten können.

Wir hoffen, dass diese Informationen hilfreich für Sie sind.

Ach, gar.

Es gibt für die „rechtssichere“ AusweisApp also unter Linux gar keinen Support, und das wird alles einer nebulösen „Community“ überlassen.

Die Open-Source-Community ist aber bekanntlich spätestens seit Gender und Code of Conduct links unterwandert, womit wir wieder beim „Kampf gegen Rechts“ und den Angriffen auf mein Blog als angeblicher „rechter Blogger“ wären. Die Software ist also auch nicht vertrauenswürdig.

Offiziell gibt es die AusweisApp nämlich für Android, Huawei, iPhone und Windows. Drei Handys und Microsoft.

Die Schriftsätze an das Gericht per Handy hoch- und die Akteneinsicht per Handy runterladen? Brrr.

Und auf dem Desktop soll ich mir jetzt – verpflichtend, weil man doch das Justizpostfach verwenden müssen soll – einen Windows-Rechner hinstellen, also einen Vertrag mit der Datenkrake Microsoft eingehen, die von sich selbst sagt und damit angefangen hat, jegliche Korrespondenz in ihre Cloud hochzuladen und dort per KI auf political correctness zu untersuchen?

Wenn ich also, wie es mir ja hier nun tatsächlich oder fast passiert ist, dass ich ein Strafermittlungsverfahren, eine (hier später wieder aufgehobene) gerichtliche Ladung als Angeklagter zum Strafprozess, einen (hier nicht erteilten, nur zum Antrag gewordenen) Strafbefehl bekomme, noch dazu, weil ich eine dicke grüne Politikerin für dick gehalten haben soll, was nach amerikanischen Maßstäben ja gleich gar nicht geht, bekommt Microsoft das sofort mit, lädt das in deren Cloud hoch, und kündigt mir dann alle Kommunikationsbeziehungen, Mailboxen und so weiter?

Ja … äh … selbst wenn ich mich auf den Scheiß einlassen sollte, wie komme ich denn dann an mein Justizpostfach, wenn das so gebaut ist, dass ich eigentlich Windows dzau verwenden müsste, mir Microsoft aber die Geschäftsbeziehung kündigt und alles stilllegt, sobald sie spitz bekommen, warum ich genau dieses Justizpostfach brauche, nämlich weil der Staat der Meinung ist, dass ich ein politisch unkorrekter Dissident bin?

Das ist doch alles selbstblockierend.

Der Akten-Download

Na gut, wird der gutmütige Teil der Leserschaft denken, wenn es doch alles dem Zweck diente, dass ich jetzt die Akten von der Korrespondenz zwischen dem hessischen Datenschutzbeauftragten und der Deutschen Bank bekommen habe, dann hat es sich doch gelohnt. Oder?

Habe ich denn die Akten bekommen?

Nein.

Ich habe sie nicht bekommen.

Bekommen habe ich nur eine Mitteilung des Gerichts (insofern funktioniert das Postfach also), dass sie mein Schreiben, in dem ich mitteilte, dass ich jetzt ein Justizpostfach habe, an den hessischen Datenschutzbeauftragten weitergeleitet haben, auf dass er mit Frist bis 16.1.2024 Stellung dazu nehme, ob ihm das „Sichere Justizpostfach“ denn auch sicher genug sei.

Als es um die Übertragung meiner Kontodaten der letzten Jahre ging, hat man nicht so einen Aufstand gemacht, da ging das schnell, einfach und unverschlüsselt.

Immerhin: Im Gegensatz zum Fax ist die Schrift jetzt gestochen scharf, weil ordentliches PDF (für die Blogseite zum Bild gewandelt).