Juristen und Datensicherheit

Es ist mal wieder typisch, wenn Juristen auf ein technisches Problem treffen, möchten sie nicht etwa das zu Grunde liegende technische Problem gelöst wissen, sondern man versucht an das Justizgebäude einen Erker anzubauen und erklärt dann das Problem einfach als gelöst. Bei allem was in Deutschland mit IT zu tun hat, findet man nur noch Kuddelmuddel.

Mit der Einführung von DE-Mail sollte ein vertrauenswürdiges, schadprogrammfreies e-Mailsystem, dessen Teilnehmer noch dazu verifiziert sein können, für Deutschland geschaffen werden, so daß zukünftig selbst amtlicher Schriftverkehr rechtsverbindlich zwischen Behörden, Bürgern und juristischen Personen abgewickelt werden kann, da eine absenderauthentifizierte DE-Mail im Sinne von §130a Abs. 4 Nr. 1 ZPO ein sicherer Übermittlungsweg ist.

Wie sich bereits nach kurzer Zeit herausstellte und dabei ist es bis heute geblieben, ist DE-Mail ein Riesenflop, denn es wurde von keiner relevanten Zahl an Bürgern angenommen, was nicht verwunderlich ist, da es eine reine — noch dazu „portobehaftete“ — Insellösung im Mailuniversum darstellt, die dem Bürger keine wesentlichen Vorteile im täglichen Leben bringt.

Die Vertraulichkeit der mit DE-Mail versendeten Nachrichten sollte durch eine Ende-zu-Ende-Verschlüsselung erreicht werden. Nun sollte aber das DE-Mailsystem gleichzeitig frei von Viren, Trojanern und anderen Schadprogrammen sein. Eine Anforderung, die bei einer funktionsfähigen Ende-zu-Ende-Verschlüsselung aus prinzipiellen Gründen nicht gewährleistet werden kann, da eben nicht bekannt sein kann, welchen Inhalts die Nachrichten sind. So ist man auf die Idee gekommen, die Ende-zu-Ende-Verschlüsselung an den DE-Mailservern vor der Zustellung für einen Virenscan kurzfristig aufzuheben. Damit liegt nun keine Ende-zu-Ende-Verschlüsselung mehr vor und die Vertraulichkeit, ein ursprüngliches Merkmal von DE-Mail, ist nicht mehr vollumfänglich gewährleistet, da an der Sollbruchstelle DE-Mailprovidern, Ermittlungsbehörden (Polizei, Geheimdienste) und anderen Angreifern ein Zugriff auf die unverschlüsselten Inhalte der Mails möglich ist. Wie wurde dieser Widerspruch gelöst? Nun, DE-Mail wurde von politischen Juristen per Gesetz als sicher deklariert.

Parallel dazu wurde für die Kommunikation von Justiz und Rechtsanwälten eine zweite davon unabhängige Mailinselinfrastruktur von der Bundesrechtsanwaltskammer (Brak), das besondere elektronische Anwaltspostfach (beA), geschaffen. Damit das keine Totgeburt wird, wurde es für Rechtsanwälte verpflichtend (und natürlich per Zwangsabgabe kostenpflichtig). Bereits nach kurzer Zeit wurden erhebliche Sicherheitslücken aufgedeckt. Die Nutzung des beA wurde vorübergehend ausgesetzt, ein Gutachten von der Brak in Auftrag gegeben und schließlich nachgebessert. Seit Anfang September ist das beA wieder Online. Allerdings ist die Lücke, die vor Innentätern schützen soll weiterhin vorhanden, sie zu beheben würde erheblichen Aufwand nach sich ziehen, den man wohl nicht bereit war zu gehen. Das Problem wurde wieder einmal anders „behoben“. Der Gefährdungsgrad dieser Sicherheitslücke wurde herabgestuft in dem man den Textkörper der Mail einfach als nicht schutzbedürftig erklärt, da alles schutzbedüftige in den (angeblich) sicheren Mailanhängen zu finden sei:

8. In der Befragung der Vertreter der Secunet AG konnte festgestellt werden, dass der im Abschlussgutachten unter Kapitel 5.4.1. ursprünglich als A-Schwachstelle dargestellte Fehler nunmehr, nach weiteren Untersuchungen, als B-Schwachstelle zu definieren sei. Dies hängt damit zusammen, dass bei Ausnutzen dieser Schwachstelle durch Innentäter oder sonstige Angreifer nicht – wie ursprünglich befürchtet – auf die Nachrichtenanhänge einer beA-Nachricht (z.B. Klageschrift, Schriftsätze, Schreiben etc.) zugegriffen werden kann, sondern nur auf den Text der beA-Nachricht selbst. Da hier jedoch lediglich auf die Versendung der anliegenden Anhänge verwiesen werde, erfolgte die Zurückstufung in eine betriebsbehindernde Schwachstelle.

Will also ein Rechtsvertreter das Berufsgeheimnis wahren, dürfte weder im Betreff noch im e-Mailtext etwas Relevantes enthalten sein, sondern er müsste den Text der e-Mail als Anhang (zwingend als PDF oder Tiff) beifügen. Genaugenommen unterliegt bereits die Information, ob ein Mandatsverhältnis vorliegt bereits der beruflichen Schweigepflicht, ein Innentäter hat aber auch Zugriff auf die Empfänger. Interessant wird es an den Schnittstellen zu anderen e-Mailsystemen, denn dort müsste der Mailtext eingehender e-Mails in jedem Falle in Textanhänge umgewandelt werden, bzw. vom Absender des fremden Systems sofort als solche versandt worden sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.