NRV-Info 10 / 2018, S. 14 ff.

1. Datensicherheit in den Netzen kann derzeit nicht hergestellt wer­den. Das Recht auf Informationelle Selbstbestimmung der Bürger (BVerfGE 65,1 – Volkszählung), die Vorschriften der Datenschutzgeset­ze der Länder, die Berufsgeheimnisse der Anwälte und der Richter wer­den nicht genügend geschützt. Der Einführung der „elektronischen Akte wird daher widersprochen.

Jeden Tag werden die Computernetze der Regierungen,Verwaltungen und Firmen weltweit ange­griffen und teilweise „gehackt“. Die politischen Konsequenzen des monatelangen An­griffs auf das Netz des Deutschen Bundestags sind noch nicht offenbar geworden, da erfolgt ein Angriff auf das Verbundnetz der Bundesregierung. Es ist nicht verlautbart, ob dieser An­griff noch andauert. Die Ransomware "WannaCry“ hat im Mai 2017 weltweit Millionen Computer infiziert, u.a. der Deutschen Bahn und hessischer Amtsgerichten. Im Zuge dieses Hackerangriffs, der gleichzeitig auch in den USA, Russland, China, Spanien, Italien, Taiwan und Vietnam stattfand, wurden in Großbritannien die kompletten Computersysteme von 16 staatlichen Trägerorganisationen im Ge­sundheitswesen lahmgelegt. Operationen und Unter­suchungen mussten abgesagt werden, Rettungs­einsätze konnten nicht stattfinden. Eine nor­wegische Gesundheitsbehörde, die Health South East RHF, wurde Anfang Januar Opfer ei­nes Hackerangriffs, wobei die Daten von drei Millionen Versi­cherten gestohlen wurden. Al­lein in NRW wurden in den vergangenen Monaten mehrere Klinik-Server gehackt – unter anderem in Arnsberg und Neuss. Im September 2017 meldete das größte Credit-Scoring-Un­ternehmen der USA, Equifax (entspricht der deutschen SCHUFA), dass Daten­sätze von hun­derten Millionen US-Bürgern sowie komplette Kreditkarteninformationen gehackt wurden. Equifax ist das größte der drei so genannten Credit Bureaus der USA, die den Credit Score für jeden US-Bürger festlegen. Er bestimmt die Kreditwürdigkeit der Menschen, ohne einen guten Score ist jegliche Form von Geschäft vom Anmieten einer Wohnung bis zum Autokauf auf Raten kaum möglich. Der amerikanische Geheimdienst selbst wurde mehrfach gehackt. Seit dem Jahr 2001 hat die höchstwahrscheinlich dem amerikanischen Geheimdienst zuzu­rechnende sogenannte Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus fol­genden Bereichen infiziert: Regierungen und diplomatische In­stitutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwi­ckeln. Nunmehr wurden dieser Equation-Gruppe die An­griffswerkzeuge von der Hacker-Gruppe namens „theshadowsbrokers"gestohlen. Diese werden nun im Darknet gegen Bit­coin angeboten. Bei einem Hackerangriff auf eine Ernährungs-App des US-Sportartikelher­stellers Under Armour sind Daten von 150 Millionen Nutzern gestohlen worden. Die Cyber­attacke auf die App MyFitnessPal hat sich bereits Ende Februar zugetragen, ist aber erst kürzlich aufgefallen, wie Under Armour am Donnerstag, 12.04.2018 mitteilte. So geht das Tag für Tag. Der Sicherheitstacho der Telekom (http://sicherheitstacho.eu/start/main ) zeigte am 11.04.2018 um 10:36 Uhr 11.586 (in Worten: elftausendfünfhundertsechsundachzig) Cyber­angriffe auf die Honeypotinfrastruktur der Deutschen Telekom AG sowie ihrer Partner in ei­ner Minute an. Ein Kommentar von Alvar Freude über die erforderlichen Maßnah­men finden Sie hier: ( Alvar Freude: Kommentar zum Bundeshack: Schluss mit Schlangenoel und Monokultur ).
Alvar Freude ist seit Dezember Referent beim Landesbeauftragten für Datenschutz und In­formationsfreiheit Baden-Württemberg sowie freiberuflich PostgreSQL-DBA beim ELS­TER-Betrieb im Bayerischen Landesamt für Steuern. Er war als Sachverständiger Mitglied der Enquête-Kommissi­on Internet und digitale Gesellschaft des Deutschen Bundestags und entwickelt u.a. Open-Source-Software zu IT-Sicherheit.

2. Ein völliger Umbau der Systeme (Netzadministration, Hardware, Software) ist daher dringend erforderlich. Die zugesagten Maßnahmen der Verstärkung der Sicherheit sind strukturell ungenügend.

Die bestehenden Systeme sind einem professionell ausgeführten Cyber-Angriff nicht ge­wachsen Sandro Gaycken, FU-Berlin, Studienbrief 1 - 5: Was ist Cyberwar? ). Nötig ist daher eine völlig neue Sicherheitsstruktur und kein Stopfen von Sicherheitslöchern, wie der­zeit zu beobachten, etwa beim beA (besonderes elektronisches Anwaltspostfach). Siehe den Kommentar zum Bundeshack von Alvar Freude aaO „Schluss mit Schlangenöl und Mono­kultur!“, Ziff. (1) oben.

3. Bis das Sicherheitsniveau ein vertretbares Maß erreicht hat, muss die Rechtsprechung aus der zentralen Administration der Landesver­waltungen herausgenommen werden. Es muss eine „Entnetzung“ statt­finden.

(siehe auch Sandro Gaycken / Michael Karger, „Entnetzung statt Vernet­zung“ Multimedia und Recht (MMR), 1/2011 )

4. Die Hardware ist unter Hochsicherheitsbedingungen neu zu entwi­ckeln.

Es ist derzeit davon auszugehen, dass die in den Justizverwaltungen und Gerichten häufig eingesetzte Hardware, etwa die der Fa. Cisco, durch den amerikanischen Geheimdienst ma­nipuliert ist. Der Vizepräsident der Fa. Cisco hat sich bei Präsident Obama darüber be­klagt, dass die Produkte der Firma bei der Ausfuhr vom NSA manipuliert werden. Heise.de/Newsticker :NSA-Skandal- Fa. Cisco beschwert sich ueber vom NSA manipulierte Postsendungen .
Man sieht auf von Reportern aufgenommenen Bildern Mitarbeiter der NSA, wie sie die Pa­kete öffnen und die Netzwerkkomponenten ent­nehmen. Solche Produkte dürfen auf keinen Fall im Bereich der Rechtsprechung Verwen­dung finden. Derzeit weisen die Prozessoren fast aller Computer gravierende und schwer zu behebende Sicherheitslücken auf (Spectre und Meltdown), die von den Herstellern angebo­tenen Software-Updates bieten keinen ernsthaften Schutz. Die Entwicklung von robusten, breitflächigen Angriffen ist möglich, wenn auch aufwändig, gezielte Angriffe auf einzelne ausgewähl­te Systeme sind leicht möglich: BSI für Bürger, „Prozessor-Schwachstellen: Spec­tre und Melt­down“ Bundesamt für die Sicherheit in der Informationstechnik/Artikel/Meltdown_Spectre_Sicherheitsluecke.
Für die organisierte Kriminalität oder Staaten ist ein breitflächiger Angriff „prinzipiell auf­wändig“ aber ohne weiteres leistbar. Dagegen kann sich die Justiz nicht erfolgreich wehren. Nach neuesten Meldungen warnen die Regierungen von Großbritannien und den USA vor einer Infiltration von Netzwerken durch russische Dienste. Im Detail betroffen sind den Angaben zufolge neben Systemen, die mit Cisco Smart Install SMI ausgestattet sind (ermöglicht die Fernwartung), auch das Netzprotokoll Generic Routing Encapsulation GRE und das Netzwerkprotokoll SNMP, das Netzwerkelemente wie Router, Server oder Computer steuert und überwacht. Damit sind die meisten Systeme in Deutschland ausgestattet. Heise/Newsticker; USA-und-Grossbritannien warnen vor globaler russischer Cyberattacke

5. Die Verwaltung der Rechtsprechung als Teil der Justiz ist hoheitli­che Tätigkeit, deren Kontrolle der Staat nicht Dritten überlassen darf. Durch seine Organisation und Aufsicht hat der Staat die informationelle Selbstbestimmung, die Berufsgeheimnisse der Anwälte und der Rich­ter, die Beratungsgeheimnisse, zu gewährleisten. Dem genügt der Staat derzeit nicht.

Administration der Netze

Teilweise wird die Administration der Netze oder die Speicherung richterlicher Daten in „der Cloud“ privaten Firmen überlassen oder dies ist geplant. Eine Auslagerung dieser Auf­gabe an gewerbliche Provider verstößt gegen das Verbot der Privatisierung hoheitlicher Be­fugnisse. Verfassungsrechtlich ist der Staat nicht unbegrenzt frei, hoheitliche Aufgaben auf Private zu übertragen. Art. 33 Abs. 4 GG verpflichtet den Staat, bei der Ausübung hoheits­rechtlicher Befugnisse in der Regel Beamten einzusetzen. Eine ausnahmsweise Übertragung auf Private unterliegt einem Gesetzesvorbehalt (vgl. BVerwGE 98, 280, 298) und ist verfas­sungswidrig, wenn sie in größerem Umfang erfolgt (vgl. BVerfGE 9, 268, 284). Siehe auch Löffelmann in Mitteilungen des Hamburgischen Richtervereins (MHR) Nr. 1/2015. Die Beeinträchtigung der richterlichen Unabhängigkeit durch die bloße Eignung einer tech­nischen Einrichtung zur unzulässigen Beobachtung und inhaltlicher Kontrolle richterlicher Tätigkeit muss darüber hinaus durch organisatorische, technische und rechtliche Sicherheits­maßnahmen soweit gemindert werden, dass die Beeinträchtigung rechtsstaatlich noch ver­tretbar ist (Revisionsschrift der Netzkläger vom 20.05.2010 in dem Verfahren BGH RiZ(R) 7/10. Dies begründet den Anspruch, dass die Netzadministration den Landesjustizministerien vorbehalten bleiben muss und nicht – wie in Hessen – dem Finanzministerium übertragen wird.

Einzusetzende Software und Hardware.

Weil weit überwiegend proprietäre (nicht quelloffene) Software eingesetzt wird, überlässt der Staat derzeit die Verwaltung Organisationen, die in letzter Konsequenz der (deutschen) staatlichen Kontrolle nicht unterworfen sind und deren innere Abläufe und Funktionen er nicht kennt und von diesen Firmen auch nicht offengelegt werden. Soweit die Fa. Microsoft betroffen ist, unterliegt diese derzeit dem „Patriot Act“ und darf bei Strafandrohung nicht verlauten lassen, inwieweit der Amerikanische Geheimdienst den Einbau von Hintertüren verlangt. Dem deutschen Staat ist eine Überprüfung der Sicherheitsaspekte der gekauften Software - z. B. durch das BSI - nicht wirklich bzw. nicht in vollem Umfang möglich. Es ist deshalb vom Staat zu fordern, dass er ausschließlich Software einsetzt, deren Quellcode of­fengelegt wird und in vollem Umfang und voller Tiefe vom BSI überprüft werden kann. Software, die dieses Kriterium der vollständigen Offenlegung nicht erfüllt, darf nicht einge­setzt werden. Dies gilt gegenwärtig besonders für das beA, bei dem die beteiligten Organisa­toren (BRAK) inzwischen durch Hinweise aus der (Computer-) Fachpresse die Mangelhaf­tigkeit der ‘gekauften’ Software im Hinblick auf Datensicherheit festgestellt und hoffentlich eingesehen hat. Für die in allen anderen Bereichen eingesetzt Software ist von den Providern eine Offenlegung des Quellcodes zu verlangen. Soweit diese sich weigern, hat sich die öf­fentliche Verwaltung umgehend um Ersatz durch quelloffene und durch das BSI überprüfba­re Programme zu bemühen. Soweit in vernetzten Bereichen Programme mit geschlossenem Quellcode eingesetzt werden, hat möglichst umgehend eine “Entnetzung”zu erfolgen. Es ist auch der irrigen Vorstellung zu widersprechen, dass das Verbergen des Quellcodes in einer ‘Black-Box’ wegen der Datensicherheit erforderlich sei. Die Daten müssen verschlüsselt sein, nicht das Ablaufprogramm. Die allgemeine Forderung nach ‘Digitalisierung’ sollte nicht dazu führen, dass aus dem Wunsch nach Beschleunigung Datensicherheitsaspekte au­ßer Acht gelassen werden, deren künftige Reparatur wegen der rapide fortschreitenden Komplexität von Programmen und Vernetzungen immer kostspieli­ger werden. Der Einsatz von Hardware (Prozessoren, Schnittstellen sowie Hubs Router und Switches) setzt im Be­reich der Rechtsprechung voraus, dass deren Firmeware ebenfalls quelloffen ist.

6. Die öffentliche Diskussion über die „Digitalisierung“ hat ein fal­sches Schwergewicht. Nicht die Schnelligkeit der Datenübertra­gung, sondern die Sicherheit muss im Mittelpunkt stehen. Auch darf die Ein­führung elektronischer Verfahren im Bereich der Rechtsprechung nicht vorwiegend unter Aspekten der Benutzer­freundlichkeit betrachtet wer­den.

Dorothee Bär, Staatsministerin für Digitales, landete mit einem Interview im ZDF einen echten Social-Media-Hit. Auf die Frage der Journalistin Marietta Slomka nach dem lahmen Breitbandausbau sagte sie, dass man die Frage der Digitalisierung nicht auf die Breitband­frage verengen dürfe. Man müsse weiter denken: "Kann ich mit dieser Infrastruktur, die wir dann haben, auch mal autonom fahren? Habe ich die Möglichkeit zum Beispiel auch mit ei­nem Flugtaxi durch die Gegend zu können?" Heise Newsticker: Ministerin für Digitales Dorothee Baer: "Programmierunterricht und Flugtaxis fuer die Digitalnation". Mit dem Flugtaxi sind wir nicht unterwegs, wir müssen bescheidener sein:

„Wir fahren in einer Kutsche ohne Dach und hoffen, dass es nicht regnet.“

(Michael Hange, Präsident des Bundesamtes für die Sicherheit in der Informationstechnik bei der Anhörung durch den Bundestagsausschuss "Digitale Agenda" im Mai 2014).

Während Frau Bär in die Luft will, waren fremde Mächte dabei, aus den Netzwerken der Bundesregierung Daten zu „entführen“. Jeder Richter muss bei der Frage der Einführung der „elektronischen Akte“ sich darüber im Klaren sein, dass die politische Führung unseres Lan­des die mit der Digitalisierung verbundenen Probleme nicht versteht oder keine Zeitung liest. Ähnliches erlebt man derzeit bei dem skandalösen, hoffentlich gescheiterten Versuch, ein elektronisches Postfach für die Anwaltschaft zwangsweise einzuführen.

Karlheinz Held, RiOLG i.R.