Kommentar zur eID-Strategie der Bundesregierung, Teil 2 E-Akten als Alternative zur Online-Durchsuchung?

Joachim Jakobs

Anbieter zum Thema

Bislang konnte der neue Personalausweis die Erwartungen seiner Mütter und Väter nicht erfüllen. Weder die De-Mail noch elektronische Behördengänge oder Bezahlvorgänge werden auf absehbare Zeit etwas daran ändern. Doch die Bundesregierung hält unbeirrt am Zeitplan ihrer eID-Strategie fest.

De-Mail soll ein zentraler Treiber in der eID-Strategie der Bundesregierung werden.
De-Mail soll ein zentraler Treiber in der eID-Strategie der Bundesregierung werden.
(Bild: Berliner Senat)

Der Vorsitzende des Verbands der Deutschen Internetwirtschaft eco, Michael Rotert ist der Meinung: „[...] bei Privatnutzern wird sich die De-Mail wegen der fehlenden Ende-zu-Ende-Verschlüsselung nicht durchsetzen". Damit will sich Thomas de Maizière aber nicht abfinden, er macht dem Dienst Dampf: Beim IT-Gipfel im Oktober 2014 kündigte der Innenminister an, dass bis Ende 2015 über 200 Bundesbehörden über De-Mail kommunizieren sollten.

Das ist nur konsequent – schließlich schreibt die Bundesregierung in ihrem Programm „Digitale Verwaltung 2020“: „Es soll zukünftig Standard werden, dass die öffentliche Verwaltung für die Bürgerinnen und Bürger auch elektronisch erreichbar ist.“ Das zu Grunde liegende e-Government-Gesetz gilt dabei unter anderem für

  • die „Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts“
  • „die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts“.

Im November 2014 hat de Maizière den Entwurf seines IT-Sicherheitsgesetzes aktualisiert. Die aktualisierte Fassung will den Internet-Diensteanbietern jetzt erlauben, Nutzerdaten zur Beseitigung von „Störungen“ ihres Angebots zu sammeln.

„Völlige Überwachung“ durch das IT-Sicherheitsgesetz?

Im aktualisierten Entwurf des IT-Sicherheitsgesetzes ist eine Änderung von § 15 Telemediengesetz (TMG) vorgesehen, mit der sich Betreiber von Webservern vor Schadprogrammen schützen können sollen. Künftig soll es heißen: „Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum [Erkennen,] Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden.“

In einem Begleitbrief des Innenministeriums (!) an diverse Behörden in Bund und Ländern, den netzpolitik.org veröffentlicht hat, wird darauf hingewiesen, „…dass dieser Gesetzentwurf innerhalb der Bundesregierung noch nicht abgestimmt ist. Dies betrifft insbesondere auch die Frage, ob und in welchem Umfang und für welche Dauer eine Erhebung und Verwendung von Nutzungsdaten durch die Anbieter von Telemedien zur Abwehr von Angriffen auf die zugrunde liegenden IT-Systeme erforderlich ist (Problem einer neuen Form von Vorratsdatenspeicherung? – § 15 Absatz 9 des Telemediengesetzes neu).“

Kurz danach wurde bekannt, dass der BND in den Handel mit Software-Schwachstellen einsteigen will. Hartmut Pohl, Informatik-Professor und Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik ist der Ansicht: „Die Regierung hat das Ziel der völligen Überwachung“. Völlig abwegig ist Pohls Ansicht dabei nicht: Security-Insider hatte bereits im Frühjahr auf ein Dokument europäischer Innen- und Justizminister hingewiesen, das 2007 auf Initiative des damaligen Innenministers Wolfgang Schäuble entstanden sein soll.

In dem Text heißt es: „Die Bürger hinterlassen bereits viele digitale Spuren mit ihren Bewegungen. Eins jedoch ist klar: Die Anzahl dieser Spuren (und die detaillierten Informationen, die sie enthalten) wird sich höchstwahrscheinlich innerhalb der nächsten zehn Jahre um ein Zigfaches steigern. Von jedem Objekt, das eine Person benutzt, jede Transaktion, die sie unternimmt, und nahezu überall, wo sie hingeht, wird es digitale Aufzeichnungen geben. Das bedeutet für die Sicherheitsorgane reichlich Information und liefert riesige Möglichkeiten für effektive und produktive Sicherheitsanstrengungen.“

Zur Erinnerung: Das Bundesverfassungsgericht hat die Onlinedurchsuchung unter Hinweis auf die Menschenwürde für verfassungswidrig und nichtig erklärt. Jetzt gibt es Hinweise darauf, dass die Bundesregierung (ähnlich wie Facebook) versucht, die Bürger zur freiwilligen Herausgabe ihrer personenbezogenen Daten zu bewegen. Die Wahrscheinlichkeit, dass diese Daten von Sicherheitsbehörden und Geheimdiensten wie dem Bundesnachrichtendienst (BND) ausgewertet werden, ist groß.

So scheinen die Schlapphüte der Auffassung zu sein, dass ein Deutscher Spionagesatellit nicht deutschem Recht unterliegt, nur weil er sich im Weltraum befindet. Metadaten sollen nach Ansicht des Dienstes nur dann personenbezogen sein, wenn man sofort erkennen könne, um wen es sich handele, wenn man also „einen Personenbezug herstellen kann“. Ohne diesen seien es „Sachdaten“. Hinzu kommt: Die Verarbeitung der Massendaten durch die Behörden soll nicht unter das IT-Sicherheitsgesetz fallen – eine Lizenz zur Zweitklassigkeit, wie Security-Insider berichtete.

Prof. Dr. Johannes Caspar
Prof. Dr. Johannes Caspar
(Bild: HmbBfDI / Thomas Krenz)

Der Hamburger Datenschutzbeauftragte und Jura-Professor der Universität Hamburg Johannes Caspar ist der Ansicht: „Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Dienste ist zunächst einmal ein Abwehrrecht gegenüber staatlichen Eingriffen. Darüber hinaus resultiert gerade mit Blick auf die staatlich vorgehaltenen Bürgerdaten nicht zuletzt auch aus diesem Grundrecht, aber auch aus der informationellen Selbstbestimmung eine Schutzpflicht, aus der sich eine Verpflichtung ergibt, die technisch-organisatorischen Maßnahmen zur Optimierung der Sicherheit der eigenen informationstechnischen Systeme zu treffen. Eine „Lizenz zur Zweitklassigkeit“ ist damit nicht vereinbar. Der Aufbau einer datensicheren Infrastruktur ist dem Staat als Datensammler nicht minder vorgegeben als den vom IT-Sicherheitsgesetz künftig betroffenen Unternehmen.“

Klar ist jedenfalls der Zeitplan, dem die Behörden bei der Digitalisierung ihrer Prozesse unterliegen: Seit der Verkündung des e-Government-Gesetzes im Sommer vergangenen Jahres müssen die Akten der Bundesbehörden digitalisiert vorliegen. Ab 1. Januar 2015 muss die Verwaltung in der Lage sein, sich gegenüber den Bürgern auszuweisen, wenn sie Dienstleistungen anbieten. Ab 2020 müssen Akten elektronisch geführt werden.

Das EGovG ist im August 2013 in Kraft getreten, seine vollständige Umsetzung erfolgt  schrittweise.
Das EGovG ist im August 2013 in Kraft getreten, seine vollständige Umsetzung erfolgt schrittweise.
(Bild: Materna)

Diese Dienstleistungen werden schrittweise eingeführt und werden von einer Reihe von Werkzeugen unterstützt – zum Beispiel:

  • die De-Mail
  • der elektronische Nachweis (etwa für Zeugnisse, Quittungen, Urkunden, …§5 eGovG )

Die verschiedenen Funktionen lassen sich dann wie aus einem Baukasten vom jeweiligen Anbieter bündeln – so gibt es Führungszeugnisse digital, wie eGovernment-Computing.de berichtet: „Führungszeugnisse können ab sofort online per Internet beantragt und bezahlt werden. Um sich identifizieren zu können, sind der neue elektronische Personalausweis mit freigeschalteter eID-Funktion sowie ein Kartenlesegerät erforderlich.“

Aber: „Da der Großteil der Verwaltungskontakte der Bürger mit den kommunalen Behörden bestehen, liegt dort der entscheidende Schlüssel für eine breite Nutzung von E-Government-Anwendungen“, heißt es in der „Digitalen Verwaltung 2020“, einer Broschüre der Bundesregierung. Die „Kommunale Gemeinschaftsstelle für Verwaltungsmanagement (KGSt)“ will über 2.000 Leistungen identifiziert haben, die die Kommunen künftig elektronisch anbieten könnten.

Die Bürger im Sächsischen Kamenz kommen bereits in den Genuss kommunalen eRegierens, Heiratswütige können sich schon heute online anmelden. Ähnliche Dienstleistungen gibt es für Unternehmen: Wer in Brandenburg eine Firma gründen will, muss nicht mehr nach Potsdam aufs Amt, sondern kann das bequem übers Netz tun.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Jetzt will die Bundesregierung die Entwicklungsgeschwindigkeit neuer Angebote erhöhen – in ihrer Broschüre schreibt sie: „Mit dem Pilotvorhaben 'Modellkommune E-Government' soll das Potenzial des EGovG auf kommunaler Ebene aufgezeigt werden. Das Pilotvorhaben wurde im Januar 2014 mit drei Modellkommunen (Städte Gütersloh und Düren, Landkreis Cochem-Zell) gestartet. Am 11. Juni 2014 erfolgte der Start für die Bewerbungsphase in der zweiten Staffel, in der fünf weitere Modellkommunen ausgewählt werden. Am Ende des Modellvorhabens soll ein Leitfaden ‚Weg zur E-Government-Kommune‘ als Handreichung für Kommunen erarbeitet werden.“

Der Mensch unterm Datenmikroskop

Alle wollen ihre Klientel nicht nur beobachten, sondern auch noch künftiges Verhalten prognostizieren: Amazon will Bücher ausliefern noch bevor die überhaupt gekauft wurden, die Axa Global Direct Group nutzt zur Berechnung ihrer KFZ-Versicherungstarife unter anderem die Preissensibilität und das Fahrverhalten des Interessenten, die Finanzverwaltung spürt „Lieblingsziffern“ in der Steuererklärung in der Hoffnung auf, damit Steuerbetrügern auf die Spur zu kommen, die Polizei will Verbrechen mit Hilfe von „predictive policing“ vorhersagen und Google will uns künftig empfehlen, was wir morgen tun sollen. All dies ließe sich mit Hilfe der e-Identity-Strategie noch weiter „optimieren“.

Klar ist, dass der Anbieter auf diese Weise Macht über die Kunden erhält, wenn er deren künftiges Verhalten kennt. Unklar hingegen sind die Konsequenzen für die Betroffenen: Wenn Google empfehlen kann, was wir tun sollen, werden sie vermutlich auch die Wahrscheinlichkeit berechnen können, mit der wir dieser Empfehlung folgen. Weiter könnte der Suchriese dazu verpflichtet werden, dieses Wissen mit Interessenten aller Art zu teilen.

Bislang gibt es noch kein Urteil aus Karlsruhe, das das Bilden von Profilen an Hand von Daten verbietet, die die Bürger zuvor selbst den Diensteanbietern anvertraut haben. Aber ist die Profilbildung legal, nur weil sie noch nicht vom obersten Deutschen Gericht verworfen wurde? Oder findet das „Computergrundrecht“ auch in den Telematik-Netzen Anwendung?

Datenschützer Johannes Caspar sagt zu den Prognose-Ambitionen der Strafverfolger: „Problematisch wird predictive policing, wenn mit dem vorhandenen Datenmaterial ein Personenbezug hergestellt werden kann und somit Personen aus der Anonymität herausgeholt werden. Daher muss von Anfang an technisch sichergestellt werden, welche Daten in das System eingepflegt werden, was für Daten das System produziert und wie diese produzierten Daten genutzt werden sollen.“

Und was ist mit der Sicherheit? Die Vitako, die Bundesarbeitsgemeinschaft der Kommunalen IT-Dienstleister, weist in einer Broschüre zur „Einführung der E-Akte“ darauf hin: „Der IT-Sicherheitsbeauftragte unterstützt bei der Schutzbedarfsfeststellung, einem Basis-Sicherheitscheck, einer Risikoanalyse sowie der Identifikation geeigneter Maßnahmen.“

Die E-Akten enthielten Informationen zur Handlungsweise und den Entscheidungswegen der Verwaltung. Die Einführung der elektronischen Aktenführung erfordere daher in verstärktem Maße die Absicherung der erforderlichen IT-Systeme gegen Ausfall, Datenmanipulation, unberechtigten Zugriff oder Datenverlust.

„Erstellen Sie zum Schutz Ihrer Daten nach den Vorgaben der IT-Sicherheitsbeauftragten ein Sicherheitskonzept für die elektronische Akte, in dem die abzusichernden Ziele und hierzu ergriffenen Maßnahmen dokumentiert werden“, empfiehlt die Vitako Im Anhang nennt das Dokument zahlreiche weitere Informationsquellen mit vielen hundert Seiten Empfehlungen des BSI zur Informationssicherheit – etwa die Technische Richtlinie zur „Beweiswerterhaltung kryptographisch signierter Dokumente“ oder das IT-Grundschutzhandbuch.

Ein wenig nebulös formuliert das e-Government-Gesetz im Vergleich dazu: „Wird eine Akte elektronisch geführt, ist durch geeignete technisch-organisatorische Maßnahmen nach dem Stand der Technik sicherzustellen, dass die Grundsätze ordnungsgemäßer Aktenführung eingehalten werden.“

Nicht viel aufschlussreicher ist die „Digitale Verwaltung 2020“: „Daten, die von E- Government-Diensten verarbeitet werden, müssen authentisch und zugriffsgeschützt sein. Ferner sind nur so viele Daten zu erheben, wie für den Dienst wirklich benötigt werden. Diese und weitere Sicherheitsaspekte müssen von Anfang an bei der Entwicklung von E-Government-Angeboten berücksichtigt werden.“

Die Pressestelle des Innenministeriums bestätigt auf die Frage nach der technischen Umsetzung und den Verschlüsselungsmechanismen: „Im Gesetz sind explizite Regelungen zur Art der Verschlüsselung nicht enthalten. Ob und ggf. wie Akteninhalte, Formulare oder Nachweise bei der Speicherung und/oder Übermittlung durch eine Behörde zu verschlüsseln sind, ergibt sich aus den allgemeinen Regeln, z.B. den einschlägigen Datenschutzvorschriften und hängt damit nicht zuletzt vom Inhalt dieser Dokumente ab.“

Mit „allgemeinen Regeln“ könnte etwa das IT-Sicherheitsgesetz gemeint sein. Dazu heißt es allerdings auch im aktualisierten Gesetzesentwurf: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist nach Satz 3 von den Kritischen Infrastrukturen im Sinne des BSI-Gesetzes ausgenommen. Als Spezialregelung gelten hier die §§ 4, 5 und 8 des BSI-Gesetzes. Die Verwaltungen der Länder und Kommunen sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“

Karsten Nohl, Krypto-Experte und Geschäftsführer der Security Research Labs in Berlin stellt dazu fest: „Der De-Mail-Datenstrom stellt alle bisherigen Datenquellen in den Schatten und kreiert entsprechend nie dagewesene kriminelle Anreize“. Wert legt der Innenminister stattdessen auf die Kompetenz seines Personals – in der Mail seiner Pressestelle heißt es weiter: „Maßnahmen zur Kompetenzentwicklung der Mitarbeiter halten wir für wichtig.“

In den kommenden Monaten werden wir uns auf Security-Insider.de mit verschiedenen Telematik-Projekten sowie deren jeweiligen Risiken und Überwachungsmöglichkeiten beschäftigen. Hierbei wird es beispielsweise um intelligente Gebäude und Smart Grids gehen, weitere Beiträge sind zu intelligenten Städten und Verkehrstelematik sowie Telemedizin und Gesundheitstelematik geplant.

(ID:43117768)