Gedankenspiel: Die E-Akte

Udo Vetter hat heute über die Planung der E-Akte für Gerichte in Deutschland geschrieben.
Es reizte mich mal theoretische Überlegungen betreffend der Umsetzung zu machen. Ich muss anmerken, dass dies rein private Überlegungen und sicherlich noch verbesserungsfähig sind. Hier mein Ergebnis:

Die Dokumente werden nach Eingang im Gericht/der Staatsanwaltschaft gescannt und im PDF-Format abgelegt. Sie werden einer digitalen Akte zugeordnet und auf Servern der Justiz gespeichert. Diese Server sind von der Justiz betrieben (was Dateisicherungen und auch kompetente Adminstratoren und professionelle Absicherung einschließt). Dies kann pro Gericht gelöst werden. Es würde aber mehr Sinn machen, wenn diese Rechenzentren Landes- oder sogar Bundesweit betrieben werden. Jeder zugelassene Anwalt kann sich an dieser Zentralen Stelle als Anwalt identifizieren und seinen öffentlichen Schlüssel bekannt geben. Als Verfahren wird GPG oder vergleichbare Technologien (asymetrische Kryptographie) verwendet.
Ebenso ist jedes Gericht im Besitzt eines Schlüsselpaares. Der öffentliche Schlüssel wird auch an der Zentralen Stelle bekannt gegeben.
Hierbei handelt es sich bei Gerichten, als auch Anwälten um einen einmaligen Vorgang.

Sobald ein Anwalt mit einem Verfahren betraut wird, wendet er sich mit entsprechenden Unterlagen (Fax oder Mail) an das Gericht. Diese prüfen manuell, ob ein Zugriff rechtmäßig ist. Ist dies der Fall wird dem Anwalt auf den Servern ein Downloadpaket bereit gestellt, dass alle Dokumente enthält, auf die er Zugriff hat. Dieses Paket ist mit dem öffentlichen Schlüssel des Gerichtes signiert und ebenso mit dem öffentlichen Schlüssel des Anwaltes verschlüsselt. Dieser Vorgang kann (abhängig vom Umfang der Akte) eine gewisse Zeit dauern, ist in Summe trotzdem schneller als eine postalische Zusendung (von wenigen Ausnahmen abgesehen). Dieses Paket kann der Anwalt nun herunterladen. Da es mit seinem öffentlichen Schlüssel verschlüsselt ist, kann nur er es entschlüsseln. Durch die Signatur wird sichergestellt, dass kein Man-in-the-middle-Angriff vorliegt.

Auf dem umgekehrten Weg können Anwälte der Akte auch Dokumente hinzufügen. Diese werden über ein Web-Interface eingespielt. Vorher hat der Anwalt sie zu signieren und mit dem öffentlichen Schlüssel des Gerichtes zu verschlüsseln.

Falls zu einer Akte Dokumente hinzugefügt oder aktualisiert werden, werden alle zugriffsberechtigten Personen per Mail (natürlich verschlüsselt und signiert) benachrichtigt. Es ist möglich jedes Dokument einzeln oder auch alle gesammelt als Archivdatei zu beziehen, um Traffic zu vermeiden.

Zum einen sollte die komplette Bedienung über ein Web-Interface möglich sein, um Betriebsystemunabhängigkeit zu erreichen und zum anderen sollte eine öffentliche API zur Verfügung gestellt werden. Um den allgemeinen Prozess der Ver-/Entschlüsselung sowie Signierung auch technisch unerfahrenen Anwälten zu ermöglichen, sollten bestehende freie Softwareprojekte unterstützt bzw. gegründet werden.  Diese sollte in der Lage sein die API anzusprechen und eine einfache Oberfläche bieten, die Dokumente ver- und entschlüssel und signieren kann. Gewünscht ist, dass die Software die besagte API spricht und so Dokumente herunter-  sowie rauf laden kann.

Das Paket besteht aus standardisierten Dokumenttypen und kann mit freier Software gelesen, als auch geschrieben werden. Die Dokumente dürfen keinerlei DRM enthalten, um zu gewährleisten, dass die Justiz keinerlei Zugriff auf ausgelieferte Dokumente hat. Ebenso sollte die Implementierung der Serverinfrastruktur frei sein. So können unabhängige Spezialisten die Sicherheit prüfen. Hier möchte ich auf Security trough Obscurity verweisen.

Fazit:
Diese Lösung kann – in meinen Augen – zwar eine hohe Sicherheit erreichen, aber Nichts ist 100%ig sicher. Aber auch bei der Post können Sendungen an die falschen Personen geraten. Bei Anwälten in ländlichen Gebieten kann der Download bisweilen recht lange dauern, sollte in der Regel, aber nicht die Zeit einer postalischen Sendung überschreiten. Übergangsweise sollte die postalische Zusendung weiterhin möglich sein.

Diese Lösung wird initial recht große Summen verschlingen. Jedoch kann man sich bei der Entwicklung mit anderen Staaten der EU zusammen tun, was die Kosten verringert. Solch ein Projekt sollte für die meisten Staaten der EU von Interesse sein.

 

Ich hoffe, dass mein Ansatz klar geworden ist. Falls nicht kann ich gerne weiter ausholen. Ich freue mich über Feedback!

8 Responses to “Gedankenspiel: Die E-Akte”

  1. Tolomir sagt:

    Wie ich bei Lawblog schon geschrieben habe, da muss ein Document Management System her.

    zudem ein Tool wie das hier. http://www.infograph.com/OpenText/Videos/RoleBasedRedaction.asp

    DM bedeutet viele Benutzer können gleichzeitig lesend zugreifen und einer nach dem anderen darf das Dokument editieren. Alle Dokumente werden automatisch versioniert. Die Anwender erhalten Benachrichtigungen über Veränderungen in Dokumentenordnern.

    Bitte nicht Sicherheit über alles stellen. Aus dem Grund ist das BSI Tool Chiasmus https://secure.wikimedia.org/wikipedia/de/wiki/Chiasmus_%28Software%29 bei uns unbenutzt, da es keine modernen Anforderungen hinsichtlich Benutzermanagement erlaubt.

    Wie gesagt DM mit Single Sign On und da kann was draus werden.

    Tolomir

    • gimbar sagt:

      Ich bin schon der Meinung, dass Sicherheit in diesem Falle das A&O ist.
      Aber Sicherheit schließt Bedienbarkeit nicht aus. Darum schrieb ich, dass eine API definiert werden sollte und ein entsprechendes Tool zur “Verwaltung” entwickelt wird.
      Es ist in meinen Augen wichtig, dass am Ende lokal gespeicherte PDFs o.ä. heraus kommt, die der Staatsanwalt/Anwalt/Richter kopieren/löschen/umbenennen/etc. kann.
      Weiterhin muss jede Person die ein Dokument hinzufügt manuell schwärzen.

  2. Tolomir sagt:

    Achja die Dokumente aus dem Brava! Beispiel sind übrigens nicht DRM geschützt , vielmehr kann ein Anwender entsprechend seiner Berechtigung nur die entsprechende Version angezeigt bekommen bzw. runterladen. Da wird dann vor dem Download eine entsprechende Version erstellt in der alle geschwärzten Informationen auch geschwärzt ausgeliefert werden.

    • gimbar sagt:

      Genau das meinte! DRM wird sowieso früher oder später ausgehebelt. Informationen die nicht vorhanden sind (nicht beim Anwalt), können auch nicht geknackt werden.

  3. Thorsten sagt:

    nPA, schonmal von gehört? Wäre eine anerkannte Alternative auf der selben Basis.

    • gimbar sagt:

      Darum schrieb ich “oder ähnliche Technologien” ;)
      Ist beliebig austauschbar. Da der nPA noch keine Pflicht ist, wäre GPG eine alternative die davon unabhängig ist.
      Hast aber recht. So kann man sich Aufwand sparen. Man müsste die Schlüssel nicht selber verwalten.

  4. Chefin sagt:

    Bei allen überlegungen wird ein wichtiger Punkt von allen unterschlagen.

    Die gewünschte Arbeitserleichterung erleichtert es auch unredlichen Menschen es auszunutzen.

    Am EMail-Spam erkennt man recht gut die dahinter stehende Gesetzmässigkeit.

    Briefkastenwerbung war teuer, wohlüberlegt und jede Aktion hat praktisch die selben Kosten neu verursacht. Die Kosten fürs Design waren so ziemlich die einzigen Einmalkosten. Bei Email ist das Design der Werbemail praktisch die einzigen Kosten, alles andere nahezu kostenfrei.

    Und zum Thema Sicherheit, das ist nicht machbar. Es gibt in Deutschland einige 10.000 Anwälte, unter diesen sind genug schwarze Schafe. Und ums noch etwas zu verschärfen, müssen wir wohl auch EU-Anwälte zulassen. Den eine derartige Gerichtsdatenbank sollte ja wohl nicht auf Kleinkriminelle und Ordnungswidrigkeiten beschränkt sein. Wie vieleicht den wenigsten bewusst ist, gehören einige Karibische Staaten zur EU(Ex-Kolonien von Frankreich und England). Dort einem Anwalt 100.000 Euro geben bedeutet für den, das er bis zu seinem Tot nichts mehr arbeiten muss und leben kann wie ein Gott.

    Ich will damit nur verdeutlichen das wir einen Missbrauch egal wie wir es auch technisch umsetzen und pflegen nicht verhindern können. Vieleicht dauert es 5 Jahre bis die ersten Klagen aus EU-Ländern kommen wegen Akteneinsicht via Zertifikat, aber sie werden kommen. Selbst wenn dann die technischen Voraussetzungen so streng und sicher sind, wird man das Human-Hole nicht stopfen können.

    Die obligatorische Gegenfrage in diesem Fall lautet normal: wenn das so wäre, wieso ist das bisher noch nie passiert?

    Weil ein Anwalt nur ganz kleine Teile abgreifen kann bevor er auffällig wird. Weil Menschen sowas wie eine Spürnase haben. Und weil bisher immer noch Menschen die Akten verwalten, jede einzelne, fällt einfach auf, das jemand zwar etwas “erlaubtes” verlangt aber es trotzdem irgendwie komisch ist. zB wenn Kanzlei Maier, Meier, Mayer & Kollegen 10 Verfahrensakten auf einmal anfordert ist das OK, wenn Anwalt Vetter das macht wirkt das befremdlich, aber könnte korrekt sein. Ein schneller Blick auf die Akten….ahh, selber Angeklagter, passt. Das schafft nur ein Mensch. Computer versagen an dieser Stelle.

    So sind es die vielen kleinen Dinge die Missbrauch verhindern oder das Risiko extrem hochschrauben. Dagegen ist das Risiko Online erwischt zu werden praktisch Null, im zweifel rede ich mich mit Acc geklaut raus.

    PS: In jedem Gericht kann jeder Archiv-verwalter in die Akten schauen, im PC kann das jeder Admin. Was meinst du wer eher beim spicken erwischt wird? Tip: der Admin ist es nicht, wenn er sein geld wert ist.

    • gimbar sagt:

      Was vielleicht nicht richtig rüber gekommen ist, dass die Akten für jeden Anwalt einzeln frei gegeben werden. Heißt: Wenn Anwalt XY eine Akte anfordert wird von einem Mensch über die Rechtmäßigkeit entschieden und ihm diese Akten zur Verfügung gestellt. Die Schlüsselverwaltung dient ausschließlich dazu, um die Authentifizierung des Anwaltes auf ein einziges Mal zu beschränken. Konnte er sich als zu gelassener Anwalt authentifizieren, wird sein Schlüssel in die Datenbank aufgenommen und sämtliche Dokumente die er anfordert werden mit diesem Schlüssel verschlüsselt.
      Es ist nicht in meinem Sinne das jeder Anwalt automatisch Zugriff auf alle Dokumente hat. Die elektronische Verarbeitung vereinfacht ausschließlich die Übertragung.
      Danke für deinen konstruktiven Kommentar :)

Leave a Reply

QR Code Business Card