E-Akte

Verleitet von Herrn Vetters Blogpost „Die E-Akte kommt“ habe ich mir ein paar Gedanken zur technischen Umsetzung gemacht.

Anforderungen

Zeiten ändern sichDie Anforderungen können klar in zwei Kategorien unterteilt werden: Funktion und Sicherheit. Ersteres ist zwingend notwendig um die nötige Akzeptanz zu erreichen, die solch ein Projekt benötigt, um tatsächlich sinnvoll eingesetzt werden zu können; andernfalls riskiert man Vermeidungsverhalten (z.B. Verweise auf Papierakten in der E-Akte). Letzteres ist Grundvoraussetzung für den Einsatz in einem so sensiblen Bereich wie der Strafjustiz.

An dieser Stelle würde ich gerne hervorheben, dass ich zwar Informatiker, aber kein Jurist bin und auch die Details der täglichen Aktenarbeit nicht im Detail kenne. Ich leite die funktionalen Anforderungen daher vom gesunden Menschenverstand und meiner Erfahrung in der Verwaltung der Bundeswehr (Grundwehrdienst) ab. Über Verbesserungsvorschläge und nicht beachtete Sonderfälle würde ich mich sehr freuen.

Funktionale Anforderungen

Eine E-Akte sollte sich nicht darauf beschränken Papier zu ersetzen, sondern auch Medien wie Ton- und Videoaufzeichnungen enthalten können. Genauso wenig Hilfreich ist es, lediglich eine bloße Dateisammlung ohne Zusammenhang zu übermitteln. Die rein funktionalen Anforderungen sind daher:

  • In der E-Akte müssen Texte, Bilder, Ton- und Videoaufzeichnungen sowie beliebige digitale Dateien (Dokumente) hinterlegt werden können.
  • Die E-Akte muss nur für berechtigte Teilnehmer einsehbar und veränderbar sein.
  • Alle berechtigten Teilnehmer müssen in der Lage sein weitere Dokumente der Akte hinzuzufügen.
  • Alle Änderungen an der E-Akte müssen nachvollziehbar sein. Jede Änderung muss einem Teilnehmer zuzuordnen sein.
  • Alle Teilnehmer müssen in der Lage sein, Anmerkungen an der Akte anzubringen, die nur für sie selbst sichbar sind.
  • Teilnehmer müssen in der Lage sein, diese Anmerkungen anderen/allen Teilnehmern zugänglich zu machen.
  • Die E-Akte muss ein einheitlich formatiertes Inhaltsverzeichnis besitzen, in der alle Dokumente aufgelistet sind.
  • Dokumente müssen sich gegenseitig referenzieren und einbetten können (z.B.: Anklagetext enthält Tatortfoto und verweist auf Gutachtentext).
  • Die E-Akte muss über das Internet, bei Gericht und per Datenträgerversand erreichbar sein.
  • Eine lokale Kopie muss auch ohne Zugriff auf das eigentliche System einsehbar und veränderbar sein.
  • Änderungen müssen nachträglich übermittelbar sein.
  • Die Konfliktauflösung bei widersprüchlichen Änderungen muss eindeutig sein.
  • Alle Elemente der E-Akte müssen exportierbar sein (z.B. Ausdrucken von Texten, Abspeichern von Videos, etc).

In dieser Version bekommt man eine Art einheitliche Webseite, der nur Informationen hinzugefügt werden können und die nur von den Personen eingesehen und bearbeitet werden kann, die dies bei der Papierakte auch dürfen. Ein Versionsmanagementsystem erlaubt es Dokumente durch neue Versionen zu ersetzen, wobei die alten Versionen weiterhin in der Akte verbleiben. Die Konfliktlösung ist nur dafür Zuständig die Reihenfolge in der E-Akte festzulegen, da nur neue Dokumente hinzugefügt werden können. Die Exportfunktion erlaubt es eine E-Akte im Zweifelsfall wie eine Papierakte zu behandeln; es dürfen keine technischen Hürden aufgebaut werden, welche die Verwendung im Vergleich zur Papierakte einschränken.

Für mich bleiben die Fragen: Muss man Dokumente anderer Teilnehmer verändern können? Muss man eigene Dokumente aus der Akte löschen können? Ersteres würde das Verfahren verkomplizieren, da eine komplexe Konfliktlösung implementiert werden muss (z.B. Strafverteidiger und Rechtsanwalt überarbeiten den gleichen Text, welche Änderungen werden am Ende übernommen). Ich denke aber nicht, dass in der juristischen Praxis man sich gegenseitig die Texte editiert, oder doch? Letzteres ist weniger problematisch, falls es notwendig sein sollte, wird die Löschung in die Änderungshistorie übernommen. Ggf. kann man auch eine Sperrung veranlassen und nur der Richter kann eine entgültige Löschung durchführen. Als Beispiel fällt mir die fälschliche Übermittlung von Dokumenten ein, welche man den anderen Teilnehmern eigentlich nicht zur Verfügung stellen wollte (Bedienfehler). Zwar mag das schneller vorkommen als bei einer Papierakte (Unsicherheit beim Umgang mit Computern) dafür ist es bei einmal zurückgeschickten Ermittlungsakten wohl schwieriger die Sachen noch rechtzeitig wieder rauszukriegen. Davor, dass die Gegenseite die Dokumente in der Zwischenzeit exportiert ist man genauso wenig geschützt wie vor dem Fotokopierer bei der Papierakte.

Sicherheitsanforderungen

Papierakten kann man genauso stehlen wie digitale Dateien; allerdings ist der massenhafte Aktenklau im digitalen einfacher (schon aus logistischen Gründen) und nicht so leicht ersichtlich, wie eine verschwundene Papierakte. Der Einsatz moderner Sicherheitstechnik ist daher nicht nur zwingend notwendig, sondern kann sogar eine Verbesserung gegenüber der herkömmlichen Papierakte darstellen. Ich sehe folgende Anforderungen:

  • Jeder Teilnehmer muss Informationen so verschlüsseln können, dass sie nur von spezifizierten Teilnehmern gelesen werden können.
  • Jeder Teilnehmer muss Informationen digital signieren können.
  • Alle Informationen dürfen nur verschlüsselt übertragen und abgespeichert werden. Nur ein explizieter Export aus der E-Akte heraus darf die Verschlüsselung entfernen.
  • Optional: Ein Export fügt automatisch ein Wasserzeichen ein, dass den Exporteur identifiziert.
  • Jede Änderung an einer E-Akte muss vom ändernden Teilnehmer signiert werden.

Umsetzung

Keine der oben genannten Anforderungen stellt ein technologisch neues Problem dar. Die Herausforderung ist viel mehr, alle Anforderungen gleichzeitig zu berücksichtigen und dabei die Effizienz so hoch wie möglich zu halten.

Als Basis des ganzen bietet sich ein Versionsverwaltungssystem auf Dateibasis an. Solange Dateien nur hinzugefügt und gelöscht werden können, ist dies äußerst einfach zu implementieren. Wichtig ist dabei, dass der Inhalt immer verschlüsselt bleibt. Als Lösung würde ich eine symmetrische Verschlüsselung aller Dateien vorschlagen, wobei jede Datei einen eigenen Schlüssel hat. Dieser Schlüssel wird vom Ersteller der Datei festgelegt und so verschlüsselt, dass nur diejenigen, denen er Zugriff erteilen will, diesen entschlüsseln können. Dafür wird ein asymmetisches Verschlüsselungsverfahren benötigt bei dem eine zentrale Instanz alle öffentlichen Schlüssel bereitstellt und signiert. Die asymmetrische verschlüsselten Dateischlüssel werden dann in einem Manifest (einer Inhaltsdatei) hinterlegt. Bei der Verschlüsselung werden Dateien zusammen mit Meta-Informationen (Autor, Datum, Originaldateiname, etc.) gekapselt und mit einem nichtssagenden Dateinamen (Datei1, Datei2, Datei3, etc.) versehen. Das Manifest selbst wird vom Ersteller der E-Akte mit einem symmetrischen Schlüssel versehen. Nur Teilnehmer mit Akteneinsicht bekommen diesen Schlüssel.

Verschlüsselung

Für diejenigen, die gerade nur Bahnhof verstehen, ein kleiner Ausflug in die Kryptografie: Bei einer symmetrischen Verschlüsselung benutzt jeder den gleichen Schlüssel (z.B. ein Passwort). Jeder, der den Schlüssel kennt, kann damit Daten verschlüsseln oder mit diesem Schlüssel verschlüsselte Daten entschlüsseln. Symmetrische Verfahren eignen sich auch für große Datenmegen und können auch in Hardware implementiert werden, was eine effiziente Ver- und Entschlüsselung bei einem zentralen Server erlaubt. Asymmetrische Verfahren sind aufwendiger und eignen sich nur für kleine Datenmengen (wie z.B. komplexe Schlüssel für symmetrische Verfahren). Ihr Vorteil liegt darin, dass man jemandem eine verschlüsselte Nachricht schicken kann, ohne zuvor ein gemeinsames Passwort vereinbaren muss. Jeder Teilnehmer hat einen privaten und einen öffentlichen Schlüssel; genauso gibt es eine zentrale Schlüsselinstanz mit privatem und öffentlichen Schlüssel.

Daten, die mit einem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem passenden privaten Schlüssel entschlüsselt werden. Genauso können Daten, die mit dem privaten Schlüssel verschlüsselt wurden, nur mit dem öffentlichen Schlüssel entschlüsselt werden.

Zu beginn muss man nur den öffentlichen Schlüssel der zentralen Schlüsselinstanz (ZS) kennen, welcher z.B. mit der E-Akten-Software ausgeliefert werden kann. Man erzeugt dann einen eigenes Schlüsselpaar und baut eine sichere Datenverbindung zur ZS auf (dafür braucht man den öffentlichen Schlüssel der ZS). Über diese Verbindung registriert man sich einmalig beim System und hinterlegt seinen eigenen öffentlichen Schlüssel. Ab sofort kann jeder diesen öffentlichen Schlüssel über eine sichere Verbindung beziehen, genauso wie man selbst den öffentlichen Schlüssel jedes anderen erhalten kann.

Wenn man nun eine Datei hinterlegen will, verpackt man diese mit den gewünschten Meta-Informationen in eine Datei mit nichtssagendem Namen und verschlüsselt diese mit einem symmetrischen Schlüssel. Für jeden Teilnehmer, der diese Datei lesen können soll, verschlüsselt man den symmetrischen Schlüssel mit dem öffentlichen Schlüssel dieses Teilnehmers und fügt das Ergebnis dem Manifest hinzu. Nur diese Teilnehmer haben dann einen passenden privaten Schlüssel um an den gemeinsamen symmetrischen Schlüssel zu kommen.

Darüberhinaus kann man eine Datei mit seinem privaten Schlüssel signieren. Mit dem öffentlichen Schlüssel kann jeder überprüfen, ob diese Signatur echt ist. Wenn das Versionsverwaltungssystem so eingestellt ist, dass nur signierte Änderungen in die Akte übernommen werden, ist sichergestellt, dass niemand im Namen eines anderen Änderungen durchführen kann.

Es ist von existenzieller Wichtigkeit, den privaten Schlüssel geheim zu halten und nicht zu verlieren. Dabei bietet es sich an diesen Schlüssel z.B. in Form einer passwortgeschützten Chipkarte zu implementieren und Kopien dieser Karte in einem Tresor / Bankschließfach zu sichern. So gesichert kann auch ein Bürofeuer, das sämtliche Papierakten vernichtet, oder ein Einbrecher, der Akten mitnimmt, als Gefahr ausgeschlossen werden.

Der wichtigste Vorteil dieser Art der Verschlüsselung ist: es gibt keinen zentralen Angriffspunkt! Niemand kann einfach einen Server hacken und damit Zugriff auf alle Ermittlungsakten erhalten. Erst, wenn es einem Angreifer gelingt, den privaten Schlüssel eines Teilnehmers zu erfahren, kann er die Ermittlungsakten dieses Teilnehmers einsehen und verändern (Identitätsdiebstahl). Durch den Einsatz von passwortgeschützten Chipkarten (am Besten mit Lesegeräten mit eigener Tastertur), kann dieser Identitätsdiebstahl aufwendiger gemacht werden, als ein herkömmlicher Einbruch.

Die Cloud

Bleibt die Infrastruktur (Herr Vetter spricht hier von der Cloud), in der die Daten gespeichert werden. Der Bund und die Länder unterhalten zahlreiche Rechenzentren; es sollte daher möglich sein hier eine redundante Speicherung der Daten vorzunehmen. Über das Internet kann man dann jederzeit die Daten von diesen Servern abrufen und bei bedarf entschlüsseln. Sowohl die eigene lokale Kopie als auch die Serverversion sind verschlüsselt auf den Festplatten gespeichert, so dass Verkauf und Diebstahl von Hardware kein Risiko darstellen. Ein weiterer Vorteil liegt darin, dass man von überall und jederzeit an die Daten herankommt und selbst komplexes Beweismaterial (Studenlange Videos, ganze Festplatteninhalte) hinterlegt werden können. Hier macht es sinn, nicht alle Inhalte automatisch in die lokale Kopie zu ziehen; welcher Strafverteidiger will schon den gesamten Festplatteninhalt seines Mandanten sichten?

Alternativen

Der Versand der Ermittlungsakten per DVD / USB Stick mag zwar ein Medienbruch sein und viele Vorteile wieder zunichtemachen, aber er ist zwingend notwendig. Was Herr Vetter leider übersieht sind zwei wichtige Szenarien:

  • Denial of Service: im Internet ist es relativ leicht einen Service vorübergehend unerreichbar zu machen. Während normale Hackergruppen keine großen Rechenzentren lahmlegen können, muss die Möglichkeit eines Angriffes durch einen anderen Staat durchaus berücksichtigt werden.
  • Internetanbindung: nicht jeder Anwalt hat einen 50MBit/s Internetanschluss wie Herr Vetter. Gerade in ländlichen Gebieten ist die Anbindung eher schlecht als recht. Hier kann es durchaus eine Option sein, die Rechtsanwaltsgehilfin mit dem USB Stick mal eben zum Gericht zu schicken oder eine DVD per Post anzufordern. Natürlich hat dies nicht den Komfort der Cloud, aber es ist besser, als 20 GB Videomaterial über ein ISDN Modem zu quälen.

Exporte und Wasserzeichen

Das Exportieren der Daten führt zu einem gewissen Risiko: sobald die Daten unverschlüsselt abgespeichert werden, können sie z.B. durch Diebstahl in die falschen Hände geraten. Dies gilt aber ebenfalls für Papierakten. Die Markierung von Exporten mit Wasserzeichen hingegen ist nicht wirklich sicher: technisch bedingt kann man immer eine Software schreiben, die einen Export auch ohne Wasserzeichen ermöglichen würde; die ist nur eine Frage des Aufwands. Im Übrigen bieten Papierakten dieses Feature ebenfalls nicht: eine gescannte Akte kann ebenso bei WikiLeaks eingestellt werden, wie exportierte Dateien. Die Exportfunktion ist jedoch zwingend notwendig um (gerade in der Übergangszeit) eine reibungslose Zusammenarbeit mit anderen Programmen zu ermöglichen.

Kosten

Neben der Softwareerstellung und -wartung, die von einem vertrauenswürdigen und kompetenten Hersteller durchgeführt werden muss, erzeugt die Speicherung und Übermittlung der Daten weitere kosten. Diese Kosten stehen den Ersparnissen gegenüber, die durch den Wegfall der Papierakten und deren Archivierung entstehen. Wie hoch die Nettokosten ausfallen kann ich nicht beurteilen. Sicherlich wird ein Teil der Kosten auf die Anwälte entfallen (Lizenzgebüren für Software, Zugangsgebüren zur Ermittlungsakte). Im Gegenzug sparen sie die Personalkosten, die eine Angestellte vor dem Fotokopierer erzeugt.

Foto: laut flickr gemeinfrei

2 Gedanken zu „E-Akte

  1. Also, wenn man sich mal von der Idee der Dateienverwaltung lossagt und zur reinen Inhaltsversionierung geht, dann wäre das doch eine Art Wiki mit verschlüsselten Inhalten, anders gesicherter Übertragung und separater, nochmal anders gesicherter Rollenverteilung. Wäre ja kein Problem, da es nur einen Ansprechpartner gibt und die Rollen miteinander nichts zu tun haben. Alles, was die Anklage/das Gericht/die Verteidigung dort einstellen, kann auch von den beiden anderen gesehen werden und zwar immer von beiden anderen. Alles, was eine Partei für sich ergänzt, kann von keiner anderen gesehen werden. Das beschränkt als schöner Nebeneffekt Mauschelei auch auf den Flurfunk, denn Hinweise, die der Richter nur dem Staatsanwalt oder der Verteidiger nur dem Richter zukommen lässt, gibt es in einer solchen Akte nicht mehr.

    An Unis zum Beispiel gibt es schon viele so dreigeteilte Systeme, auf denen vom ungefährlichen Vorlesungsfilm bis zur virtuellen Zeugnisvergabe und Onlineprüfung alles stattfindet. Bedeutende Schutzverletzungen sind mir bisher keine bekannt, obwohl es dort sehr begehrte Daten gibt.

    Ich bin aber so gesehen netzwerktechnisch theoretisch unterwegs. Was sagt der Informatiker zu meinen Überlegungen?

  2. Man kann das System auch vereinfachen:

    Es gibt nur einen symmetrischen Schlüssel pro Ermittlungsakte. Damit ist dann sichergestellt, dass alle Beteiligten die vollständige Akte einsehen können.

    Annotationen von einzelnen Parteien könnte man auch nur in der lokalen Kopie speichern. Das hätte aber den Nachteil, dass die Vorteile der Cloud verloren gingen: ich könnte nicht mehr immer und überall auf meine Annotationen zugreifen. Solche Annotationen müssen daher, wenn sie in die Cloud kommen, auf jeden Fall mit einem separaten symmetrischen Schlüssel verschlüsselt werden. Dieser muss auch weitergegeben werden können, damit z.B. ein Anwalt seiner Vertretung / Nachfolger Zugriff erteilen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.