Justiz und Polizei sind bereits stark vernetzt
 

30.03.2008: Das technisch ausgerichtete Thema Netze wird mehrfach im Cyberfahnder behandelt. Dabei geht es meistens um physikalisch-technische Fragen nach dem Motto: Wie funktioniert das?

Das gilt besonders für das Thema Mobilfunk, dessen Funktionsweise weitgehend ungeläufig ist, wobei vor Allem das Roaming und die Nutzung von fremden und ausländischen Funknetzen sehr ausgeklügelt sind. Mit dem Beitrag Kabel und Netze wurden die internationalen Verbindungen angesprochen, die auch immer wieder von Ausfällen betroffen sind (1). Mit den Erklärungen zu den autonomen Systemen und Tiers wurden die großen internationalen "Spieler" und ihre Beziehungen zueinander angesprochen, wobei die Fragen nach der wirtschaftlichen Ausrichtung der Netznutzung ein Schwerpunktthema der Meldungen wurde ( Netzneutralität).

Sehr "physikalisch" sind schließlich auch die Ausführungen zur IT-Sicherheit, Schwachstellen, Angriffe, die schließlich zur Skizzierung eines professionell gesicherten Firmennetzes führten (2).
 

Die bisherigen Beiträge betrachten besonders die grundlegende Netztechnik auf ihrer physikalisch-technischen Ebene (3). Overlay-Netzwerke nutzen hingegen die Netz-Infrastruktur von Carriern und koppeln diese mit eigener Zugangstechnik, die zugleich auch zur Verschlüsselung und Abschottung dient.

Das Bundesinnenministerium will zur Förderung des eGovernments ein verbindliches Koppelnetz für die Landesnetze der öffentlichen Verwaltung einführen.

Das gibt den Anlass, grundsätzliche Fragen zur sicheren Datenübermittlung anzusprechen und schließlich einen Blick auf schon vorhandene Datenverbünde bei der Polizei und der Justiz zu werfen.
 

Die Bundesregierung beabsichtigt, unter ihrer Leitung die Zusammenarbeit und Vernetzung der Bundesländer zu koordinieren und eine solche Regelungskompetenz in das Grundgesetz aufzunehmen (4). Zwar würden Bund, Länder und Kommunen jährlich rund 17 Milliarden Euro für IT ausgeben, so Schäuble, eine sichere länderübergreifende IT-Netzinfrastruktur sei dadurch aber ebenso wenig gewährleistet wie eine Interoperabilität der verschiedene IT-Systeme der Verwaltungen... Gegenwärtig würde die öffentliche Verwaltung ihre IT-Netze nicht koordiniert, sondern parallel entwickeln und betreiben. Rund 500 Netze der Verwaltung kosteten jedes Jahr zirka 2,6 Milliarden Euro. Ein abgestimmtes Vorgehen würde langfristig Kosten sparen und die Sicherheit erhöhen.
 

 
Das ausdrückliche Ziel sei die Förderung des eGovernments, also die papierlose Kommunikation und Verfahrenssteuerung zwischen Bürger und Wirtschaft einerseits und der öffentlichen Verwaltung andererseits. Das zentrale Instrument dafür sei ein Koppelnetz, das die Landesnetze zusammen führe.

Diese Forderungen werfen mehrere Fragen auf, weil es bereits gut funktionierende Netzverbünde und Koppelnetze für die öffentliche Verwaltung gibt

Overlay-Netzwerke setzen auf bereits vorhandenen physikalischen Netzen auf und schirmen sich in dieser Umgebung durch besondere Adressen und Protokolle ab. Ihre Nachteile sind die prinzipielle Abhängigkeit von der Betriebszuverlässigkeit des Trägernetzes (Underlay-Netz) und die Möglichkeit, dass auf die übermittelten Daten unberechtigte Dritte Zugriff nehmen können.

Gegen den unberechtigten Zugriff können Methoden eingesetzt werden, die unter dem Begriff Virtual Private Network - VPN (5) - eingeführt wurden und die den Datentransport betreffen. Drei Bestandteile dieses Konzepts scheinen mir besonders wichtig zu sein:

Bei der Verschlüsselung geht es darum, den Inhalt einer Nachricht nur einem berechtigten Empfänger zugänglich zu machen. Komfortabel, aber nicht völlig sicher ist die Methode, Daten nur auf dem Weg durch das Fremdnetz, also von Gateway (Übergangspunkt) zu Gateway zu verschlüsseln (links oben). Vollständig ist nur eine Ende zu Ende-Verschlüsselung, wie sie dem PKI-Konzept zugrunde liegt (6).

Bei der PKI offenbart jedes Datenpaket, welches Endgerät sein Absender und welches korrespondierende Endgerät der Empfänger ist. Selbst die Firewalls und Virenscanner des Empfängernetzes können die eingehenden Datenpakete nicht auf schädliche Programme (Malware) oder Spam untersuchen. Das macht aufwändige Sicherheits-Installationen am Endgerät erforderlich.

Diese Probleme verhindert das Konzept der Tunnelung. Am Gateway werden dabei die Datenpakete vollständig, also einschließlich der Versanddaten verschlüsselt und in ein neues Datenpaket eingebunden, dem als Kopfdaten nur der Gateway des versendenden Netzes und der Gateway des empfangenen Netzes zu entnehmen ist.
 

 
Es handelt sich dabei sinnbildlich um ein Couvert, das alle Identifizierungsmerkmale der Ausgangsnachricht unkenntlich macht. Erst der Gateway des Empfängernetzes kann, weil er den Schlüssel für die Dechiffrierung kennt, die Briefhülle entfernen und die ursprüngliche Nachricht entziffern. Dabei ist er auch in der Lage, sie wegen schädlicher Merkmale zu untersuchen. Erst danach leitet er sie an das Endgerät in seinem Netz, für das sie bestimmt ist.

In der Diskussion um die IT-Sicherheit konkurrieren alle drei Konzepte miteinander. Den geringsten Aufwand verursacht die Gateway-Verschlüsselung (7), die zugleich am schnellsten ist und den Anwender am wenigsten beeinträchtigt. Das PKI-Konzept verspricht den höchsten Grad an Abschottung und "Abhörsicherheit", verursacht jedoch auch die höchste Netzlast. Für Subnetze mit kritischen Infrastrukturen, zum Beispiel Datenbanken für Fachverfahren und zentralen Datensammlungen (Backups) ist es ungeeignet, weil sie die Integrität des Subnetzes als höher bewerten müssen als die der Endgeräte gegenüber einer Kontrolle durch die Überwachungseinrichtungen des Subnetzes. Die Tunnelung bietet einen Kompromiss, weil sie eine hohe Sicherheit auf prinzipiell unsicheren Übertragungswegen verspricht und gleichzeitig eine effektive Überwachung der Vorgänge zulässt, die sich im eigenen Netz abspielen.
 

Im Zusammenhang mit der IT-Sicherheit werden auch die Architektur und Komponenten abgesicherter Firmennetze angesprochen. Ein wesentlicher Bestandteil davon ist die demilitarisierte Zone - DMZ, die sich im "Eingangsbereich" eines geschützten Subnetzes befindet (Grafik oben links). Ihre Verbindung zur Außenwelt wird mittels eines Routers (blauer Block) herstellt, dem eine Firewall (roter Block, FW1) folgt. Am Übergang zum Subnetz ist eine weitere Firewall installiert (FW2), die die Datenkommunikation auf bestimmte zugelassene Formen und Protokolle beschränkt. In der DMZ werden die technischen Installationen betrieben, die für den Außenverkehr zwingend nötig sind. Das sind zum Beispiel Mailserver, Telefonanlagen und Webserver, die für die Internetpräsentation nötig sind.

Die Verschlüsselung und Tunnelung besorgt die äußere Firewall (FW1).
 

 
Das Problem an dem Konzept zeigt sich dort, wo empfindliche Daten sowohl für die Öffentlichkeit präsentiert werden (Warenhauskatalog, Bestellfunktion; in der Grafik: Webserver [WS]) als auch für die interne Unternehmensführung benötigt werden (Buchführung, Warenwirtschaft). Die innere Firewall (FW2) muss dann dafür sorgen, dass zwar alle notwendigen, aber eben nur ungefährlichen Daten von der DMZ in den geschützten internen Bereich transportiert werden.

Das lässt sich dadurch erreichen, dass die Art, Herkunft und Integrität der durchgelassenen Daten genau untersucht werden. Einen sicheren Schutz für sensible Daten bietet nur der interne Bereich (unten links, grün unterlegt), so dass es keinen Sinn macht, die Buchhaltung und Warenwirtschaft komplett auf dem Webserver in der DMZ zu verwalten, weil sie grundsätzlich fremden Manipulationen und Angriffen ausgesetzt sein können. Die Komponenten in der DMZ dürfen deshalb nur mit solchen Daten versorgt werden, die sie zwingend für den Außenverkehr benötigen. Die sensiblen Daten gehören in den inneren Bereich und werden in die DMZ nur für deren Bedarf kopiert.
 

Sicherheit wird meistens sehr einseitig gesehen. Der Betreiber eines Webdienstes (links oben, grün unterlegt) will möglichst die volle Kontrolle über die Authentifizierung des Gastes und seines Endgerätes erhalten (rot unterlegt). Die meisten Webdienste für Privatanwender (Versandhäuser, Homebanking, Kommunikation) sind nach diesem Konzept eingerichtet.

Aus der Sicht des Herkunftsnetzes des Gastes ist das eine Katastrophe, weil es sich damit fremder Kontrolle öffnet und seine eigenen vertraulichen Datenverarbeitungsvorgänge grundsätzlich zur Manipulation freigibt. Aus seiner Sicht darf die Außenkommunikation nur über den Gateway als Endpunkt für die Außenwelt geführt werden und müssen die Datenverarbeitungsvorgänge im Inneren nach außen unsichtbar bleiben (links Mitte).

Diese Sicherheitsphilosophie liegt auch dem Konzept des Tunnelns zugrunde. Der Gateway des Gastes wird dabei als vertrauenswürdige Kopfstelle definiert, deren Zugriff der Webdienst grundsätzlich zulässt. Die Datenverbünde der Justiz (insbesondere wegen der zentralen Register des Bundes) sind in dieser Art organisiert.
 

 
Eine beiderseitige Sicherheit kann nur gewährt werden, wenn die Datenverarbeitung, auf die der Gast zugreifen darf, nach der Art der DMZ in einem gesonderten Subnetz bereitgestellt wird (links unten). Der Webdienst versorgt den öffentlichen Server - möglicherweise auch erst auf Anforderung - mit den nötigen Daten und beide Gateways müssen sich gegenüber dem öffentlichen Server authentifizieren.

Der öffentliche Server befindet sich dabei in einer gefährdeten Position, weil er auch von nicht autorisierten Nutzern erkannt und angesprochen werden kann. Diese Architektur bietet hingegen den Vorteil, dass nach einem erfolgreichen Angriff auf den öffentlichen Server keines der Subnetze in Mitleidenschaft gezogen wird.
 

eGovernment (8) hat mindestens drei Anwendungsformen, die wegen ihrer Architektur und ihrer Anforderungen unterschieden werden müssen.

1.	digitale Kommunikation mit den Bürgern (Peer-to-Government - P2G): Hierbei treten eine Vielzahl von "Gästen" an die Verwaltung heran, um Dienstleistungen auszutauschen (Meldewesen, Steuererklärungen, Anträge, Auskünfte). Für eine sichere Abwicklung ist eine persönliche Authentifizierung zwingend (9).
2.	... mit der Wirtschaft (Business-to-Government - B2G): Wegen Ausschreibungen, Vergaben, Fördermittel und Vertragsabwicklungen kommt eine Kommunikation mit einer überschaubaren Anzahl von Partnern in Betracht. Auch sie wird im Interesse einer rechts- und beweissicheren Abwicklung nicht ohne persönliche Authentifizierungen auskommen.
3.	... zwischen verschiedenen Verwaltungen (Government-to-Government - G2G): Die Anzahl der Partner ist klein und in der Vergangenheit haben sich die Datenaustausche bewährt, die über Kopfstellen und deren gegenseitige Authentifizierung geführt werden, wenn dabei strukturierte und normierte Datensätze zum Einsatz kommen.

 
Ein allgemeines Koppelnetz gibt es bereits! Es nennt sich TESTA (10) und steht europaweit allen Verwaltungseinrichtungen zur Verfügung.

Das TESTA-Netz betrachtet alle angeschlossenen Verwaltungen als vertrauenswürdig. Die Kopfstellen sind allerdings in der Lage, mit den Routing-Einstellungen die Datenkommunikation auf bestimmte Partner zu beschränken.

In Deutschland sind rund 70 Verwaltungsnetze an TESTA angeschlossen.

So ist die Rechtsdatenbank Juris über das Internet, für die öffentlichen Verwaltungen mit einem vereinfachten Zugangsverfahren aber auch per TESTA-Netz erreichbar. Einen Überblick über die wichtigsten Verwaltungsanwendungen, die über TESTA abgewickelt werden, zeigt die Koordinierungsstelle ( KoopA-ADV, Das TESTA-Netz). Insgesamt soll es sich um 130 verschiedene Verwaltungsanwendungen handeln.
 

Das bekannteste Verbundnetz der Polizei ist Inpol (11). Bei ihm handelt es sich um eine geschlossene Datensammlung für Fahndungsdaten. Für den Zugriff werden ebenfalls Underlay-Netze verwendet. An ihm angekoppelt ist E-POST 810 (12). Dahinter verbirgt sich eine Infrastruktur mit speziellen Mailservern, die für Fahndungs- und andere Ermittlungsdaten genutzt wird. Auch dieses System setzt auf fremde Underlay-Netze auf, verwendet aber physikalisch selbständige Endpunkte, so dass es unter Sicherheitsgesichtspunkten als sehr robust eingeschätzt werden muss.
 

Von besonderer Bedeutung ist das Bundeszentralregister, in dem alle Verurteilungen zu Strafe, Einstellungen wegen Schuldunfähigkeit und Fahndungen erfasst werden. Der Betrieb ist im Bundeszentralregistergesetz geregelt, das genaue Regelungen für die Beauskunftung und vor Allem dazu enthält, wann die Eintragungen nicht mehr verwertet und schließlich gelöscht werden müssen. Seit dem 01.01.2007 ist das neu geschaffene Bundesamt für Justiz für das BZR zuständig.

Auch über ausländische Verurteilungen können im begrenztem Umfang Auskünfte erlangt werden. Sie können in automatisierten Abfrageverfahren über das BZR gesteuert werden.

Das Verkehrszentralregister beim Kraftfahrt-Bundesamt speichert nach den Vorgaben der §§ 28 ff. Straßenverkehrsgesetz alle Verurteilungen wegen Straftaten im Straßenverkehr und alle rechtskräftigen Bußgeldentscheidungen. Das KBA verfügt zudem über alle Daten wegen der inländischen Fahrerlaubnisse.
 

 
Schließlich gibt es noch das Zentrale Staatsanwaltschaftliche Verfahrensregister beim Bundesamt für Justiz, das den Vorschriften von §§ 492 ff. StPO folgend alle (ernsthaften) Ermittlungsverfahren der deutschen Staatsanwaltschaften erfasst und auf das - jedenfalls unbeschränkt - nur Strafverfolgungsbehörden zugreifen dürfen.

Die Datenverantwortung für den Inhalt aller drei Register tragen die angeschlossenen Strafverfolgungsbehörden. Sie müssen für die Aktualität, Richtigkeit und Vollständigkeit sorgen. Sie werden - im Bereich der Staatsanwaltschaften - dabei mit mächtigen Fachverfahren unterstützt (13). Die Datenübermittlung erfolgt über Kopfstellen, wobei das Bundesamt für Justiz verlangt, dass in jedem Bundesland nur eine Kopfstelle eingerichtet wird (14).

Über die übrigen Fachverfahren und Datenverbünde in der Justiz informiert sehr gut der EDV-Länderbericht Niedersachsen vom 01.07.2005, wobei vor Allem auf das elektronische Grundbuch (S. 5) und die Registersachen (S. 5 f.) hinzuweisen ist.
 

Mit dem Vorstoß des BMI, eine IT-Verantwortung des Bundes in das Grundgesetz aufzunehmen und ein verbindliches Koppelnetz aufzubauen, sollen vor Allem die Bestrebungen zur Digitalisierung des Verkehrs mit den Behörden gefördert werden ( P2G, B2G). Dabei wird es weniger um die technische Funktion der Koppelung gehen, sondern um die Lösung der Authentifizierung und Rechtesteuerung. Dazu wird eine funktionstüchtige und verbreitete qualifizierte digitale Signatur benötigt, wobei die Zusatzkosten für die Bürger und die Wirtschaft in Grenzen gehalten werden müssen ( Sicherheit von Homebanking-Portalen).

Die bestehenden Verbundsysteme in der Justiz sind seit fast 20 Jahren erprobt, zum Beispiel wegen des Datenverkehrs mit dem Bundeszentralregisters. Sie wickeln den Massenverkehr in Form von standardisierten Datensätzen ab, sind automatisiert und für PKI-Verfahren mit individueller Verschlüsselung ungeeignet. Die Kopfstelle in Niedersachsen verarbeitet zum Beispiel wegen des Datenverkehrs mit den drei zentralen Registern des Bundes jährlich rund 5 Millionen Datensätze. Müssten diese einzeln ver- und entschlüsselt werden, müsste dafür weiteres Personal eingestellt werden. Solche Massenverfahren lassen sich effektiv nur mit einer Kopfstellen-Authentifizierung und -Verschlüsselung abwickeln.
 

 
Die Förderung des eGovernments verlangt nach Sicherheitskonzepten und praktikablen Techniken. Ihre Realisierung würde auch die Justiz fördern, die sich bislang sehr bei der elektronischen Kommunikation zurückhält, weil sie in aller Regel sensible personenbezogene Daten betrifft (14).

Am Ende könnte auch der elektronische Rechtsverkehr (15) in breiter Form realisiert werden. Die konkurrierenden Fachverfahren werden sich dadurch nicht vereinheitlichen lassen. Sie werden seit Jahrzehnten geplant und erweitert, sind kostenträchtig und müssen sich mindestens acht oder mehr Jahre im Einsatz bewähren. Mit dem XML-Format (16) steht jedoch eine Beschreibungssprache zur Verfügung, mit der sich Daten strukturieren und in einfacher Form austauschen lassen. Für die Strafjustiz ist bereits ein besonderer XJustiz-Datensatz definiert worden (17), der zum Datenaustausch verwendet werden kann. Die Fachverfahren müssen sich nur dem XJustiz-Anforderungen öffnen, um Daten nach diesem Standard versenden und übernehmen zu können. Diese Aufgabe ist leichter zu lösen als eine vollständige Vereinheitlichung nach dem Motto "koste es, was es wolle" (was dann auch eintritt).
 

 
(1) siehe TAT-14 beschädigt? und 4 Seekabel im Nahen Osten gestört

(2) meine böswilligen Ausführungen nehme ich nicht zurück

(3) Grundlegend ist das Open Systems Interconnection Reference Model - OSI-Schichtenmodell, auf dessen unterster Schicht die physikalische Datenübertragung erfolgt. Die hier angesprochenen Overlay-Netze setzen auf den Schichten 2 bis 5 auf.

(4) Bundesregierung will IT schnell im Grundgesetz verankern, Heise online 27.03.2008;
technische Erklärung: Jürgen Schröter, Koppelnetze, 25.03.2003

(5) Virtual Private Network - VPN.
Noch weiter gehend ist das Konzept für das Multiprotocol Label Switching - MPLS, mit dem neben dem Datentransport und der Verschlüsselung auch das Routing im Interesse des Lastausgleichs durchgeführt wird.
Hardwarelösung: Secbox: Rotes Datentelefon ermöglicht sichere IP-Verbindungen, tecchannel 28.03.2008

(6) Private Key Infrastructure - PKI

(7) Etabliert hat sich insoweit Internet Protocol Security - IPsec.

(8) siehe auch E-Government.

(9) siehe  Signaturen und Identitätskontrolle, wegen der Zugangstechnik: Sicherheit von Homebanking-Portalen.

(10) Trans-European Services for Telematics between Administrations - TESTA
KoopA-ADV, Das TESTA-Netz
 

 
(11) INPOL-neu

(12) Der Name entstammt der Polizeidienstvorschrift 810. Kurzvorstellung bei Materna.
Michael Behrendt, Zu viele Ausfälle bei Berliner Polizeicomputer, Berliner Morgenpost 13.11.2007

(13) Dabei konkurrieren im wesentlichen zwei Entwicklungsverbünde miteinander: MESTA ( nette Diskussion darüber) und web.sta (Nds. Justizministerium, S. 9).
web.sta bildet vollständig die Geschäftsabläufe der Staatsanwaltschaft über den Eingang einschließlich Akten- und Fristenkontrolle, die Ermittlungshandlungen einschließlich Untersuchungshaft und Asservatenverwaltung, den Verfahrensabschluss einschließlich den Anforderungen der StA-Statistik und von PEBB§Y, die Normierung rechtskräftiger Entscheidungen einschließlich der elektronischen Übermittlung der Daten an die zentralen Register des Bundes und der übrigen Mitteilungen (MiStra usw.), die Vollstreckung einschließlich der Strafzeitberechnung und schließlich die Weglage und Vernichtung einschließlich der Datenlöschung im System ab.

(13) In Niedersachsen nimmt die Kopfstelle auch diese Aufgabe für das Bundesland Bremen und für die Ordentliche Justiz wahr, soweit diese zu Auskünften aus den Registern berechtigt ist.

(14) G. Reich, Schutzstufen und technisch-organisatorische Maßnahmen

(15) Informationen zum Elektronischen Rechtsverkehr

(16) Extensible Markup Language - XML

(17) XJustiz, XJustiz-Straf
 

&