Definierte „Sicherheit“: Netz verlacht Gesetzgeber

Es stand fast zu erwarten: Der Versuch der Bundesregierung, die Sicherheit der nicht Ende-zu-Ende verschlüsselten De-Mail im Entwurf des E-Government-Gesetzes gesetzlich herbeizufdefinieren, stößt auf Widerstand. Doch nicht nur auf Skepsis, sondern auf Hohn:

https://twitter.com/BitSortierer/status/313987750011478016

Hintergrund sind die Berichte von Netzpolitik und Spiegel Online über die morgige Anhörung zum E-Government-Gesetz. Mit diesem soll zum einen § 87a Abs. 1 AO, der derzeit lautet:

§ 87a. Elektronische Kommunikation. (1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet. Ein elektronisches Dokument ist zugegangen, sobald die für den Empfang bestimmte Einrichtung es in für den Empfänger bearbeitbarer Weise aufgezeichnet hat. Übermittelt die Finanzbehörde Daten, die dem Steuergeheimnis unterliegen, sind diese Daten mit einem geeigneten Verfahren zu verschlüsseln.

um folgenden Satz 4 ergänzt werden:

„Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-
Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3.“

Zum anderen enthält die Gesetzesbegründung auf S. 44 den, nunja, Versuch, die De-Mail trotz des Fehlens einer Ende-zu-Ende-Verschlüsselung als sicher zu definieren. Es heißt dort:

Insbesondere im Zuge der Zulassung von De-Mail als Schriftformersatz im Verwaltungsrecht (vgl. Artikel 3, 4 und 7) sind die folgenden beiden Klarstellungen hinsichtlich des Verhältnisses der kurzzeitigen Entschlüsselung der De-Mail-Nachrichten bei den akkreditierten Diensteanbietern zu den Tatbestandsmerkmalen des „Übermittelns“ bzw. „Offenbarens“ notwendig, welche im Zusammenhang mit dem Steuer- bzw. Sozialgeheimnis oder sonstigen Geheimnissen, die bestimmten Berufsträgern wie z. B. Ärzten, sonstigen Angehörigen von Heilberufen, Rechtsanwälten, anvertraut wurden (hierzu vgl. z. B. § 203 StGB), eine Rolle spielen:

– Beim Versenden einer De-Mail-Nachricht liegt ein Übermitteln im Sinne des § 3 Absatz 4 Satz 2 Nummer 3 BDSG oder gleichlautender Rechtsvorschriften wie § 67 Absatz 6 Satz 2 Nummer 3 SGB X lediglich im Verhältnis zwischen Sender und Empfänger der De-Mail-Nachricht vor, nicht jedoch zwischen diesen und den in den Übermittlungsvorgang eingeschalteten akkreditierten Diensteanbietern.
– Das Versenden einer De-Mail-Nachricht mit Inhalten, die ein Geheimnis im Sinne des § 203 StGB darstellen, durch die dort bezeichneten Geheimnisträger ist kein unbefugtes Offenbaren im Sinne des § 203 StGB oder gleichlautender Rechtsvorschriften (z. B. § 30 AO), auch wenn eine kurzzeitige automatisierte Entschlüsselung durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware erfolgt.

Bei Netzpolitik und in den angeführten Twitter-Nachrichten ist das hierzu aus technischer Sicht Erforderliche gesagt: Was „automatisiert entschlüsselt“ werden kann, ob für eine ganze Sekunde oder eine halbe Ewigkeit, ist nicht verschlüsselt. Die Vertraulichkeit ist nicht nur „vorübergehend gestorben“.

Interessant hieran ist das wechselseitige Unverständnis. Techniker verstehen nicht, wie Juristen so etwas ernst meinen können. Und Juristen nicht, wieso das nicht gehen soll. Natürlich – und für diesen Beitrag: zum Glück! – taucht prompt auch wieder folgende Parallele auf:

Das verweist auf die Geschichte, die Christoph Drösser schön für die ZEIT-Rubrik „Stimmt’s“ aufgeschrieben hat: Im Jahre 1897 wollte der Gesetzgeber von Indiana die Kreiszahl π gesetzlich auf 3,2 festlegen. Haha, lachen da die Mathematiker, die ja schon früh gelernt haben, dass π als irrationale Zahl… usw., usw. Die Juristen dagegen zucken mit den Schultern und sagen: Warum denn nicht? Auch in Deutschland ist π gesetzlich festgelegt. Zwar nicht auf 3,2 — aber auf 3,1416. In § 30b Nr. 1 StVZO. Die Vorschrift bestimmt, wie der Hubraum zu berechnen ist, an den andere Paragraphen bestimmte Folgen knüpfen. π wird also nicht für „die Wirklichkeit“, in der arme Schüler Kreisumfänge berechnen müssen, auf einen falschen Wert festgesetzt. Sondern nur für die abstrakte Welt des Gesetzes selbst. Die Vorschrift ist gewissermaßen eine Konstantendeklaration für die Funktion Hubraum() in der Klasse Straßenverkehrsvorschriften{}, mehr nicht.

Es ist eine rechtliche Fiktion, die die Wikipedia definiert als

die Anordnung des Gesetzes, tatsächliche oder rechtliche Umstände als gegeben zu behandeln, obwohl sie in Wirklichkeit nicht vorliegen. Hierbei kann die Fiktion das genaue Gegenteil der tatsächlichen Umstände als rechtlich verbindlich festlegen. Eine Fiktion kann deshalb im Prozess auch nicht widerlegt oder entkräftet werden, da sie definitionsgemäß vom tatsächlichen Sachverhalt abweicht.

So ist es auch mit der „Sicherheit“ einer Verschlüsselung oder auch nur einer Verschlüsselungsmethode. Für Techniker ist „Sicherheit“  etwas Reales, ein Zustand, eine Methode, etwas Definier- und Prüfbares. Offenbar auch für all diejenigen, die sich über die erwähnten Passagen aus dem Gesetzentwurf mokieren. Für Juristen, und für all diejenigen, die ihren Schneier gelesen haben, ist „Sicherheit“ ein Begriff, eine Verabredung, ein „trade-off“: Welche Sicherheit? Zu welchem Preis? Ein Atomkraftwerk muss anders gesichert werden als eine Keksdose, die nur den Angriffen eines hungrigen Dreijährigen standhalten muss.

Mit dem, was der Gesetzgeber unter „sicher“ versteht, will er nicht den Begriff der „Sicherheit“, zumal der mathematischen Sicherheit im Sinne einer Unkorrumpierbarkeit, industrieweit festschreiben. Er bestimmt nur, welches Maß an Sicherheit er für notwendig doch auch ausreichend erachtet, wenn etwa Steuerdaten über diesen einen Kanal übermittelt werden. Mehr nicht. Auch Osterhasen können Weihnachtsmänner im Sinne des Gesetzes sein. Und als sicher gilt dem Gesetzgeber eben nicht nur das höchst unsichere Fax, bei dem gar nichts verschlüsselt wird, sondern auch eine De-Mail.

Linus Neumann hat’s in seinem Beitrag für Netzpolitik verstanden: Die Überschrift lautet unaufgeregt „Bundesregierung will Verschlüsselungsstandards senken“.

Ob man gut findet, dass der Anbieter Zugriff auf eventuell höchst sensible Daten hat (und nehmen muss), ist indes eine ganz andere Frage.

[Nachtrag 2013-03-19] Udo Vetter im Lawblog zum gleichen Thema. [/Nachtrag]

[Nachtrag 2013-03-20] auf ZEIT online[/Nachtrag]

[Nachtrag 2013-04-10] Michael Spehr in der FAZ mit einer bemerkenswert kritischen Note. [/Nachtrag]