Die „Sicherheit“ des „Justizpostfachs“

Aktuelles von der deutschen IT.

Ich benutze ja nun seit einiger Zeit das „Justizpostfach“, weil manche Gerichte schon so „digitalisiert“ sind, dass sie keine Schriftsätze auf Papier mehr mögen (ich muss und kann ja das Anwaltspostfach nicht verwenden, weil ich kein Anwalt bin), weil sie die mühsam und umständlich einscannen müssten. Auch die Zusendungen vom Gericht wären problematisch, weil ich ja zwischen den Ländern pendele.

Die Alternative wäre Fax, das geht ihnen gut rein, aber ungern raus, da scheint die Anbindung an ihr System nicht gut zu sein.

Also das „Justizpostfach“.

Was insofern eigentlich keine schlechte Idee wäre, weil man da einfach PDFs einwerfen kann und die dort so ankommen (nicht durch Fax mit niedriger Auflösung ausgepixelt), was vieles enorm erleichtert.

Aber zwei Dinge haben mich bisher schon enorm gestört:

• Man wird – noch – nicht informiert, wenn etwas eingegangen ist, muss also ständig reingucken, ob was Neues drin ist, und das Einloggen ist jedesmal sehr umständlich und langwierig, weil man über mehrere Server gehen muss, und das auch nicht immer beim ersten Versuch klappt. Sehr, sehr nervig.
• Man bekommt keinen Nachweis und keine Auflistung, was man versendet hat. Man merkt nicht, wenn etwas nicht beim Gericht ankommt, und wenn die sagen, das sei nie angekommen, hat man überhaupt keinen Beleg oder Beweis.
• Nebenbei bemerkt: Mir ist bisher völlig unklar, ob man damit Fristen und Schriftform wahrt.

Jetzt kommt aber noch etwas Neues dazu:

Man loggt sich da mit dem ePerson ein, braucht aber zusätzlich nochmal ein Public-Private-Schlüsselpaar, um die Dateien, die man empfängt, zu entschlüsseln. Das nennen sie dann end-zu-end-Verschlüsselung, obwohl ich bisher nicht erkennen kann, woher der Schlüssel kam, ob in meinem Browser erzeugt oder bei denen auf dem Server und heruntergeladen. Und auch nicht, was passiert, wenn ich zum Lesen von eingehender Post die Datei und deren Passwort eingeben muss: Bleibt das im Browser oder wird beides hochgeladen und auf dem Server verwendet? (Selbe Frage wie bei Elster.)

Nun ist mir neulich etwas Blödes passiert. Ich weiß, es ist peinlich und darf nicht vorkommen, aber es kommt in den besten Familien vor und ist ein typischer Routinefehler. Ich wollte mich auf https://mein-justizpostfach.bund.de/ einloggen und dazu den URL in den Browser eingeben, und habe aus dem Password Safe statt des URLs das PKCS12-Passwort kopiert und in die URL-Zeile beim Browser eingegeben. Typischer Flüchtigkeitsfehler, wenn man schon zuviel gearbeitet hat. Ich weiß, das sollte mir eigentlich nicht passieren, ist aber passiert.

Der Browser nun hat das syntaktisch nicht verstanden und deshalb gleich Google gefragt. Was bedeutet, dass man PKCS12-Passwort nun Google als Suchanfrage bekannt ist.

Das nun wäre aus zwei Gründen nicht so sehr tragisch, denn

• Ohne ePerson kommt man – hoffentlich – in das Postfach ja gar nicht rein,
• es steht auch nichts ernstlich Vertrauliches drin,
• und, wer sich ein wenig mit Tools wie openssl auskennt, kann ja das Passwort der PKCS12-Datei ändern und den privaten Schlüssel mit einem neuen Passwort verschlüsseln.

Trotzdem hat mir das nicht gefallen. Denn so ganz trivial ist das nicht, mit openssl (oder anderen Tools) das Passwort zu ändern, dazu muss man erst einmal den Zusammenhang verstanden habe, das würde ich vielleicht 1% der Bevölkerung zutrauen.

Außerdem löst es das Problem nicht völlig, denn theoretisch könnte es ja sein, dass ein Angreifer schon die verschlüsselte PKCS12-Datei abgegriffen hat, und da nutzt es nichts, den kompromittierten Schlüssel mit einem neuen Passwort zu verschlüsseln, man muss das Schlüsselpaar austauschen.

Also wollte ich mal wissen, wie die das dann machen. Und habe das vor einigen Tagen dem Support dort gemeldet.

Bislang kamen aber keine Antworten außer dass man es weitergereicht hat.

Es scheint, als sei das Problem einer kompromittierten PKCS12-Datei (oder auch einer verlorenen) nicht vorgesehen.