Die Praxis der richterlichen Freiheit

[PerryManson]

Ist denn die Nutzung des eigenen PCs am Heimarbeitsplatz zulässig? Über welchen Mailaccount werden die Urteile denn dann versendet? Etwa vom privaten E-Mailaccount?

Es gibt keinen besonderen "Heimarbeitsplatz". Ich komme nicht in die Fachanwendungen, so dass ich kein Dezernat von Zuhause machen kann.
Ich schreibe die Urteile/Beschlüsse auf meinem privaten Rechner mit privatem Word, Spracherkennungssoftware wird aber von Dienstherrn zur Installation auf dem privaten PC bereitgestellt.

Mit Datenschutz sehe ich kein Problem, da ich das Rubrum erst im Gericht durch die Fachanwendung einfüge. Finde ohnehin, dass da viel zu große völlig unnötige Baustellen aufgemacht werden mit dem Datenschutz. Sicherheitsbedenken habe ich auch nicht, denn nach der Logik darf man bei Gericht gar keine Mails mehr von außerhalb empfangen und auch kein Internet erlauben, da viele Viren heutzutage über den Browser direkt übertragen werden. Die IT-Stelle sieht auch eher Probleme bei physischen Datenträgern wie USB-Sticks. Außerdem ist mein PC sicherer als alles in der Justiz

[Paradoxia]

Ich weiß nicht wie es in Ba-Wü aussieht, wo du wohl bist.
In NRW: Bislang kein Problem mind. 1 Tag Home-office zu machen. Technisch sieht das so aus: man nimmt die Akten mit nach Hause, wenn man muss. Ne technische Ausrüstung haben wir für "Home-Office" nicht, du musst dir genehmigen lassen mit deinem Privaten PC / Datenstick zu arbeiten und da auch ziemlich direkt Inhalte wieder löschen.

Es ist sehr abhängig von den allgemeinen "Verhaltensregeln" und allgemeinem Umgang unter den Kollegen im jeweiligen Gericht, von "mir egal wann du da bist, Hauptsache die Statistik stimmt", über "1x ist kein Problem, aber auch eigentlich das Maximum, aber bitte mit allem und jedem absprechen, immer erreichbar sein, mehr sollte nicht sein, wir wollen die Kollegen auch gerne sehen". Das hat natürlich auch Konsequenzen, wenn eilige Sachen reinkommen: Mal kann man sich dann entweder darauf verlassen, dass der Vertreter das erledigt, weil man sich eben entsprechend abgesprochen hat (was natürlich auch bedeutet, seine eiligen Sachen zu erledigen wenn er Homeoffice hat), oder man hat man eben Pech und wird um halb zwei herbeitelefoniert wegen irgendwas "eiligem".

Die Direktoren bislang haben sich da recht fein rausgehalten wie man persönlich das regelt bzw. eben die Struktur vorgegeben, aber niemals beschwert man sei zu wenig da. Das ist allerhöchstens der Fall meinem Empfinden nach, wenn man sein Dezernat nicht im Griff hat. Für die meisten ist der eine Tag Homeoffice = freier Tag mit ggfs. Aktenblättern. Richtig zuhause arbeiten tun die Proberichter, die einen weiten Anfahrtsweg zum Gericht haben.

Zu den übrigen "Face-Time-Zeiten" gehört bei den meisten die vormittägliche Kaffeerunde. Da ist es schon nicht gern gesehen, wenn man die ständig verpasst. Wer sonst wie kommt und geht ist Wurscht.

[Solar]

Mit Datenschutz sehe ich kein Problem, da ich das Rubrum erst im Gericht durch die Fachanwendung einfüge. Finde ohnehin, dass da viel zu große völlig unnötige Baustellen aufgemacht werden mit dem Datenschutz. Sicherheitsbedenken habe ich auch nicht, denn nach der Logik darf man bei Gericht gar keine Mails mehr von außerhalb empfangen und auch kein Internet erlauben, da viele Viren heutzutage über den Browser direkt übertragen werden. Die IT-Stelle sieht auch eher Probleme bei physischen Datenträgern wie USB-Sticks. Außerdem ist mein PC sicherer als alles in der Justiz

+1

[famulus]

Eine sehr gesunde Einstellung für ein an Recht und Gesetz gebundenes Staatsorgan.

[Ara]

Mit Datenschutz sehe ich kein Problem, da ich das Rubrum erst im Gericht durch die Fachanwendung einfüge. Finde ohnehin, dass da viel zu große völlig unnötige Baustellen aufgemacht werden mit dem Datenschutz. Sicherheitsbedenken habe ich auch nicht, denn nach der Logik darf man bei Gericht gar keine Mails mehr von außerhalb empfangen und auch kein Internet erlauben, da viele Viren heutzutage über den Browser direkt übertragen werden. Die IT-Stelle sieht auch eher Probleme bei physischen Datenträgern wie USB-Sticks. Außerdem ist mein PC sicherer als alles in der Justiz

+1

Das Angriffsszenario wird bei solch einer Betrachtung häufig völlig ausgeblendet. Physische Datenträger sind für den allgemeinen Datenschutz in der Regel irrelevant, da kein gezielter Angriff auf Urteilsentwürfe der Justiz zu erwarten sind. Die Gefahr von physischen Datenträgern betrifft eher das Einschleusen von Schadsoftware im Allgemeinen im Justiznetzwerk, welches dann zum Beispiel Ransomware installiert oder bestimmte Logindaten abgreift. Dies betrifft auch Angriffs "über den Browser". Diese Software würde keine Textdateien ziehen und selbst wenn würden sie nicht verwendet werden. Auch der gezielte Angriff eines einzelnen Richters hinsichtlich eines bestimmten Verfahren ist eher die absolute Ausnahme. Ich hatte ja auch schon in einem Thread bereits beschrieben, dass es da viel einfacherer Angriffsmöglichkeiten gibt, wenn man es wirklich gezielt auf was abgesehen hat.

Das realistische Szenario ist (für den EInzelanwender in der Justiz) ein Irrläufer einer Datei. Dagegen schützt, ganz simpel, eine Verschlüsselung der übertragenen Datei. Sei es als geschützte word-datei, PDF oder meintwegen auch eines Archives. Die irrgelaufene Datei ist für den Empfänger dann nämlich unbrauchbar.

Darum sind mE auch justizinterne Cloudsysteme vom Sicherheitsaspekt eher kritisch zu sehen. Häufig wird angeführt, man hätte dann die Kontrolle über die System, was aber faktisch so nicht ganz richtig ist. Auch in den internen Rechenzentren wird natürlich Hard- und Software von externen Dienstleistern genutzt. Die Kontrolle über nen Server im eigenen Rechenzentrum ist faktisch nicht viel größer als zum Beispiel bei AWS. Der Vorteil der eigenen Rechenzentren (autarkes Betreiben im Krisenfall) ist für solche Daten nicht relevant. Die Nachteile sind dagegen, dass ich den Clouddienst der Justiz gezielt angreifen kann, was ich zum Beispiel deutlich schwerer kann, als wenn die Daten zum Beispiel irgendwo bei OneDrive liegen. Selbst wenn ich gezielt n OneDrive-Benutzer angreife, dann habe ich maximal den Zugriff auf seine Ordner. Bei der eigenen Cloudlösung würde ich bei einen gezielten Angriff aber in der Regel den Zugriff auf das komplette System mit allen Daten haben. Dazu kommt natürlich die kritische Frage, ob man wirklich meint man könne seine Cloudlösung besser absichern kann als Microsoft, Amazon oder Google. Das mag bezweifelt werden. Daher mE: Datenschutzrechtlich ist das verschlüsselte Hochladen (mittels Cryptomator z.B.) bei den großen Techgiganten die sicherste und praktischste Lösung.

Zwingt man die Richter und Staatsanwälte zu komischen Regelungen (extra Beantragung von Accounts... Hardware-Tokens.... VPNs... usw...) dann wird das - insbesondere von technisch wenig versierten Nutzern - schlicht umgangen und die verschicken unverschlüsselt Emails. Meine Erfahrung mit Behörden und auch größeren Kanzleien bei technischen Themen ist aber eh, dass primär die IT-Sicherheit sich auf die Abwehr von Schadsoftware konzentriert und der Datenschutz nur lieblos mitgedacht wird, wenn es sowieso sinnvoll ist.

[Liz]

Zwingt man die Richter und Staatsanwälte zu komischen Regelungen (extra Beantragung von Accounts... Hardware-Tokens.... VPNs... usw...) dann wird das - insbesondere von technisch wenig versierten Nutzern - schlicht umgangen und die verschicken unverschlüsselt Emails. Meine Erfahrung mit Behörden und auch größeren Kanzleien bei technischen Themen ist aber eh, dass primär die IT-Sicherheit sich auf die Abwehr von Schadsoftware konzentriert und der Datenschutz nur lieblos mitgedacht wird, wenn es sowieso sinnvoll ist.

Das Problem scheint mir vor allem zu sein, dass man Lösungen, die gleichermaßen sicher, DAU-tauglich und praktisch sind, nicht nur finden muss, sondern auch bezahlen wollen / können muss. Wenn man einen Datentransfer von privaten Geräten in die dienstliche Umgebung ausschließen möchte, muss man eben alle Richter und Staatsanwälte mit vernünftigen* Dienstlaptops ausstatten und alle anderen Transferwege verbieten bzw. (soweit möglich) technisch unmöglich machen.



*Heißt: weder klapprig noch langsam noch zu schwer.

[Ara]

Zwingt man die Richter und Staatsanwälte zu komischen Regelungen (extra Beantragung von Accounts... Hardware-Tokens.... VPNs... usw...) dann wird das - insbesondere von technisch wenig versierten Nutzern - schlicht umgangen und die verschicken unverschlüsselt Emails. Meine Erfahrung mit Behörden und auch größeren Kanzleien bei technischen Themen ist aber eh, dass primär die IT-Sicherheit sich auf die Abwehr von Schadsoftware konzentriert und der Datenschutz nur lieblos mitgedacht wird, wenn es sowieso sinnvoll ist.

Das Problem scheint mir vor allem zu sein, dass man Lösungen, die gleichermaßen sicher, DAU-tauglich und praktisch sind, nicht nur finden muss, sondern auch bezahlen wollen / können muss. Wenn man einen Datentransfer von privaten Geräten in die dienstliche Umgebung ausschließen möchte, muss man eben alle Richter und Staatsanwälte mit vernünftigen* Dienstlaptops ausstatten und alle anderen Transferwege verbieten bzw. (soweit möglich) technisch unmöglich machen.



*Heißt: weder klapprig noch langsam noch zu schwer.

Man kann auch jedem Richter/Staatsanwalt n Cloudspeicher und eine Software zum Verschlüssen/Entschlüsseln geben und dann kann jeder die Hardware nutzen die er möchte. Dann gibt es gar keinen Bedarf dieses System zu umgehen.

Das Problem mit Dienstlaptops in der Justiz ist ja eh das Problem, dass jeder unterschiedliche Bedürfnisse hat. Das ist ja auch in Kanzleien so. Einige packen ihre 17" Laptops in der Hauptverhandlung aus und möchten die nicht missen, ich käme dagegen gar nicht auf die Idee da mit 2,5Kg Laptops aufzuschlagen und hab meist nur n iPad Pro dabei und optional n 13" Ultrabook. Diese individuelle Ausstattung ist natürlich ein Luxus der in ner größeren Einheit wie der Justiz kaum möglich ist.

[thh]

Darum sind mE auch justizinterne Cloudsysteme vom Sicherheitsaspekt eher kritisch zu sehen. Häufig wird angeführt, man hätte dann die Kontrolle über die System, was aber faktisch so nicht ganz richtig ist. Auch in den internen Rechenzentren wird natürlich Hard- und Software von externen Dienstleistern genutzt. Die Kontrolle über nen Server im eigenen Rechenzentrum ist faktisch nicht viel größer als zum Beispiel bei AWS.

"Faktisch" wird die gesamte IT der Justiz durch einen mal mehr (großer IT-Service-Anbieter), mal weniger (landeseigener Betrieb) externen Dienstleister betrieben, der alle Server, alle Anwendungen, alle Datenleitungen samt Übergängen in andere Netze, das gesamte Accountmanagement, die gesamte Arbeitsplatzkonfiguration, die gesamte Hardwareausstattung und den gesamten Support leistet. Mir erschließt sich jetzt nicht, warum dann die interne Cloud unsicherer sein soll als bspw. der Fileserver, der im Zweifelsfall im selben Rechenzentrum steht und auf dessen Netzlaufwerken alle Dateien liegen, oder die Datenbank, auf denen alle Daten der Fachanwendungen gespeichert sind.

Das muss sich mir aber auch nicht erschließen; das landesinterne Netz ist für die Speicherung und Übermittlung von - auch personenbezogenen - Daten bis einschließlich VS-NfD zugelassen. Wie der Dienstherr das organisiert, ist seine Sache, und das ist auch gut so.

Die Nachteile sind dagegen, dass ich den Clouddienst der Justiz gezielt angreifen kann, was ich zum Beispiel deutlich schwerer kann, als wenn die Daten zum Beispiel irgendwo bei OneDrive liegen.

Man kann sie natürlich auch einfach irgendwo bei einem Filesharing-Dienst hochladen, die Chance ist gut, dass sie da keiner findet. Nur vorschriftsgemäß ist das vermutlich nicht.

Zwingt man die Richter und Staatsanwälte zu komischen Regelungen (extra Beantragung von Accounts... Hardware-Tokens.... VPNs... usw...) dann wird das - insbesondere von technisch wenig versierten Nutzern - schlicht umgangen und die verschicken unverschlüsselt Emails.

Ein VPN ist kein Problem - das läuft schlicht transparent im Hintergrund. Einfach auf ein Icon klicken, dann ist man "drin". Hardware-Tokens sind bereits bekannt, weil darüber der Webmail-Zugang lief, und nur eine Übergangslösung. Die Beantragung eines Cloud-Accounts ist ebenso trivial wie die Anmeldung bei irgendeinem anderen Dienst im Netz: Mailadresse und Passwort vergeben, fertig. Danach funktioniert Drag & Drop. Wer das nicht hinbekommt, ist von dem Umgang mit verschlüsselten USB-Sticks oder dem Verschlüsseln von Dokumenten für den Mailversand aller Voraussicht nach ebenfalls überfordert. Und letztlich ist niemand gehindert, schlicht seinen Laptop mit heimzunehmen und daran zu arbeiten; wenn die Datei in einem synchronisierten Verzeichnis liegt, dann wird sie beim nächsten Anschluß am Arbeitsplatz automatisch auf das Netzlaufwerk synchchronisiert.

Wer das alles nicht hinbekommt, wird auch eher nicht am heimischen Rechner sitzen und dort Texte selbst tippen (sondern allenfalls ein mobiles Diktiergerät mit nach Hause nehmen).

Letztlich lässt sich ohnehin nicht mit letzter Sicherheit verhindern, dass jemand personenbezogene Daten unverschlüsselt per Mail verschickt oder eine Aktentasche mit den Verfahrensakten in der Stadtbahn vergisst ...

[Liz]

Man kann auch jedem Richter/Staatsanwalt n Cloudspeicher und eine Software zum Verschlüssen/Entschlüsseln geben und dann kann jeder die Hardware nutzen die er möchte. Dann gibt es gar keinen Bedarf dieses System zu umgehen.

Wenn man das dann in der täglichen Anwendung ohne großen Aufwand praktisch umsetzen kann, ist das natürlich ein Weg.

Das Problem mit Dienstlaptops in der Justiz ist ja eh das Problem, dass jeder unterschiedliche Bedürfnisse hat. Das ist ja auch in Kanzleien so. Einige packen ihre 17" Laptops in der Hauptverhandlung aus und möchten die nicht missen, ich käme dagegen gar nicht auf die Idee da mit 2,5Kg Laptops aufzuschlagen und hab meist nur n iPad Pro dabei und optional n 13" Ultrabook. Diese individuelle Ausstattung ist natürlich ein Luxus der in ner größeren Einheit wie der Justiz kaum möglich ist.

Das Problem könnte man ja minimieren, indem man den Nutzern eine gewisse Auswahl ermöglicht, welches Gerät ihren Bedürfnissen am ehestens entspricht, anstatt einfach für alle das Modell zu bestellen, was von der Auswahl der IT-Stelle nach Beteiligung sämtlicher Gremien noch übrig bleibt. Meine Zufriedenheit und Compliance würde es jedenfalls deutlich erhöhen, wenn man von mir nicht erwartet, dass ich ein 17"-Schwergewicht durch die Gegend trage, nur weil der einen so schön großen Bildschirm für die älteren Kollegen hat.

[Ara]

Darum sind mE auch justizinterne Cloudsysteme vom Sicherheitsaspekt eher kritisch zu sehen. Häufig wird angeführt, man hätte dann die Kontrolle über die System, was aber faktisch so nicht ganz richtig ist. Auch in den internen Rechenzentren wird natürlich Hard- und Software von externen Dienstleistern genutzt. Die Kontrolle über nen Server im eigenen Rechenzentrum ist faktisch nicht viel größer als zum Beispiel bei AWS.

"Faktisch" wird die gesamte IT der Justiz durch einen mal mehr (großer IT-Service-Anbieter), mal weniger (landeseigener Betrieb) externen Dienstleister betrieben, der alle Server, alle Anwendungen, alle Datenleitungen samt Übergängen in andere Netze, das gesamte Accountmanagement, die gesamte Arbeitsplatzkonfiguration, die gesamte Hardwareausstattung und den gesamten Support leistet. Mir erschließt sich jetzt nicht, warum dann die interne Cloud unsicherer sein soll als bspw. der Fileserver, der im Zweifelsfall im selben Rechenzentrum steht und auf dessen Netzlaufwerken alle Dateien liegen, oder die Datenbank, auf denen alle Daten der Fachanwendungen gespeichert sind.

Das muss sich mir aber auch nicht erschließen; das landesinterne Netz ist für die Speicherung und Übermittlung von - auch personenbezogenen - Daten bis einschließlich VS-NfD zugelassen. Wie der Dienstherr das organisiert, ist seine Sache, und das ist auch gut so.

Ich habe nicht gesagt, dass deswegen "die interne Clound unsicherer" ist, sondern, dass sie dadurch nicht sicherer ist. Hier betreibt ein Landesbetrieb zum Beispiel selbst drei redundante Rechenzentren in der Stadt. Es ist für die Sicherheit aber nicht notwendig, die Hardware tatsächlich bei sich vor Ort zu haben, da die Hardware sowieso von einem externen Hersteller eingekauft werden. Das gleiche gilt für die Software, die man ebenfalls einkauft. Das heißt der Vorteile wäre lediglich ein Schutz vor physischen Angriffen nach der Inbetriebnahme auf die Hardware, was ich mit Verschlüsselung aber beseitigen kann.

Der Sicherheitsbonus ergibt sich dann einfach daraus, dass ich zB dem AWS Security Team im Zweifel mehr Fachkompetenz zutraue, als dem angestellten IT-Admin im öffentlichen Dienst.

[Tibor]

Statt VPN nutzen wir einfach RDP. Da wird alles „im Landesnetz“ ausgeführt bzw alle Daten bleiben wo sie sind. Nicht ohne Grund sagt man ja, das RDP quasi nur die Perepheriedaten durch die Leitung schickt.

[Ara]

Statt VPN nutzen wir einfach RDP. Da wird alles „im Landesnetz“ ausgeführt bzw alle Daten bleiben wo sie sind. Nicht ohne Grund sagt man ja, das RDP quasi nur die Perepheriedaten durch die Leitung schickt.

Das Problem an RDP ohne VPN ist, dass es automatisierte Angriffe auf die bekannten Port gibt. Das heißt früher oder später wird da mal jemand reinkommen, insbesondere wenn die Passwörter frei gewählt werden können. Gibt dazu ne aktuelle Studie aus diesem Sommer (https://www.sophos.com/en-us/medialibra ... oor-wp.pdf) die hatten auf ihre 10 HoneyPots über 4 Millionen "Loginversuche" innerhalb von 30 Tagen. Daher sollte man RDP eigentlich immer zusätzlich mit nem VPN absichern.

[Tibor]

Klar. SHA256 mit Token.

[sai]

Man kann auch jedem Richter/Staatsanwalt n Cloudspeicher und eine Software zum Verschlüssen/Entschlüsseln geben und dann kann jeder die Hardware nutzen die er möchte. Dann gibt es gar keinen Bedarf dieses System zu umgehen.

Wenn man das dann in der täglichen Anwendung ohne großen Aufwand praktisch umsetzen kann, ist das natürlich ein Weg.

Das Problem mit Dienstlaptops in der Justiz ist ja eh das Problem, dass jeder unterschiedliche Bedürfnisse hat. Das ist ja auch in Kanzleien so. Einige packen ihre 17" Laptops in der Hauptverhandlung aus und möchten die nicht missen, ich käme dagegen gar nicht auf die Idee da mit 2,5Kg Laptops aufzuschlagen und hab meist nur n iPad Pro dabei und optional n 13" Ultrabook. Diese individuelle Ausstattung ist natürlich ein Luxus der in ner größeren Einheit wie der Justiz kaum möglich ist.

Das Problem könnte man ja minimieren, indem man den Nutzern eine gewisse Auswahl ermöglicht, welches Gerät ihren Bedürfnissen am ehestens entspricht, anstatt einfach für alle das Modell zu bestellen, was von der Auswahl der IT-Stelle nach Beteiligung sämtlicher Gremien noch übrig bleibt. Meine Zufriedenheit und Compliance würde es jedenfalls deutlich erhöhen, wenn man von mir nicht erwartet, dass ich ein 17"-Schwergewicht durch die Gegend trage, nur weil der einen so schön großen Bildschirm für die älteren Kollegen hat.

Wir statten derzeit die Kollegen entsprechend aus. Das Problem ist, dass viele durchaus nicht wissen, was ihren Bedürfnissen entspricht, und auch keine Lust haben, sich damit zu beschäftigen. Gemeckert wird danach natürlich trotzdem.

[Liz]

@sai: Das ist dann selber schuld. Ich könnte Dir indes ganz klar sagen, dass ich etwas brauche, was ich in meiner Handtasche nach Hause (ggf. auch mit Zwischenstopp im Supermarkt) tragen und dort mittels einer Dockingstation an meinen großen Bildschirm anschließen kann; selbst würde ich mir für den Zweck wahrscheinlich ein MacBook Air 13" oder ein gewichts- und größenmäßig einigermaßen vergleichbares Windows-Gerät holen.