Donnerstag, 24. Februar 2022

Digitale Signaturen


In der Sitzung des Ausschusses f. Wirtschaft, Beschäftig., Digitalis., Gesundheit vom 1. Februar befand sich auch ein Antrag zum Thema Digitale Signatur auf der Tagesordnung. Leider kann ich Ihnen nicht sagen, wie die Diskussion zu diesem Antrag verlief, da die Sitzung Online abgehalten wurde. Und bei einer solchen Form der Diskussion sieht sich die Stadt Wiesbaden nicht in der Lage, mir einen Zugang als Zuhörer zu ermöglichen (siehe: Unter Ausschluss der Öffentlichkeit). Eine Abstimmung zu diesem Antrag kann nicht stattgefunden haben, denn Abstimmungen müssen öffentlich sein.

Dies ist der Antrag:



Einleitung

Gestatten Sie mir eine Vorbemerkung, bevor ich zum eigentlichen Thema komme. In der Einleitung des Antrags findet man diesen Satz:

Die städtische Digitalisierung betreffend ist der Status Quo in Wiesbaden besser als in vielen anderen deutschen Kommunen. Besonders das Wiesbadener Bürgerbüro ist in Sachen Digitalisierung Vorreiter, dazu wurde der digitale Briefkasten eingerichtet, um Online-Dokumente leichter und besser austauschen zu können.

Quelle: Elektronische und digitale Signatur beim Schriftverkehr mit städtischen Ämtern prüfen

Ist das in Wiesbaden besser gelöst als in anderen Städten? Ist dem wirklich so? Als Leser dieses Blogs wissen Sie, daß der Stand der IT in dieser Stadt eher bescheiden ist (um es höflich auszudrücken). Nichts gegen Eigenlob, aber man sollte es nicht übertreiben.

Einen Termin im Bürgerbüro per Computer zu vereinbaren, damit ist man kein Vorreiter. Vor etwa 20 Jahren gab es bei der Deutschen Bahn ein Projekt mit Namen PEP, mit dem Tickets vergünstigt verkauft werden sollten (Schlagwort Sparpreis und Super-Sparpreis). Die Anzahl dieser Tickets für einzelne Tage und Strecken war begrenzt, dies ist somit durchaus vergleichbar mit der Reservierung eines Termins im Bürgerbüro. Auch die Reservierung eines Sitzplatzes in einer Bahn oder einem Flugzeug ist damit vergleichbar. Eine Software, die so etwas kann, war vor 20 Jahren Standard, das war damals keine Raketenwissenschaft. Für unsere Stadtpolitiker ist dies heute etwas herausragendes, daß man dies kann.

Und ein digitaler Briefkasten ist nichts anderes als die Möglichkeit, eine Datei hochzuladen, die ein Mitarbeiter der Stadtverwaltung dann holen und weiter verarbeiten kann. Damit ist man Vorreiter? Ach ja, Wiesbaden.


Ziel des Antrages

Aber genug des Vorgeplänkels, kommen wir zum Thema. Der Antrag beauftragt den Magistrat, sich Gedanken zu machen und den Stadtverordneten im Ausschuss einen entsprechenden Bericht vorzulegen. Haben die Stadtverordneten eigene Gedanken zu diesem Thema? Im Antrag finde ich nichts dazu und zur Diskussion kann ich nichts sagen, wie bereits ausgeführt.


Elektronische Signatur, digitale Signatur

Im Antrag finden Sie eine Unterscheidung zwischen elektronischer und digitaler Signatur. Und zur elektronischen Signatur finden Sie im Antrag diesen Hinweis:

Im Gegensatz zur digitalen Signatur, kann in vielen Fällen auch eine einfache elektronische Signatur ausreichend sein. Diese ist im Gegensatz zur digitalen Signatur nicht verschlüsselt und kann bspw. auf einem Tablet oder auf dem Handy erfolgen. Diese Form der Signatur ist zurzeit wenig verbreitet. Eine Einführung würde die Kommunikation zwischen Bürgerinnen und Bürgern mit den Ämtern vereinfachen und Ressourcen einsparen.

Quelle: Elektronische und digitale Signatur beim Schriftverkehr mit städtischen Ämtern prüfen. Hervorhebung von mir.

Elektronische Signatur ist nicht weit verbreitet, deshalb will ich auf dieses Thema auch nicht eingehen. Bleibt das Thema digitale Signatur übrig.

Digitale Signaturen sollen sicherstellen, daß eine Mail vom angegebenen Absender kommt und daß sie mit diesem Inhalt abgesendet wurde. Es soll also sichergestellt werden, daß sie auf dem Weg zu Ihnen nicht verändert wurde. Diesen Sachverhalt habe ich bereits mehrfach hier auf dem Blog dargestellt, die entsprechenden Verweise finden Sie unter den Anmerkungen auf dieser Seite.


Problem

Sie haben sicherlich schon SPAM-Mails erhalten. Gerne verwendet man bekannte und vertraute Namen als Absender, um Seriosität vorzugaukeln. So erhielt ich bereits solche Mails mit dem angeblichen Absender Deutsche Post, DHL, Postbank, Commerzbank, Amazon, eBay, ..., mit denen man mich informierte, daß es ein Problem gibt, das meine Aufmerksamkeit erfordert. Gerne gibt man dazu einen Link an, damit man direkt auf die entsprechende Seite kommen kann, um die notwendige Aktion anzustossen. Machen Sie dies bitte nicht! Wenn Sie den Verdacht haben, daß es auf dieser Seite ein Problem gibt, dann gehen Sie bitte direkt auf diese Seite und vergewissern Sie sich dort.

Bisher sind keine solcher Mails mit dem (vermeintlichen) Absender Stadt Wiesbaden gesehen worden, aber das kann ja noch kommen. Und wie kann man sich dagegen schützen? Die traurige Nachricht ist: gar nicht. Aber so ganz im Regen stehen lassen möchte ich Sie nicht, denn es gibt eine Möglichkeit, den Absender als auch den Inhalt einer Mail zu prüfen und die Echtheit bestätigt zu bekommen. Das zugehörige Schlagwort heißt Digitale Signatur.

Dazu fand ich diese einfache Erläuterung:

Die elektronischen Medien werden für den Datentransfer immer wichtiger. Der Kontakt zwischen Menschen, die sich nicht persönlich kennen, sollte in einem rechtssicheren Raum stattfinden. Deshalb ist es essenziell zu wissen, ob die Person, mit der wir kommunizieren, tatsächlich diejenige ist, für die sie sich ausgibt. Relevant ist auch, dass Daten beim Empfänger so ankommen, wie sie abgeschickt wurden, unverfälscht, nicht manipuliert, weder verkürzt noch mit Zusätzen versehen. Ohne diese beiden Grundvoraussetzungen ist rechtsverbindliches Handeln im Internet nicht möglich. Die digitale Signatur stellt die Identität des Kommunikationspartners genauso wie die Integrität der Inhalte sicher.

Quelle: Was Sie über die digitale Signatur wissen müssen

Weitergehende Informationen möchte ich in diesem Text nicht geben. Wenden Sie sich dazu an die Suchmaschine Ihres Vertrauens, die Ihnen eine lange Liste mit Erläuterungen und Beispielen liefern wird. Hier habe ich Ihnen einige Möglichkeiten vorbereitet: Suche via Google, Bing oder DuckDuckGo.


Bewertung

Fragestellungen aus dem Bereich IT kommen allmählich in der Wiesbadener Stadtpolitik an. Es bewegt sich doch etwas in der Stadtpolitik, wenn auch langsam und mühsam. Nach 2 Jahren Corona-Pandemie dämmert allmählich die Einsicht, daß man sich um das Thema Digitalisierung kümmern sollte. Deshalb bittet man den Magistrat, sich Gedanken dazu zu machen und eine Stellungnahme abzugeben.

Solche Dinge wie Digitale Signaturen hätte man vor 15 Jahren machen sollen, auch vor 10 Jahren wäre dies noch aktuell gewesen. Aber heute? Da kommt man doch reichlich spät.

Aber gemach, jetzt wird erst einmal darüber nachgedacht. Immerhin. Schaun mer mal, was im Laufe dieses Jahres daraus wird. Erwarten Sie keine überstürzte Eile. Das will alles wohl bedacht sein.


Anmerkungen:
Auf diesem Blog hatte ich mich schon mehrmals zum Thema Digitale Signatur und weitergehend dann zum Thema Verschlüsselung von Mails geäussert, u.a. hier:

Donnerstag, 10. Februar 2022

Unter Ausschluss der Öffentlichkeit


Zu einer Demokratie gehört Öffentlichkeit. Wahlen finden in der Öffentlichkeit statt, Auszählung der abgegebenen Stimmen, Sitzungen des Parlaments und der Ausschüsse sind ebenfalls öffentlich. Aber offensichtlich ist dies nicht immer gegeben.

Am 1. Februar 2021 fand eine Sitzung des Ausschusses für Wirtschaft, Beschäftigung, Digitalisierung und Gesundheit statt. Hier finden Sie die Einladung zu dieser Sitzung:


Sie finden dies alles hier: https://piwi.wiesbaden.de/sitzung/detail/2803802 Ausschuss f. Wirtschaft, Beschäftig., Digitalis., Gesundheit (in PIWi).


Online-Videokonferenz

Bitte beachten Sie insbesondere diesen Teil auf der ersten Seite:


Die Veranstaltung findet also als Videokonferenz statt. Das ist kein Problem, denn in den vergangenen zwei Jahren wurden viele Meetings als Videokonferenz durchgeführt. Also habe ich mich bei der Stadt Wiesbaden gemeldet und um Zusendung des Links gebeten, da mich diese Sitzung interessiert (auf der Tagesordnung dieser Sitzung finden Sie etliche Anträge zum Thema Digitalisierung). Natürlich wollte ich nur als Zuschauer (bzw. Zuhörer) teilnehmen, aber bei der Software für Videokonferenzen kann der Administrator die Mikrofone der Teilnehmer stumm schalten. Also alles kein Problem (so denkt man sich das als kleiner ITler). Postwendend erhielt ich eine Antwort, daß eine Teilnahme meinerseits aus Kapazitätsgründen nicht möglich sei.


Kapazitätsgründe

Also reicht die Kapazität nicht aus, einen weiteren Teilnehmer (d.h. mich) zuhören zu lassen.

Laut Einladung wird eine Software der Firma Visavid eingesetzt. Das Unternehmen stellt das Produkt dar mit folgenden Aussagen:

Quelle: Homepage der Fa. Visavid 

Der Hersteller des Tools behauptet also, daß das Tool hochskalierbar sei. Sie kann also viele Teilnehmer verarbeiten. Bei einer Sitzung dieses Ausschusses sind typischerweise die 15 Vertreter des Ausschusses anwesend, dazu kommen noch etliche Vertreter aus der Stadtverwaltung plus einige wenige Zuhörer. Insgesamt, so schätze ich, sind vielleicht 25 - 30 Personen anwesend. Und sofern man nicht gerade mit Computern arbeitet, die 20 oder mehr Jahre auf dem Buckel haben, ist diese Belastung machbar. Es finden viel grössere Online-Veranstaltungen statt, aber offensichtlich nicht unter der Verantwortung der Stadtpolitik in Wiesbaden.


HGO

Ein Kernelement der Demokratie ist die Öffentlichkeit. Nichts soll oder darf unter Ausschluss der Öffentlichkeit entschieden oder gemauschelt werden, denn ein Ausschluß der Öffentlichkeit ist der Nährboden für Verschwörungstheorien.

Die Arbeit der Stadtpolitik wird festgelegt u.a. durch die hessische Gemeindeordnung (HGO). In dieser findet sich folgende Aussage:

Quelle: HGO $52 Öffentlichkeit 

Abstimmungen können Online nicht erfolgen, da wir erst seit 2 Jahren verstärkt Videokonferenzen haben. In dieser Zeit hat die hessische Landesregierung und das Parlament des Landes Hessen es noch nicht geschafft, diese Möglichkeit in die HGO einzubauen und weitere Gesetze entsprechend anzupassen.

Aber mich interessierte weniger die Abstimmung sondern die Diskussion. Welche Argumente werden vorgebracht für oder gegen einen Antrag? Wie wird auf Argumente reagiert? All dies findet bei dieser Sitzung des Ausschusses hinter verschlossenen Videokameras statt, somit kann ich Ihnen nicht berichten.


Fazit

Rechtlich darf die Öffentlichkeit nicht ausgeschlossen werden, von begründeten Ausnahmen abgesehen. Und technisch ist es machbar, eine interessierte Öffentlichkeit zuhören zu lassen. Und der Hersteller der Videokonferenz-Software bietet eine solche Lösung für 100 Teilnehmer an1).

Was hindert die Stadtpolitik daran?

Die Pandemie läuft seit etwa 2 Jahren. Viele Institutionen haben auf Homeoffice umgestellt, auch die Stadt Wiesbaden. Und auch auf Videokonferenzen. Aber die Stadt Wiesbaden schafft es nicht, eine solche Sitzung per Videokonferenz mit entsprechender Leistungsfähigkeit anzubieten und durchzuführen. Kapazitätsgründe! Deutlicher kann man den Stand der Digitalisierung und seiner eigenen Leistungsfähigkeit nicht beschreiben.

Wobei die Stadtpolitik selbst sich für die Digitalisierung lobt:

Die städtische Digitalisierung betreffend ist der Status Quo in Wiesbaden besser als in vielen anderen deutschen Kommunen.

Quelle: aus dem Antrag #4 zur Sitzung am 1. Februar 2022

Es mag sein, daß der Stand in Wiesbaden besser ist als in vielen anderen Städten, aber gut ist dieser Stand nicht. Und er ist weit entfernt von dem, was heute möglich ist.


Nachtrag

Zur Qualität der Software der Fa. Visavid fand ich folgenden Text:

Auf Lücken in Apps und Schnelltestzentren folgt nun eine im Videokonferenzsystem für Bayerns Schulen: Inkompetente Behörden sind schuld an der schlechten Coronasoftware, sagt die Sicherheitsforscherin Lilith Wittmann.

Wittmann: Und besonders krass daran ist, dass ich durch die Lücke sogar unsichtbar teilnehmen konnte: Die anderen Teilnehmenden konnten mich nicht sehen, ich konnte aber alles sehen und hören und auch die Dokumente herunterladen, die während einer solchen Konferenz geteilt werden. Nach meinem Hinweis wurde die Lücke inzwischen geschlossen.

Quelle: Interview mit Lilith Wittmann
Zur Person: Lilith Wittmann in der Wikipedia

Und aus bayrischen Schulen habe ich auch nichts Positives über diese Software gehört.




Anmerkungen:
1) Zu finden hier: Raum V-20, V-50 oder V-100