Connect with us

Datenschutz & Sicherheit

Wie MeinJustizpostfach die Privatsphäre gefährdet


Gerne würde Sabrina W.* das MeinJustizpostfach benutzen. Damit könnte sie schnell und direkt mit dem Gericht oder der Ausländerbehörde kommunizieren. Sie arbeitet in einer deutschen Großstadt ehrenamtlich als gerichtlich bestellte Betreuerin für Geflüchtete.

Als großen Vorteil sieht Sabrina W. es, dass das Postfach automatisch einen Nachweis darüber erstellt, wenn eine Nachricht bei öffentlichen Stellen wie Gericht, Arbeits- oder Einwohnermeldeamt eingeht. Mit dem regulären Briefverkehr ist das nicht gesichert. Daher nutzt sie noch immer meistens das Fax. Es erstellt einen Sendebericht und ist so für beide Seiten nachweissicher.

Warum Sabrina W. das MeinJustizpostach (MJP) nicht nutzt? Sie hat Sorge davor, dass ihre personenbezogenen Daten in die falschen Hände geraten. Als Betreuerin zweier geflüchteter Menschen will sie sich vor Stalking und Ähnlichem schützen.

Tatsächlich brauchen Nutzer*innen des MJP großes Vertrauen in das Justizwesen. Denn mit dem Postfach werden sie laut Elektronischer-Rechtsverkehr-Verordnung (ERVV) in einem „sicheren Verzeichnis“, dem SAFE-Verzeichnisdienst, eingetragen. Dieser besteht aus den föderierten SAFE-Verzeichnisdiensten (PDF) der Justiz sowie der Bundesrechtsanwalts-, der Bundesnotar- und der Steuerberaterkammer.

Breiter Zugriff auf SAFE-Verzeichnis

Wie das Landesministerium der Justiz und für Migration Baden-Württemberg gegenüber netzpolitik.org schreibt, können Menschen aus der Justiz und Inhaber anderer besonderer elektronischer Postfächer MJP-Nutzer*innen suchen und adressieren. Andere besondere Postfächer sind etwa das besondere elektronische Anwaltspostfach, das besondere elektronische Notarpostfach, das besondere elektronische Steuerberaterpostfach oder das elektronische Behördenpostfach. Das Ministerium ist für den Betrieb des MJP und für die datenschutzrechtlichen Fragen zuständig.

Laut ERVV müssen im SAFE-Verzeichnis Vor- und Nachname, Anschrift und Länderkennung von Nutzer*innen des MJP gespeichert werden und abrufbar sein. Wie das Ministerium mitteilt, müssen diese personenbezogenen Daten „in ihrer Gesamtheit“ vorliegen, um den Absender einer Nachricht „eindeutig und zweifelsfrei authentifizieren zu können“.

Das Problem: Damit können eine ganze Reihe Personen auf diese Daten zugreifen. Laut konservativer Schätzung des IT-Sicherheitsexperten und Netzaktivisten Markus Drenger sind das gut eine Millionen Menschen. Wer genau auf die Daten zugreifen kann, sagt das Ministerium auf Anfrage nicht. Doch es ist davon auszugehen, dass darunter mindestens folgende Gruppen und Einrichtungen sind: Rechtsanwält*innen, Steuerberater*innen, Notar*innen, Staatsanwält*innen, Richter*innen, Vergabekammern, Städte und Gemeinden, Landesbehörden und -ministerien, Bundesbehörden und -ministerien. Hinzu kommen unter anderem die Angestellten etwa in Kanzleien, die häufig eigene Accounts haben.

Funktionalität vor Datenschutz?

Zugriff haben aber auch Jurist*innen, über die die Verzeichnisdaten mittelbar in die Privatwirtschaft gelangen könnten. Drenger nennt hier die sogenannten Syndikusanwält*innen: Sie sind als Rechtsanwält*innen zugelassen, jedoch überwiegend oder ausschließlich für ein privates Unternehmen, eine Bank oder einen Verband im Rahmen eines Dienstvertrages tätig.

Laut Drenger gebe es hier ein grundsätzliches Problem: Was ist ein vertraulicher Umgang mit personenbezogenen Daten und inwiefern ist der überhaupt möglich, wenn so viele Personen Zugriff auf ein wachsendes Verzeichnis haben?

Hierzu äußert sich das zuständige Ministerium in Baden-Württemberg nicht. Es betont aber, dass das MJP in seiner derzeitigen Ausgestaltung den bestehenden gesetzlichen und verordnungsrechtlichen Vorgaben entspreche. Außerdem bestünden „besondere dienst- und standesrechtliche Verschwiegenheitspflichten“ für alle Teilnehmer am elektronischen Rechtsverkehr, die Zugriff auf das Verzeichnis haben.

Das Ministerium wolle nun aber prüfen, ob mit dem MJP – entsprechend dem Gebot der Datensparsamkeit – fortan weniger Daten als bisher erfasst und gespeichert werden können. Die Priorität sieht das Ministerium allerdings klar auf der „Aufrechterhaltung der nötigen rechtlich-funktionalen Anforderungen“. Mit anderen Worten: Funktion kommt vor Datenschutz.

BundID als Voraussetzung

Die Datenschutzrisiken sind bereits seit längerem bekannt. Im Herbst 2023 gaben das Bundesjustiz- und Bundesinnenministerium unter der Ampel-Regierung den Startschuss für das MJP. Sie bewarben das Postfach damit, dass Bürger*innen und Unternehmen „Klagen bei Gericht rechtswirksam einreichen oder Dokumente wie Mietverträge oder Bußgeldbescheide auf sichere Weise elektronisch an ihre Anwälte übermitteln“ können.

Besonders hervorgehoben wurde damals, dass mit dem MJP auch die BundID eine weitere Anwendung findet: Interessierte müssen sich mit ihrem ePerso für eine BundID registrieren, um sich damit beim MJP anmelden zu können. Die dort hinterlegten Daten werden dann an die Justizverwaltung weitergeleitet.

Schon damals ignorierten die zuständigen Behörden Mahnungen, dass es für bestimmte Menschen riskant ist, wenn ihre Daten in dem SAFE-Verzeichnis hinterlegt sind, so Drenger, etwa „Stalkingopfer oder Personen aus Sicherheitsbehörden, Staatsanwälte die gegen organisierte Kriminalität ermitteln“. Auch gebe es gute Gründe, warum etwa auch Prominente ihre Daten nicht öffentlich teilen möchten.

Eine digitale Lösung, um mit Gerichten und Behörden kommunizieren zu können, ist sehr bequem, sagt Drenger gegenüber netzpolitik.org. Doch eine sichere Alternative zum MJP gebe es bislang nicht. Während früher viele Menschen widersprochen hätten, „um nicht mit Namen und Telefonnummer im Telefonbuch aufzutauchen“, erwarte „das Innenministerium heute, dass alle Menschen mit Namen und Adresse in einem quasi-öffentlichen Verzeichnis genannt werden.“


Texttafel: Werbefreier Journalismus. 24 Stunden am Tag. 365 Tage im Jahr. Nur möglich dank deiner Unterstützung. Spende jetzt.

Für Meldesperre „nicht geeignet“

Das MJP übergeht zudem die Meldesperre. Eine solche Sperre richten Menschen beim Einwohnermeldeamt ein, wenn sie aus Sicherheitsgründen ein hohes Bedürfnis nach Datenschutz haben, etwa weil sie sich vor stalkende Ex-Partner*innen schützen möchten, als Journalist*innen arbeiten oder Zeug*innen eines Verbrechens wurden.

Zur Meldesperre findet sich auf der Website des MJP nur ein lapidarer Warnhinweis: Ausweisdaten, konkret „personenbezogene Daten aus der BundID“, würden „selbst bei Vorliegen einer Meldedatensperre an Dritte übermittelt“. Daher sei die Nutzung des MJP für Personen, „für die im Melderegister eine Auskunftssperre eingetragen ist, gegenwärtig nur bedingt geeignet“.

Das Justizministerium Baden-Württemberg stellt immerhin in Aussicht, dass „im Zuge der Weiterentwicklung des MJP die Einrichtung eines Postfachs auch ohne Veröffentlichung der Anschrift“ möglich werden soll.

Dass Nutzer*innen aber bis dahin selbst dafür verantwortlich sind, „das Kleingedruckte zu lesen, ist wie Autofahrern zu sagen, sie sollen sicher fahren, wobei man auf den Einbau von Gurten und Airbags verzichtet“, kritisiert Drenger. Auch das für die BundID zuständige Bundesinnenministerium nehme bewusst in Kauf, „dass Menschen hier unter die Räder kommen“. Mit Blick auf die Sicherheit hätten die Verantwortlichen hier bessere Vorsorge treffen können, sagt Drenger.

Nicht Ende-zu-Ende-verschlüsselt

Was ebenfalls seit langem bekannt ist: Die Kommunikation über das Postfach verläuft nicht Ende-zu-Ende-verschlüsselt.

Das Justizministerium Baden-Württemberg erklärt auf Anfrage von netzpolitik.org, dass das MJP Nachrichten Ende-zu-Ende-verschlüsselt übermittle – „bis in den Webclient des Bürgers“. Die Verschlüsselung erfolge dabei in der Sende- und Empfangssoftware, die Teil der Postfachinfrastruktur ist. Nutzer*innen könnten Nachrichten ausschließlich mittels „Verschlüsselungszertifikat mit PIN des jeweiligen Nutzers“ entschlüsseln.

Laut Drenger funktioniere das MJP aber im Grunde wie ein klassischer E-Mail-Dienstleister. Denn die Nachrichten an die Nutzer*innen werden nur für den Transport verschlüsselt. Für die Betreiber der Postfächer bleiben sie hingegen lesbar.

* Sabrina W. hat eigentlich einen anderen Namen.



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Die Woche, in der sich die Überwachungspläne bei uns stapelten


Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser*innen,

in Berlin ist zwar die Ferienzeit angebrochen. Sommerliche Ruhe will aber nicht so recht einkehren. Denn auf unseren Schreibtischen stapeln sich die neuen Gesetzesentwürfe der Bundesregierung. Und die haben’s in sich.

Beispiele gefällig?

  • Staatstrojaner: Künftig soll die Bundespolizei zur „Gefahrenabwehr“ Personen präventiv hacken und überwachen dürfen, auch wenn „noch kein Tatverdacht begründet ist“.
  • Biometrische Überwachung: Bundeskriminalamt, Bundespolizei und das Bundesamt für Migration und Flüchtlinge sollen Personen anhand biometrischer Daten im Internet suchen dürfen. Auch Gesichter-Suchmaschinen wie Clearview AI oder PimEyes können sie dann nutzen.
  • Palantir: Bundeskriminalamt und Bundespolizei sollen Datenbestände zusammenführen und automatisiert analysieren dürfen. Das riecht gewaltig nach Palantir – was das Innenministerium in dieser Woche bestätigt hat.

Auch in vielen Bundesländern wird über Palantir diskutiert. In Baden-Württemberg sind die Grünen soeben umgekippt. Keine gewagte Prognose: Andere werden ihre Vorsätze auch noch über Bord werfen.

Die gute Nachricht: In allen drei Bundesländern, die Palantir einsetzen – Bayern, Hessen und Nordrhein-Westfalen -, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze anhängig. Und auch die Überwachungspläne der Bundesregierung verstoßen ziemlich sicher gegen Grundgesetz und EU-Recht. Wir bleiben dran.

Habt ein erholsames Wochenende!

Daniel


2025-07-14
1074.12
88


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 



Source link

Weiterlesen

Datenschutz & Sicherheit

Bauarbeiten und wie das Bargeld auf Reisen geht


Drei Menschen machen ein Selfie am Tisch
Martin, Sebastian und Chris im Studio. CC-BY-NC-SA 4.0 netzpolitik.org


Diese Recherche hat für enorm viel Aufsehen gesorgt: Über Monate hinweg hat sich Martin damit beschäftigt, wie Polizeibehörden, Banken und Unternehmen unser Bargeld verfolgen und was sie über die Geldströme wissen. Die Ergebnisse überraschten auch uns, denn sie räumen mit gängigen Vorstellungen über das vermeintlich anonyme Zahlungsmittel auf. Die Aufregung um diese Recherche rührt vielleicht auch daher, dass Behörden nicht gerne darüber sprechen, wie sie Bargeld tracken. Martin selbst spricht von einer der zähsten Recherchen seines Arbeitslebens.

Außerdem erfahrt ihr, wie wir solche Beiträge auf Sendung-mit-der-Maus-Niveau bringen und warum man aus technischen Gründen besser Münzen als Scheine rauben sollte. Wir sprechen darüber, wie wir trotz schlechter Nachrichten zuversichtlich bleiben und warum wir weitere Wände im Büro einziehen. Viel Spaß beim Zuhören!

Und falls wir es in dieser Podcast-Folge noch nicht oft genug erwähnt haben sollten: Wir freuen uns über Feedback, zum Beispiel per Mail an podcast@netzpolitik.org oder in den Ergänzungen auf unserer Website.

In dieser Folge: Martin Schwarzbeck, Sebastian Meineck und Chris Köver.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

Links und Infos

Blattkritik

Thema des Monats



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.

Schadcode-Schlupfloch

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.

Um Systeme gegen die geschilderte Attacke zu rüsten, müssen Admins in der Warnmeldung verlinkte Special Builds installieren.

Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):


(des)



Source link

Weiterlesen

Beliebt