Security by Obscurity: Nach dreieinhalb Jahren vor Gericht

Um welche Anfrage geht es nochmal? Drei Jahre nach Klageerhebung verhandelt das Kölner Verwaltungsgericht endlich über unsere Klage gegen das Gesundheitsministerium. Darin geht es um eine Liste aller Domains der Behörde – und eine Grundsatzfrage der Sicherheit.

Verzögerte Gerechtigkeit ist verweigerte Gerechtigkeit – diese juristische Maxime trifft nicht nur bei Strafverfahren zu. Auch in Gerichtsverfahren um die Informationsfreiheit zeigt sich, dass nicht nur die Ergebnisse zählen, sondern auch, wann sie eintreffen. Beim notorisch überlasteten Verwaltungsgericht Köln warten wir seit über drei Jahren auf die Verhandlung einer Klage, die wir gegen das Gesundheitsministerium eingereicht haben. Anfang September wird sie endlich verhandelt, nachdem wir die ursprüngliche Anfrage ans Ministerium im März 2016 gestellt hatten.

Hätten wir die Ergebnisse der Klage damals etwa journalistisch oder für Forschung nutzen wollen, wäre die Klage absolut nutzlos gewesen. Die Überlastung der Justiz führt dazu, dass das Recht auf Informationsfreiheit vielerorts nicht effektiv in Anspruch genommen werden kann. Wir halten allerdings an der Klage fest, weil wir etwas anders arbeiten: Uns geht es ums Prinzip. Wir glauben, dass Klagen gegen rechtswidrige Ablehnungen alleine schon deswegen wichtig sind, weil falsches Handeln von öffentlichen Stellen sanktioniert werden muss. Im Fall der Klage gegen das Gesundheitsministerium kommt hinzu: Sie ist auch von grundlegender Bedeutung.

Sicher, weil geheim?

Denn vor Gericht steht nicht nur Geheimniskrämerei, sondern auch die Frage, wie mit Sicherheitsproblemen der öffentlichen Infrastruktur umgegangen werden muss. Das Gesundheitsministerium verweigert uns die Herausgabe einer Liste von Domains der Webseiten, die es betreibt. Das Argument der Beamten: Wäre bekannt, welche Domains das Ministeriums betreibt, könnten diese koordiniert angegriffen werden.

Das Prinzip hinter dieser Argumentation ist bekannt als „Security by Obscurity“. Eine Infrastruktur soll dadurch gesichert werden, dass geheim bleibt, wie sie funktioniert. Wir glauben, dass dieses Prinzip nicht funktioniert. Gerade im Fall von Domains gibt es zahllose Wege, diese zu identifizieren. Die Sicherheitsarchitektur des Bundes sollte vielmehr so gestaltet werden, dass ein Angriff auf sie wirkungslos wäre. Sicherheitslücken geheimzuhalten funktioniert nicht. Sie schmälern lediglich das Vertrauen ins Funktionieren der Systeme. Sicherheitslücken müssen behoben werden.

Dazu betreibt die Open Knowledge Foundation die Website https.jetzt, die überprüft, wie sicher Webseiten von Behörden konfiguriert sind. Die Seite zeigt, dass nicht einmal die Hälfte aller Behördenwebsites die Transportverschlüsselung https eingeführt haben, um Besucherinnen der Websites besser zu schützen. Nach dreieinhalb Jahren beschäftigt sich nun auch das Verwaltungsgericht Köln mit dieser Frage, die auch Auswirkungen auf vergleichbare Fälle haben könnte, in denen Informationen mit Verweis auf die innere Sicherheit abgelehnt werden. Besser spät als nie.

Die Verhandlung vor dem Verwaltungsgericht Köln findet statt am 5. September um 11.30 Uhr. Sie ist öffentlich, Eintritt kostenlos!

Um diese und weitere Klagen zu finanzieren, sind wir auf Spenden angewiesen. Am meisten helfen uns Dauerspenden. Bitte unterstütze uns mit monatlich 5 oder 10 oder 20 Euro. Herzlichen Dank!

→ zur Anfrage

→ zur Klage

JBE Rechtsanwälte, Christinenstraße 18719, 10119 Berlin
Verwaltungsgericht Köln
Appellhofplatz

50667 Köln

Vorab per Telefax: 0221 2066-457

Berlin, 4. Oktober 2016

Unser Zeichen: 16-1741

Klage

des Herrn Arne Semsrott, Singerstraße 109, 10179 Berlin,

Prozessbevollmächtigte: JBB Rechtsanwälte,

- Kläger -

Jaschinski Biere Brex| Partnerschaft,

Christinenstr. 18/19, 10119 Berlin,

gegen

die Bundesrepublik Deutschland, vertreten durch das Bundesministe-

rium für Gesundheit Bonn, Rochusstraße 1, 53123 Bonn,

wegen: Informationsfreiheitsgesetz
Streitwert: € 5.000,00

- Beklagte -

JB& Rechtsanwälte
Jaschinski Biere Brexi Partnerschaft mbB

Dr. Martin Jaschinski "
Sebastian Biere '

Oliver Brexl !

Thorsten Feldmann, ıLm. ®
Dr. Till Jaeger ?

Thomas Nuthmann '
Julian Höppner, iM. ?
Robert Weist

Marie Lenz, LLM.

Or, Ansgar Koreng *
Martin Michel

Ur. Lina Bücker

Dr. Carlo Piltz

Dr. Jeannette Viniol, LLM,

1 Fachanwalt für gewerblichen Rechisschulz
2 Fachanwalt für Urheber- und Medienrecht
3 Fachanwalt für informakionstechnolagleresht

Christinenstraße 18.19
10119 Berlin

Tel. +49 30 443 765 0
Fax +49 30443 765 22

Mail koreng@jbb.de
Web www.jbb.de

Sitz der Partnerschaftsgesellschaft: Berlin
Registergericht: AS Charlottenburg, PR 609 B

Berliner Volksbank
IBAN DEI6 1009 0000 5205 2770 08
BIC BEVODEBBEK&K
Wir vertreten den Kläger, ordnungsgemäße Originalvollmacht ist beige-
fügt. Namens und im Auftrag des Klägers erheben wir Klage mit dem An-

trag,

die Beklagte unter Aufhebung des Bescheids vom 13. April
2016, Az. Z 17 - 53/128, in der Fassung des Widerspruchsbe-
scheids vom 6. September 2016, Az. Z 17 - 53/128, zu ver-
pflichten, dem Kläger eine Auflistung aller vom Bundesminis-
terium für Gesundheit registrierten Domains sowie eine Auflis-
tung der registrierten Domains im Geschäftsbereich des Bun-

desministeriums für Gesundheit.

Der Kläger macht gegen die Beklagte einen Anspruch auf Informationszu-

gang nach dem Informationsfreiheitsgesetz des Bundes geltend.

A) Sachverhalt

Der Kläger begehrt eine Liste der vom Bundesgesundheitsministerium

bzw. in seinem Geschäftsbereich registrierten Internet-Domains.

Er möchte anhand der Liste die Domains daraufhin überprüfen, ob dem
Nutzer eine verschlüsselte Verbindung angeboten wird und eine entspre-
chende Statistik erstellen. Dabei geht es dem Kläger vor allem darum, zu
überprüfen, ob das Ministerium dem Bürger sichere Kommunikationswege
anbietet. Der Kläger hält dies deshalb für wichtig, weil unverschlüsselte

Verbindungen ein potentielles Sicherheitsrisiko für den Nutzer darstellen.

Vergleichbare Anfragen hat der Kläger auch bei anderen Behörden gestellt.
Das Bundesministerium für Arbeit und Soziales hat seinem Antrag im Au-
gust 2015 entsprochen und ihm die begehrte Liste (295 Einträge) für des-

sen eigenen Geschäftsbereich zur Verfügung gestellt.

Seite }
Am 11. März 2016 beantragte der Kläger die Übersendung der streitgegen-
ständlichen Informationen. Mit dem angegriffenen Bescheid vom 13. April
2016, Az. Z 17 - 53/128, lehnte die Beklagte den Informationszugang ab.
Hiergegen legte der Kläger am 11. Mai 2016 Widerspruch ein. Der Wider-
spruch wurde mit Widerspruchsbescheid vom 6. September 2016, Az. Z 17
- 53/128, dem Kläger zugestellt am 8. September 2016, zurückgewiesen.

Daher verfolgt der Kläger sein Begehr nun im Klageweg weiter,

B) Rechtliche Würdigung

Die zulässige Klage ist begründet. Der Bescheid vom 13. April 2016, Az. 217
— 53/128, in der Fassung des Widerspruchsbescheids vom 6. September
2016, Az. Z 17 - 53/128, ist rechtswidrig und verletzt den Kläger in seinen
Rechten {8 113 Abs. 5 Satz 1 VwGÖ), soweit der mit E-Mail vom 11. März
2016 begehrte Informationszugang abgelehnt wurde. Der Kläger kann von
dem Beklagten gemäß 8 1 Abs. 1 Satz 1 des Informationsfreiheitsgesetzes
des Bundes (FG) den von ihm mit E-Mail vom 11. März 2016 begehrten

Informationszugang verlangen.

. Anspruchsvoraussetzungen

Nach & 1 Abs. 1 Satz 1 IFG hat „jeder” gegenüber den Behörden des Bundes

einen Anspruch auf Zugang zu amtlichen Informationen.

1. Behörde des Bundes

Bei dem Bundesministerium der Gesundheit handelt es sich um eine Be-
hörde des Bundes im Sinne des Informationsfreiheitsgesetzes. Behörden
sind nach 8 1 Abs, 4 VwVfG alle Stellen, die öffentliche Aufgaben wahr-
nehmen. Dieser Behördenbegriff gilt auch für das IFG (BT-Drs. 15/4493, 5.
7). Demnach sind auch die Bundesministerien Behörden im gesetzlichen
Sinn (BVerwG, Urt. v. 3. November 2011, Az. 7 C 3/11, Rn. 10 - Juris; vgl.
auch Schoch, NJW 2009, 2987, 2989).

Seite 3
2, Amtliche Information

Die mit Email vom 11. März 2016 angefragten Informationen sind auch
„amtliche Informationen” Im Sinne des IFG. Gemäß 5 2 Nr. 1 IFG ist darunter
„jede amtlichen Zwecken dienende Aufzeichnung, unabhängig von der Art
ihrer Speicherung“ (Hervorhebung nur hier) zu verstehen. Darunter wird
man zwanglos auch die Information subsumieren können, welche Domains

vom Ministerium oder in seinem Geschäftsbereich registriert sind,

ll. Nichtvorliegen eines Ausnahmetatbestands

Dem Auskunftsanspruch des Klägers steht auch kein gesetzlicher Ausnah-
metatbestand entgegen. Die Beklagte beruft sich insofern alleine auf den

Ausnahmetatbestand aus & 3 Nr. 1 lit. c IFG („Innere Sicherheit"),

Dieser begründet eine Ausnahme vom Informationszugang, wenn das
Bekanntwerden der Information nachteilige Auswirkungen haben kann auf
Belange der inneren oder äußeren Sicherheit. Nach allgemeiner Auffassung
bezieht sich der Begriff der „inneren Sicherheit” auf 5 92 Abs. 3 Nr. 2 StGB
(vgl. z.B. Roth, in: Berger/Partsch/Roth/Scheel, IFG, 2. Aufl. 2013, 5 3, Rn. 38
m.w.N.). Dieser wird wiederum seit jeher dahingehend verstanden, dass die

innere Sicherheit dann beeinträchtigt ist,

„wenn die Fähigkeit der Bundesrepublik gemindert ist, sich gegen Ein-
griffe von außen her zu wehren oder die Rechtsordnung gegen Störun-

gen von innen her aufrechtzuerhalten”

(sternberg-Lieben, in: schönke/Schröder, StGB, 29. Aufl, 2014, 5 92a, Rn. 15).

Geschützt von 8 3 Nr. 1 lit. c IFG werden dabei nur die nichtmilitärischen
Sicherheitsbehörden des Bundes {Schoch, IFG, 2. Aufl. 2016, 5 3, Rn. 58
m.w.N.. Da das Gesundheitsministerium schon keine Sicherheitsbehörde

ist, ist es vom Schutz des 5 3 Nr. 1 lit. c IFG von vornherein nicht umfasst.

Seite &
Darüber hinaus wäre auch eine konkrete Gefährdungslage erforderlich, um
den Ausschluss des Informationszugangs zu begründen (Schoch, IFG, 2.
Aufl. 2016, & 3, Rn. 64 m.w.N.}. Diese müsste das Ministerium konkret darle-

gen.

Denn nach dem gesetzgeberischen Willen sind die Ausnahmetatbestände
des IFG eng auszulegen (BT-Drs, 15/4493, 5. 9; BVerwG, Beschl. v, 9. No-
vember 2010, Az. 7 B 43/10, Rn. 12 — Juris; OVG Münster, Urt. v. 2. Novem-
ber 2010, Az. 8 A 475/10, Rn. 99 ff. - Juris; VG Frankfurt, Urt. v. 28. Januar
2009, Az. 7 K 4037/07.F, Rn. 37 - Juris).

Dabei liegt die Darlegungs- und Feststellungslast für das Vorliegen von
Umständen, die einen Ausschluss des Informationszugangs begründen, bei
der Behörde (BT-Drs. 15/4493, 5.6). Die Darlegung der Ausschlussgründe
muss dabei „{...) so einleuchtend und nachvollziehbar sein, dass das Vorliegen
von Ausschlussgründen geprüft werden kann {...)" (VG Berlin, Urt. vw. 14. Sep-
tember 2012, Az. ?K 185.11, Rn. 28 - Juris m.w.N..

Daran fehlt es hier. Die reine Information, welche Domains das Ministerium
registriert hat, ermöglicht keinerlei Angriffe auf die IT-Infrastruktur und
erleichtert solche Angriffe auch nicht. Die von dem Ministerium in den
Raum geworfenen Begriffe „DNS-Hijacking" und „DDoS-Angriffe* klingen
zwar interessant, werden vom Ministerium aber wohlweislich nicht näher
substantiiert. Das Ministerium vermag nicht zu erklären, inwiefern die be-
gehrte Information solche Angriffe erleichtern sollte, dazu wäre es aber
verpflichtet. Mangels einer substantiellen Begründung der Verweigerung
des Informationszugangs ist es dem Kläger nicht möglich, hierauf näher

einzugehen,

Es sei aber darauf hingewiesen, dass die US-amerikanische Regierung ein
Portal unterhält, auf dem sämtliche von ihr registrierte Domains aufgelistet
sind. Die Liste kann dort in Tabellenform (Dateiformat „CSV") herunterge-

laden werden. Auch ist zu jeder Domain dort die Information enthalten, ob

Seite 5
eine verschlüsselte Verbindung angeboten wird. Das Portal ist unter der
Adresse „httosy'/pulse.cio.gow/" erreichbar, sofern das Gericht dies für er-
forderlich halten sollte, können wir gerne Screenshots oder Ausdrucke des

Angebots vorlegen.

Dass die US-amerikanische Regierung keinerlei Bedenken dagegen hat, die
Liste der von ihr registrierten Domains nebst der Information, ob eine ver-
schlüsselte Verbindung angeboten wird, zu veröffentlichen, spricht deut-
lich gegen die Einschätzung der Beklagten, wonach dies ein relevantes

Sicherheitsrisiko darstelle.

 

r. Ansgar Koreng

Rechtsariwalt ) f

Re

»elte b
Bild des Autors

Arne Semsrott

Arne ist Journalist und Projektleiter von FragDenStaat.

E-Mail: arne.semsrott@okfn.de (PGP)

Spendenaufruf

Unterstützen Sie unsere Arbeit!

Wir kämpfen für mehr Transparenz in Politik und Verwaltung! Spenden Sie uns! Damit unterstützen Sie unsere Kampagnen, Klagen und Recherchen.

Jetzt spenden!

Erfolgreiche Untätigkeitsklage: NRW-Innenministerium veröffentlicht Gutachten zum Hambacher Forst

Der Druck der Verwaltungsgerichte wirkt: Das Innenministerium hat nach einer Untätigkeitsklage von Daniel Hofinger zwei Gutachten zum Hambacher Forst veröffentlicht. Eine Anwaltskanzlei hatte sie geschrieben, bevor sie dazu beauftragt wurde.