Security by Obscurity: Nach dreieinhalb Jahren vor Gericht

Um welche Anfrage geht es nochmal? Drei Jahre nach Klageerhebung verhandelt das Kölner Verwaltungsgericht endlich über unsere Klage gegen das Gesundheitsministerium. Darin geht es um eine Liste aller Domains der Behörde – und eine Grundsatzfrage der Sicherheit.

Verzögerte Gerechtigkeit ist verweigerte Gerechtigkeit – diese juristische Maxime trifft nicht nur bei Strafverfahren zu. Auch in Gerichtsverfahren um die Informationsfreiheit zeigt sich, dass nicht nur die Ergebnisse zählen, sondern auch, wann sie eintreffen. Beim notorisch überlasteten Verwaltungsgericht Köln warten wir seit über drei Jahren auf die Verhandlung einer Klage, die wir gegen das Gesundheitsministerium eingereicht haben. Anfang September wird sie endlich verhandelt, nachdem wir die ursprüngliche Anfrage ans Ministerium im März 2016 gestellt hatten.

Hätten wir die Ergebnisse der Klage damals etwa journalistisch oder für Forschung nutzen wollen, wäre die Klage absolut nutzlos gewesen. Die Überlastung der Justiz führt dazu, dass das Recht auf Informationsfreiheit vielerorts nicht effektiv in Anspruch genommen werden kann. Wir halten allerdings an der Klage fest, weil wir etwas anders arbeiten: Uns geht es ums Prinzip. Wir glauben, dass Klagen gegen rechtswidrige Ablehnungen alleine schon deswegen wichtig sind, weil falsches Handeln von öffentlichen Stellen sanktioniert werden muss. Im Fall der Klage gegen das Gesundheitsministerium kommt hinzu: Sie ist auch von grundlegender Bedeutung.

Sicher, weil geheim?

Denn vor Gericht steht nicht nur Geheimniskrämerei, sondern auch die Frage, wie mit Sicherheitsproblemen der öffentlichen Infrastruktur umgegangen werden muss. Das Gesundheitsministerium verweigert uns die Herausgabe einer Liste von Domains der Webseiten, die es betreibt. Das Argument der Beamten: Wäre bekannt, welche Domains das Ministeriums betreibt, könnten diese koordiniert angegriffen werden.

Das Prinzip hinter dieser Argumentation ist bekannt als „Security by Obscurity“. Eine Infrastruktur soll dadurch gesichert werden, dass geheim bleibt, wie sie funktioniert. Wir glauben, dass dieses Prinzip nicht funktioniert. Gerade im Fall von Domains gibt es zahllose Wege, diese zu identifizieren. Die Sicherheitsarchitektur des Bundes sollte vielmehr so gestaltet werden, dass ein Angriff auf sie wirkungslos wäre. Sicherheitslücken geheimzuhalten funktioniert nicht. Sie schmälern lediglich das Vertrauen ins Funktionieren der Systeme. Sicherheitslücken müssen behoben werden.

Dazu betreibt die Open Knowledge Foundation die Website https.jetzt, die überprüft, wie sicher Webseiten von Behörden konfiguriert sind. Die Seite zeigt, dass nicht einmal die Hälfte aller Behördenwebsites die Transportverschlüsselung https eingeführt haben, um Besucherinnen der Websites besser zu schützen. Nach dreieinhalb Jahren beschäftigt sich nun auch das Verwaltungsgericht Köln mit dieser Frage, die auch Auswirkungen auf vergleichbare Fälle haben könnte, in denen Informationen mit Verweis auf die innere Sicherheit abgelehnt werden. Besser spät als nie.

Die Verhandlung vor dem Verwaltungsgericht Köln findet statt am 5. September um 11.30 Uhr. Sie ist öffentlich, Eintritt kostenlos!

Um diese und weitere Klagen zu finanzieren, sind wir auf Spenden angewiesen. Am meisten helfen uns Dauerspenden. Bitte unterstütze uns mit monatlich 5 oder 10 oder 20 Euro. Herzlichen Dank!

 

→ zur Anfrage

→ zur Klage

 

Bild des Autors

Arne Semsrott

Arne ist Journalist und Projektleiter von FragDenStaat.

E-Mail: arne.semsrott@okfn.de (PGP)

Spendenaufruf

Unterstützen Sie unsere Arbeit!

Wir kämpfen für mehr Transparenz in Politik und Verwaltung! Spenden Sie uns! Damit unterstützen Sie unsere Kampagnen, Klagen und Recherchen.

Jetzt spenden!

Erfolgreiche Untätigkeitsklage: NRW-Innenministerium veröffentlicht Gutachten zum Hambacher Forst

Der Druck der Verwaltungsgerichte wirkt: Das Innenministerium hat nach einer Untätigkeitsklage von Daniel Hofinger zwei Gutachten zum Hambacher Forst veröffentlicht. Eine Anwaltskanzlei hatte sie geschrieben, bevor sie dazu beauftragt wurde.