Der folgende Artikel des Vorsitzenden Richters am LG Kiel Ziemann (zugleich IT-Referent des LG Kiel) erschien in SchlHA 2006, S. 39 ff.. Der Nachdruck erfolgt mit freundlicher Genehmigung der Schleswig-Holsteinischen Anzeigen und des Autors. Der Artikel beschreibt die technische EDV-Situation mit ihren rechtlichen Folgen in Schleswig-Holstein. Da Hamburg genauso wie Schleswig-Holstein an Dataport angebunden angebunden ist (vgl. hierzu kritisch Hirth, MHR 4/2003, 6), sind die Ausführungen Ziemanns auf Hamburg übertragbar. Daran ändert sich nichts durch ein paar landesspezifische Begriffe wie z.B. „Ikotech“ oder „Landessystemkonzept“. Wegen der gemeinsamen Kritik an den gemeinsamen EDV-Strukturen werden der Hamburgische Richterverein und der Richterverband Schleswig-Holstein konzertiert vorgehen.

die Redaktion

Migration: wohin?

Einige Zwischenbemerkungen

zur Gestaltung der IT-Landschaft

Anders als der Titel vielleicht vermuten lässt, sollen hier nicht die Vor- oder Nachteile einer multikulturellen Gesellschaft erörtert werden. Wenn im IT-Bereich, um den es hier geht, von Migration - gar von sanfter Migration - die Rede ist, so ist der Übergang von der bisher in der Justiz des Landes verwendeten WindowsNT-Technik in die technisch neue Welt des Windows 2003 Servers gemeint. Mit dem Attribut „sanft“ ist die Vorstellung verbunden, dass der Übergang in technischen Einzelschritten und unter Beibehaltung der Arbeitsfähigkeit auch in der Migrationsphase erfolgen soll.

Wer an seinem Arbeitsplatz mit dem bisherigen System gearbeitet und sich darin zurecht gefunden hat, wird vielleicht fragen, warum ein Wechsel erforderlich ist, da doch augenscheinlich alles recht gut lief. Das trifft im Wesentlichen auch zu. Aber die Technik ist nicht stehen geblieben. Der bisher verwendeten Systemsoftware MS Windows NT 4.0 mit ihrem Master/Domänenmodell ist das „Active Directory“-Modell des Servers MS Windows 2000 und inzwischen 2003 gefolgt. Die Firma Microsoft, auf deren Produkte die bisherige Struktur ausschließlich abgestellt ist (und auch künftig abgestellt werden soll), wird die WinNT-Produkte in Zukunft nicht weiter pflegen. Sie hat deshalb die Zusammenarbeit mit den Hardware-Herstellern für dieses Produkt „abgekündigt“. Als Folge davon hat auch die Firma Siemens ihre Unterstützung für NT „abgekündigt“, deren Hardware die IT-Struktur des Landes über die frühere Datenzentrale SH und jetzige mit der Freien und Hansestadt Hamburg gemeinsam betriebene Anstalt öffentlichen Rechts Dataport allein bedient. Auch die Firma Siemens wird in Zukunft weder Garantie- noch Unterstützungsleistungen für neu gelieferte Server und Rechner erbringen, die noch mit NT betrieben werden.

I. Dass eine Migration stattzufinden hat, ist demnach unausweichlich. Es stellt sich aber die Frage, wohin migriert werden soll.

Aus technischer Sicht besteht nämlich durchaus die Möglichkeit, die Rechner in allen Dienststellen des Landes und der Kommunen nach einheitlichen Grundsätzen eines Landessystemkonzepts - bekannt geworden unter dem Begriff „Ikotech“ - zusammenzufassen und sie über ein einziges landesweites Active Directory zu verwalten. Das würde dann auch für die etwa 4.000 Rechner gelten, die jetzt im Justiznetzverbund betrieben werden und insgesamt zu einer Struktur führen, in welcher bis zu 60.000 Arbeitsplatzrechner von einer Stelle aus verwaltet werden würden. Auf den ersten Blick lässt eine solche zentralistische Struktur Gedanken an Einsparungen im Hardware-, aber auch im Personalbereich (örtliche und überörtliche Systembetreuung) aufkommen und dürfte daher aus der Sicht eines Landesfinanzministers durchaus reizvoll erscheinen. Andererseits ist die Euphorie auf Seiten der IT-Verantwortlichen und Anwender insbesondere - aber keineswegs nur - im Bereich der Justiz eher gering ausgeprägt. Worum geht es und aus welchen Gründen kommt dabei der Finanzminister ins Spiel?

Dass eine IT-Maßnahme dieses Ausmaßes nicht ohne Beteiligung des Finanzministers durchgeführt werden kann, ergibt sich schon aus der einfachen Tatsache, dass ihm die Rolle zufällt, das Geld für ihre Durchführung zu Verfügung zu stellen.

Es kommt aber hinzu, dass für die gesamte Landesverwaltung - früher unter Federführung des Innenministeriums, heute des Finanzministeriums - das sog. Landessystemkonzept (LSK) erarbeitet worden ist, mit dem Ziel einer Standardisierung der Technik und möglichst weitgehender gemeinsamer IT-Verwaltung. Mit Kabinettsbeschluss vom 26. Januar 1999 war das Innenministerium mit der Entwicklung eines IT-Leitstellenkonzepts für die gesamte Landesverwaltung beauftragt worden. Damit wurde unter anderem eine Zentralisierung von Aufgaben im IT-Bereich angestrebt. Ein Ergebnis dieser Arbeit ist das Landessystemkonzept mit den Projekten „Landesnetz“ (Fertigstellung 2002), „IT-Organisation“ sowie „Systemtechnik/Standardisierung“, die zum „IkotechIII-Standard“ geführt hat. Dieser bildet den informationstechnischen Stand in allen öffentlichen Dienststellen des Landes mit Ausnahme der Justiz und der Finanzverwaltung. Im Bereich der Gerichte kam eine Umsetzung bisher schon deshalb nicht in Betracht, weil die hier verwendeten Programme wie z.B. Mega wegen ihrer veralteten Softwaretechnik (Stand MS-Office 1995) dieses nicht zulassen. Die inzwischen eingeleiteten Arbeiten der Justiz an der Modernisierung ihrer Programme lassen diese Hürde allerdings entfallen.

Mit dem - rechtlich bedenklich weit gefassten - Organisationserlass der damaligen Ministerpräsidentin über die Geschäftsverteilung der Landesregierung vom 8. Juli 2003 (Amtsbl. Schl.-H. 2003, 422) wurde die Zuständigkeit für den gesamten landesweiten IT-Bereich auf das Finanzministerium übertragen. Dieses ist also federführend in Sachen Landessystemkonzept. Das LSK sieht mit dem Ikotech III-Standard eine Zentralisierung durch den landesweiten Verzeichnisdienst des Active Directory vor, der durch Dataport technisch betrieben wird.

II. Um die Frage beantworten zu können, worum es technisch geht, ist es erforderlich, sich daran zu erinnern, wie ein solches Netzwerk aufgebaut ist. Es gibt darin grundsätzlich zwei Arten von Rechnern, nämlich einerseits den Arbeitsplatzrechner des einzelnen Anwenders (Workstation, Client) und andererseits Server. Der Arbeitsplatzrechner erleichtert uns unsere Arbeit durch Programme und Anwendungen. Aufgabe der Server ist die Bereitstellung von Diensten im Netz, wie etwa die Benutzerverwaltung, die zentrale Speicherung von Daten, Druckdienste oder auch der Zugang zum Internet.

Der Verwaltungsaufbau im Active Directory ist mehrstufig und hierarchisch. Von der zuerst eingerichteten Domäne aus wird das Active Directory gelenkt. Sie wird deshalb als „Root-Domäne“ bezeichnet, der alle weiteren Domänen nachgeordnet sind. Diese bilden die Ebene, auf der sich die Anwender anmelden, wenn sie im Netz arbeiten wollen. Innerhalb der Domänen sind als Unterverwaltungseinheit Sub-Domains möglich. Alternativ zu den untergeordneten Domänen können sogenannte Organisationseinheiten (OUs, Organizational Units) verwendet werden. Der Hersteller Microsoft hatte den Domänen eigentlich eine höhere Sicherheit und Eigenständigkeit zugedacht. Mittlerweile räumt die Fa. Microsoft aber ein, dass es nur marginale Unterschiede zwischen Domänen und Organisationseinheiten gibt. Letztere bieten keine Sicherheitsgrenzen, sondern lediglich Verwaltungsgrenzen.

Auch die Verteilung von Berechtigungen erfolgt im Active Directory von oben nach unten. Ohne Berechtigung kann ein Anwender kein Programm ausführen. Die Berechtigungen werden über Gruppenrichtlinien verwaltet, die ein Element der Steuerung des Active Directory sind. Dabei haben zwar zunächst lokal erstellte Gruppenrichtlinien Vorrang vor den auf einer höheren Organisationsebene eingerichteten. Getreu dem Grundsatz, dass nur einer das Sagen haben kann, kann dieser Vorrang aber auf der obersten Verwaltungsebene vom Organisationsadministrator aufgehoben werden, der insgesamt die Herrschaft über das Netz hat. Auf diese Weise ist ihm technisch nicht nur der Zugriff auf die Domänen-Controller möglich, also auf die Server, mit denen die Verwaltung der Domäne erfolgt. Er kann vielmehr auch den Besitz über alle Elemente und Ressourcen in den Domänen übernehmen und so zum Beispiel grundsätzlich sämtliche im Netz gespeicherten Dokumente einsehen. Eine technische Kontrolle von unterer Ebene, die dieses verhindern könnte, gibt es nicht. Damit kann der Organisationsadministrator nicht nur die Bedingungen bestimmen, unter denen im gesamten Netz gearbeitet werden kann, er hat prinzipiell auch jederzeit Einblick in alles, was dort geschieht. Grob gesagt folgt daraus, wer im Active Directory an der Spitze der Hierarchie steht - also der oberste Administrator ist - kann nicht nur vorschreiben, wer was im Netz darf und insbesondere nicht darf - zum Beispiel welche Programme benutzt werden können -, sondern er hat auch Zugriff auf alles im Netz bis hinunter auf die letzte Datei auch auf dem Arbeitsplatzrechner jedes Anwenders, egal ob Richterin oder Schreibkraft, Präsident oder Richterrat. Übertragen auf das Landessystemkonzept wäre diese Stelle technisch bei der Mehrländeranstalt Dataport angesiedelt.

Eine weitere nicht ganz unwichtige Besonderheit ergibt sich u.a. aus der Schwäche des physikalischen Netzes, in welchem ein landesweit betriebenes Active Directory in Schleswig-Holstein betrieben werden müsste. Um bei der zu erwartenden hohen Datenmenge die Performance, also zum Beispiel die Geschwindigkeit der Arbeitsabläufe, erträglich zu gestalten, werden an allen Standorten Domänencontroller als Übergabeserver benötigt. Diese enthalten das gesamte Wissen der Domäne und Teile des Wissens der Gesamtstruktur, darunter in der Datei „SAM - ntds.dit“ die benutzerspezifischen Daten - Benutzerkennungen, Passwörter - aller Anwender und Administratoren im gesamten Netz in verschlüsselter Form. Es liegt auf der Hand, welche Gefahren sich daraus ergeben, wenn es einem Unbefugten gelingt, sich den Zugriff zu einem solchen Server zu verschaffen und welches Sicherheitsproblem damit verbunden ist. Über den mit einem Nachschlüssel in ein Gerichtsgebäude eindringenden Delinquenten alter Art, der sich dort auf die Suche nach seiner Strafakte machte, wird man aus dieser Sicht nur müde lächeln können.

III. Betrachtet man diese Ausgangslage, so ergeben sich aus der Sicht der Justiz folgende Fragen:

• Entspricht es der rechtlichen Stellung und dem Selbstverständnis der Justiz als dritter Gewalt, sich - wie die Exekutive - einem solchen System anzuschließen?

• Würde darin den berechtigten Sicherheitsbedürfnissen der Justiz hinreichend Rechnung getragen?

• Wäre es technisch möglich, ausreichend und finanziell vertretbar, wenn die oberste Spitze des Active Directory nicht bei Dataport sondern (wenigstens nur) im Justizministerium läge?

Diese Fragen werden zu Zeit innerhalb der Justiz übrigens sehr weitgehend einverständlich mit dem IT-Referat des MJAE erörtert. Nach einer nun schon mehrjährigen Diskussion und einem vom Ministerium organisierten sehr informativen Workshop im November 2004 ist eine Lenkungsgruppe gebildet worden, die sich aus IT-Referenten aller Gerichtszweige und des Generalstaatsanwalts, Mitgliedern der Personalvertretungen beim MJAE und Datenschutzbeauftragten zusammensetzt. Diese sollen die Gerichtspräsidenten einerseits und die Hausspitze des MJAE andererseits im Hinblick auf die anstehende Entscheidung in Sachen Migration beraten.

Es wird nicht verwundern, dass aus der Sicht eines Richters die zuerst genannte Frage von besonderer Bedeutung ist.

Sie stellt die Frage nach der Verfassungswirklichkeit im Verhältnis der Gewalten zueinander. Allerdings ist sie weder neu, noch wird sie im Zusammenhang mit zentraler IT-Verwaltung allein in unserem Bundesland diskutiert. Die bei dem genannten Workshop vom November 2004 anwesenden Mitarbeiter der Fa. Microsoft haben das berichtet und die Kontakte der Richterverbände bestätigen das bundesweit. Dabei ist klar, dass es eine ungebrochene Trennung der Gewalten im Sinne einer reinen Lehre des Art. 20 Abs. 2 GG nicht geben kann und nie gegeben hat. Eine notwendige Verschränkung der Gewalten im Bereich der Justiz folgt schon daraus, dass auch Justiz verwaltet werden muss, jedenfalls solange eine selbstverwaltete Justiz noch in weiter Ferne liegt.

Das bedeutet aber andererseits auch nicht, dass „Gerichte auch nur Verwaltung“ wären und die Trennung der Gewalten nur etwas für schöne Reden aus feierlichen Anlässen. Auch wenn die Organisation der Gerichtsverwaltung eine Schnittstelle zwischen Exekutive und Judikative darstellt, so kommt ihr doch spezifische Bedeutung für die grundgesetzlich geforderte Verwirklichung der Rechtsweggarantie, des Prinzips des Rechtsstaats und der Gewaltenteilung zu. Soweit Justiz zu verwalten ist, wird dies daher vordringlich im eigenen Hause zu geschehen haben und einerseits die Organisationshoheit der Ressorts auch im IT-Bereich nicht auf Null schrumpfen dürfen. Andererseits wird das Verhältnis der beiden Gewalten unter dem Dach des Justizministeriums auch zu größtmöglicher gegenseitiger Rücksichtnahme zwingen, wenn beide ihren Aufgaben in der vom Grundgesetz vorgesehenen Zuweisung gerecht werden wollen. Dabei hat sich die Verwaltung an dem wichtigsten Auftrag der Justiz auszurichten, nämlich eine unabhängige Rechtsprechung zu gewährleisten und zu unterstützen. Ihre Aufgabe ist die Ermöglichung dieses Auftrags der Gerichte durch ausreichende und geeignete personelle sowie sachliche Mittel. Dagegen hat sie sich jeder Einflussnahme auf die Rechtsprechung zu enthalten. Jede auch nur mittelbare Einflussnahme auf richterliche Tätigkeit ist nach Art. 92, 97 GG untersagt.

Diese richterliche Tätigkeit ist heute ohne IT-Unterstützung dank der in Schleswig-Holstein bundesweit vorbildlichen Ausstattung mit Hard- und Software kaum noch denkbar. Das ist eine auch wirtschaftlich gesehen sehr erfreuliche Frucht der jahrelangen Bemühungen, nicht nur den Nachfolgebereich, sondern auch die Richterinnen und Richter an die Arbeit mit dem vernetzten PC heranzuführen, um Arbeitsabläufe innerhalb der Gerichte effektiver zu gestalten. Die Richterschaft macht sich inzwischen sehr weitgehend die Möglichkeiten und Vorteile der Informationstechnik auf dem Weg zur Entscheidung zu Nutze. Für viele - insbesondere, aber keineswegs nur Jüngere - ist das selbstverständlich geworden und nicht mehr eine Frage des Ob, sondern des Wie und allenfalls Wie Viel. Wenn deshalb heute das EDV-Netz eines Gerichts wegen einer Störung ausfällt, so hat das unmittelbare Folgen nicht nur im Bereich der Serviceeinheiten, sondern auch an sehr vielen Richterarbeitsplätzen: Ohne IT-Unterstützung geht auch dort nichts mehr.

Aus dieser Sicht ist es verfassungsrechtlich schon nicht ganz unproblematisch, wenn auf die Art und Weise richterlicher Arbeit und ihre Durchführung durch Maßnahmen der IT-Verwaltung - im Wesentlichen durch nichtrichterliches Personal - deutlicher Einfluss ausgeübt werden kann. Die Grenze dürfte aber dort überschritten sein, wo über Ressortgrenzen hinweg durch justizfremde Personen Arbeitsbedingungen des richterlichen Arbeitsplatzes bestimmt werden und - auch nur theoretisch - die Möglichkeit besteht, Zugriff auf richterliche Dateien zu nehmen. Darf Verwaltung unter der Regie des Finanzministeriums über eine Mehrländeranstalt öffentlichen Rechts ohne Verstoß gegen das Prinzip der Gewaltenteilung nach Art. 20 Abs. 2 GG in derart wesentlicher und tiefgehender Weise in die Arbeit der Gerichte eingreifen? Die Frage dürfte zu verneinen sein.

Neben dem verfassungsrechtlichen Aspekt stellt sich aber auch die Frage nach dem Schutz richterlicher Daten und Dateien. Tatsächlich fällt es auch heute schon mancher Richterin und manchem Richter nicht leicht hinzunehmen, dass seine Dateien - etwa dem Beratungsgeheimnis unterliegende Richtervoten oder Berichterstattervermerke in einem laufenden umfangreicheren Strafverfahren - nicht nur von den örtlichen, sondern auch von Administratoren des Justizministeriums eingesehen werden können. Das gilt jedenfalls dann, wenn die Dateien nicht besonders verschlüsselt sind, was wegen der notwendigen Zusammenarbeit innerhalb von Spruchkörpern und mit den Nachfolgediensten mit den derzeit zur Verfügung stehenden Mitteln praktisch kaum handhabbar ist.

Dabei sind aber die auf der örtlichen Ebene als Administratoren eingesetzten Mitarbeiter bekannt und genießen deshalb Vertrauen. Sie unterliegen zudem dem unmittelbaren dienstrechtlichen und notfalls disziplinarischen Zugriff innerhalb der Justiz. Mindestens das Letztere gilt auch für die Administratoren auf der Ebene des Justizministeriums. Dass von Mitarbeitern der Mehrländeranstalt Dataport, auch wenn diese vom Finanzministerium des Landes Schleswig-Holstein geführt wird, von vorn herein Verständnis für die Bedürfnisse richterlicher Arbeit aufgebracht werden würde, ist für viele nicht selbstverständliche Gewissheit. Das gilt sowohl in Hinblick auf richterliche Arbeitszeiten und IT-Verfügbarkeit als auch zum Beispiel auf die Notwendigkeit des Einsatzes von ihm individuell verwendeter IT-gestützter juristischer Arbeitsmittel, deren Einsatz an zentral aufgestellten Gruppenrichtlinien scheitern könnte.

Für die Frage des Datenschutzes ist auch die Größe des zu verwaltenden Verzeichnisdienstes durchaus von Bedeutung. Auf die sicherheitstechnische Problematik der an jedem Standort benötigten Übergabeserver wurde bereits hingewiesen. Die Vielzahl der landesweit verteilten Standorte lässt berechtigte Zweifel daran aufkommen, ob diese etwa auch an kleineren oder abgelegenen Dienststellen unter den auch von der Firma Microsoft für erforderlichen gehaltenen Sicherheitsbedingungen aufgestellt und gehalten werden können. Dabei dürfte einleuchten, dass eine geringere Zahl an Standorten auch eine größere Sicherheit für die Einhaltung dieser Standards und deren Überwachung bietet, zumal das Verständnis für Fragen der Datensicherheit nicht überall gleich gut entwickelt zu sein scheint. Wegen der auf den Übergabeservern vorhandenen Informationen ist das aber keineswegs nur eine Frage der örtlichen Datensicherheit. Auch allein für den Bereich Justiz wird es eine ständige Herausforderung bleiben, für Sicherheit in diesem Bereich Sorge zu tragen. Hinzu kommt aber auch, dass offenbar fehlerhafte Einstellungen, die in einer Subdomäne vorgenommen werden, ein gesamtes Active Directory schädigen können. Auch das lässt aus Sicherheitsgründen die Beschränkung der Größe eines Active Directory auf ein überschaubares Maß mindestens als ratsam erscheinen. Als Mitglied in einem landesweiten Active Directory hätte die Justiz keinen Einfluss auf die übrigen Teilnehmer - landesweit alle Behörden und Gebietskörperschaften - als Subdomänen oder OUs. Aus der Sicht der Justiz dürften sich daraus nahezu unkalkulierbare Sicherheitsrisiken ergeben.

IV. Bei all diesen kritischen Anmerkungen stellt sich die Frage nach einer Alternative: Gibt es eine technische und finanziell verantwortbare Art der Migration, welche die Vorteile des technischen Fortschritts nutzbar macht und eine Verbindung zum Landessystemkonzept mit auch einem aus der Sicht der Gerichte hinnehmbaren Grad an Sicherheit bietet?

Nach dem Ergebnis des Workshops vom November 2004 kann die Antwort auf diese Frage befriedigend gelöst werden. Danach ist es technisch möglich, zwei eigenständige Active Directories über eine Brücke zu verbinden, die den unerwünschten Zugriff von einer Seite aus verhindert, aber gewünschten Austausch zulässt. Das Werkzeug dazu stammt ebenfalls von der Firma Microsoft und heißt „Microsoft Identity Integration Server (MIIS)“. Mit Hilfe dieses seit Sommer 2004 verfügbaren Tools werden zum Beispiel die getrennten Verzeichnisdienste der Freien und Hansestadt Hamburg und des Landes Schleswig-Holstein über Dataport verbunden. Würde auf diese Weise ein vom Justizministerium verwaltetes Active Directory für den Bereich der Gerichte mit einem weiteren, bei Dataport angesiedelten landesweiten Active Directory für die Dienststellen der Verwaltung verbunden, so wäre das nach bisherigen Kostenschätzungen nicht nur weitaus billiger als eine Migration der Justiz in das Landessystemkonzept. Es würde auch der verfassungsrechtlichen Situation und dem Selbstverständnis der Justiz als Dritter Gewalt sowie ihren Sicherheitsinteressen gerecht werden. Die Justiz bliebe Herrin ihrer Daten.

Frank Ziemann