JurPC Web-Dok. 149/1999 - DOI 10.7328/jurpcb/1999148139

Helmut Rüßmann*

Zu den Sicherheitsanforderungen für elektronisch geführte Grundbücher (Teile 1 - 3)(1)

JurPC Web-Dok. 149/1999, Abs. 1 - 144


Inhaltsverzeichnis

A.Literaturverzeichnis

B.Einleitung

C.Konzeption der Studie

D.Stand der Diskussion: SigG oder individuelle Gestaltung

E.Rechtliche Beurteilung

I.Auszugrenzende Fragestellungen

1.Physikalische Absicherung des Projektes (Hardwaresicherheit)
2.Datentransportsicherheit Client/EGB und EGB/Security Server

II.Abgrenzung zur Frage der "datentechnischen Sicherheit"

III.Anforderungen an die Absicherung der elektronischen Grundbucheinträge

1.Rechtsgrundlagen
2.Grundsätzliche Zulässigkeit einer Abweichung vom Verfahren des SigG
3.Anforderung an das Verfahren nach der GBO, GBV

a.Anforderungen aus dem SigG
b.Anforderungsprofil nach § 75 GBV

(1)Aufbau und Elemente des EGB
(2)Vornahme durch zuständige Person
(3)Elektronische Unterschrift im Sinne des § 75 S. 2 GBV
(4)Kryptographisches Verfahren
(5)Regelungstechnik - "soll"-Vorschrift
(6)Überprüfbarkeit durch die zuständige Stelle

c.Vereinbarkeit der diskutierten Lösungsvarianten mit § 75 GBV

(1)Lösungsvariante 1 - als elektronische Unterschrift fungiert der Hashwert über den Text der Eintragung, den Namen in Klarschrift und den Datumszusatz
(2)Lösungsvariante 2 - als elektronische Unterschrift fungiert die digitale Signatur über den Hashwert aus dem Text der Eintragung, dem Namen in Klarschrift und dem Datumszusatz (softwarebezogener Signaturschlüssel)
(3)Lösungsvariante 3 - als elektronische Unterschrift fungiert die digitale Signatur über den Hashwert aus dem Text der Eintragung, dem Namen in Klarschrift und dem Datumszusatz (personenbezogener Signaturschlüssel)
(4)Zwischenergebnis

4.Bewertung der Sicherheitsarchitektur
Anforderungen aus § 64 GBV

(1)Sicherheitsgrundfunktionen nach § 64 Abs. 2 GBV

(i)Identifikation, Authentisierung, Berechtigungsverwaltung und Berechtigungsprüfung, §§ 64 Abs. 2 Nr. 1 bis 3, 65 GBV
(ii)Beweissicherung und Wiederaufbereitung, § 64 Abs. 2 Nr. 4 und 5 GBV
(iii)Fehlermeldung, § 64 Abs. Nr. 7GBV
(iv)Übertragungssicherheit, § 64 Abs. 2 Nr. 8 GBV
(v)Unverfälschtheit, § 64 Abs. 2 Nr. 6 GBV
(vi)Allgemeine Vorschriften betreffend die Systemsicherheit
(vii)Sicherheitsanforderungen an das Prüfverfahren
(viii)Verfahren nach dem SigG als möglicher Standard
(ix)Zwischenergebnis

(2)Zertifizierungsinstanz

(i)Infrastrukturelle Voraussetzungen
(ii)Sicherheitskonzept
(iii)Technische Voraussetzungen

5.Vergleich der Lösungsalternativen

a.Angriff durch Sachbearbeiter
b.Schutz vor Systemfehlern
c.Angriff durch Außenstehende
d.Angriff durch Systemadministratoren

F.Zusammenfassung der Ergebnisse

A. Literaturverzeichnis

Demharter, Johann

Grundbuchordnung, 22. Auflage C. H. Beck, München 1997.

Erber-Faller, Sigrun

Zweites Forum Elektronischer Rechtsverkehr der Bundesnotarkammer am 03.06.1995 in Berlin, NJW 1996, 305 ff.

Geis, Ivo

Europäische Aspekte der digitalen Signatur und Verschlüsselung, MMR 1998, 236 ff.

Grieser, Franz, Irlbeck, Thomas

Computer-Lexikon – Nachschlagewerk zum Thema EDV, C. H. Beck, München 1993.

Holzer, Johannes

Das Registerverfahrenbeschleunigungsgesetz, NJW 1994, 481 ff.

Koch, Frank A.

Internet-Recht: Praxishandbuch; mit dem neuen Medien- und Telediensterecht, Checklisten und Musterverträgen, R. Oldenburg, München 1998.

Koch, Hans-Joachim, Rüßmann, Helmut

Juristische Begründungslehre, C. H. Beck, München 1982.

Kuner, Christopher

Das Signaturgesetz aus internationaler Sicht, CR 1997, 643 ff.

Larenz, Karl, Canaris, Claus-Wilhelm

Methodenlehre der Rechtswissenschaft, Springer Berlin, 3. Auflage 1995.

Loewenheim, Ulrich, Koch, Frank A.

Praxis des Online-Rechts, WILEY-VCH, Weinheim 1998.

Meikel-Ebeling

Grundbuchrecht, Sonderband: Neue Bundesländer, Grundbuchverfügung, Wohnungseigentum, 1995.

Palandt-Verfasser

Bürgerliches Gesetzbuch, 57. Auflage, C. H. Beck, München 1998.

Raßmann, Steffen

Elektronische Unterschrift im Zahlungsverkehr, CR 1998, 36 ff.

Roßnagel, Alexander

Die Sicherheitsvermutung des Signaturgesetzes, NJW 1998, 3112 ff.

Roßnagel, Alexander

Offene Rechtsfragen des Signaturgesetzes, MMR 1998, 75 ff.

Roßnagel, Alexander

Elektronische Signaturen in Europa – Der Richtlinienvorschlag der Europäischen Kommission, MMR 1998, 331 ff.

Rumjanzew, Andrej

Elektronische Unterschrift nach dem neuen Russischen Zivilgesetzbuch, CR 1997, 646 ff.

Schindler, Werner

Sicherheitsaspekte der elektronischen Unterschrift, K & R 1998, 433 ff.

Schmidt-Räntsch, Jürgen

Das EDV-Grundbuch, VIZ 1997, 83 ff.

JurPC Web-Dok.
149/1999, Abs. 1

B. Einleitung

Das folgende Gutachten wurde im November 1998 im Auftrage des Justizministeriums von Mecklenburg-Vorpommern zu dem Teilprojekt "Elektronische Unterschrift" im Projekt "Elektronisches Grundbuch" (EGB) erstellt, weil die unterschiedlichen Interpretationen von technischen Realisierungsmöglichkeiten einerseits und die Erfüllung der rechtlichen Vorgaben, insbesondere aus dem Registerverfahrenbeschleunigungsgesetz und dem Signaturgesetz, andererseits zu Verunsicherungen und andauernden Diskussionen bei der Konzepterstellung führten. Abs. 2
Das Projekt EGB basiert auf einer Länderkooperation von Mecklenburg-Vorpommern mit den Landesjustizverwaltungen von Schleswig-Holstein und Brandenburg zur Eigenentwicklung eines entsprechenden Anwendungssystems. Abs. 3
Grundlegende Eckdaten sind:
  • die Kombination von dezentralen Local Area Networks (LAN's) auf PC-Basis mit mittlerer Datentechnik und Großrechnern in der Zentrale in einer Client/Server-Anwendung,
  • die zentrale Verwaltung aller Daten in einem Rechenzentrum, auf denen über eine Wide Area Network (WAN)-Verbindung online gearbeitet wird,
  • die ausschließliche Verwendung von CI-Daten.
Abs. 4
Damit sollten u.a. folgende Vorteile erzielt werden:
  • optimale Arbeit mit den Daten hinsichtlich Adressierung und Volumina,
  • Wegfall von Sicherheitsrisiken in der dezentralen Datenpflege,
  • Einsatz von rechenzentrumsgestützten Verfahren für Backup/Recovery,
  • zentrale Einwahl, Kontrolle und Statistik der externen Abrufe.
Abs. 5
Die Funktion der externen Auskunft ist auf Basis gesicherter Internettechnologien konzipiert. Damit sollen u.a. bestehende bzw. im Aufbau befindliche sichere Übertragungstechologien nutzbar gemacht und Aufwendungen der Landesjustizverwaltungen für die Pflege und Wartung proprietärer Zugangssoftware vermieden werden. Abs. 6
Das Gutachten überprüft eine Studie mit dem Titel "Elektronische Unterschrift im Projekt Elektronisches Grundbuch" vom 19.06.1998 (nachfolgend kurz Studie genannt) mit Blick auf die Vereinbarkeit der vorgeschlagenen Lösung mit den rechtlichen Anforderungen an die Sicherungsarchitektur. Die Überprüfung richtet sich vor allem darauf,
  • die Studie bezüglich ihrer rechtlichen Basis (insbesondere § 75 GBV, § 126 GBO, Verbindung zu SigG und BSI-Anforderungen) auf Konformität und
  • bezüglich der technischen Realisierung auf Machbarkeit unter den für das EGB besonders wichtigen Anforderungen an Nachhaltigkeit und Sicherheit
zu durchleuchten.
Abs. 7
Grundlage der Begutachtung sind gleichermaßen die Erweiterungen, die in das Konzept im Zuge der Auseinandersetzung um eine Lösung zwischen den Beteiligten eingeflossen sind. Die einbezogenen Veränderungen sind einer Präsentation im Rahmen der Projektberatungen entnommen.Abs. 8
Dem Gutachter standen neben der Studie die folgenden Unterlagen zur Verfügung:
  • Stellungnahme des Landesbeauftragten für den Datenschutz in Mecklenburg-Vorpommern vom 02.07.1998;
  • Stellungnahme des Landesbeauftragten für den Datenschutz des Landes Schleswig-Holstein vom 14.07.1998;
  • Tagungsunterlagen und Protokoll der Projektberatung vom 25.09.1998;
  • Stellungnahme zu den Rechtsgrundlagen der elektronischen Unterschrift im Sinne von § 75 GBV, Karin Schütt vom 24.08.1998;
  • Stellungnahme zu den Sicherheitsaspekten der Studie von Oliver Dallek vom 14.09.1998.
Abs. 9
Das Gutachten verwendet den Begriff der digitalen Signatur, wenn Authentizität gemeint ist, die in einem Verfahren nach dem SigG erreicht wird. Soweit mit Hilfe anderer Verfahren Schutz vor unbemerkten Inhaltsänderungen sichergestellt werden soll, wird der Begriff der elektronischen Unterschrift gebraucht. Abs. 10

C. Konzeption der Studie

Die Studie stellt eine Sicherheitskonzeption vor, die unterhalb der Anforderungen bleibt, die nach dem SigG bzw. der SigV anzulegen wären.(2) Gleichzeitig versucht die Studie aufzuzeigen, daß auf dem beschriebenen Weg ein vergleichbares Sicherheitsniveau mit wesentlich geringerem Aufwand erreicht werden kann. Zu diesem Zweck befaßt sich die Studie mit den rechtlichen Anforderungen, beschreibt den Ist-Zustand im aktuellen System, untersucht die Anforderungen, die an elektronische Unterschriften zu stellen sind, und entwickelt auf dieser Grundlage eine Konzeption für eine Sicherungsarchitektur abseits der Vorgaben des SigG. Abs. 11
Die Konzeption dieser Sicherungsarchitektur beruht auf der Annahme, daß die wesentlichen Anforderungen an die Ausgestaltung der Sicherheit des EGB aus der GBO sowie der GBV(3)resultieren und in folgenden Kernforderungen festgehalten werden können:
  • Einträge sind unveränderlich und müssen in unveränderter Form lesbar gemacht werden können.
  • Eintragungen dürfen nur von berechtigten natürlichen Personen durchgeführt werden.
  • Einträge müssen auf ihre Korrektheit hin überprüfbar sein.
Abs. 12
Der Vorschlag der Studie beruht auf einer Trennung zwischen den Daten, die notwendiger Bestandteil des EGB sind, und solchen, die nur der Absicherung des EGB-Datenbestandes dienen sollen. Nachfolgend werden drei Lösungsalternativen diskutiert. Die 1. entspricht der Darstellung der Studie in leicht modifizierter Form. In den Lösungsalternativen 2 und 3 sind im Vergleich zur Studie jeweils Erweiterungen mit Blick auf die Generierung der elektronischen Unterschrift vorgesehen. Abs. 13
Die erste und ursprünglich in der Studie angelegte Vorstellung geht davon aus, daß der elektronische Grundbucheintrag sich aus dem Eintragungstext, dem Namen des Sachbearbeiters sowie dem aktuellen Eintragungsdatum im Klartext zusammensetzt. Dieser Grundbucheintrag soll elektronisch unterschrieben werden, indem das Ergebnis eines Hash-Algorithmus über den Eintragungstext, den Klarschriftnamen des Sachbearbeiters und das Datum als zusätzlicher Bestandteil des Grundbucheintrages gespeichert werden.(4) Der Sachbearbeiter soll in einem Client-Server System ausschließlich den Eintragungstext eingeben.(5) Wenn er die Eintragung vornehmen will, soll er mittels einer durch die Landesjustizverwaltung kodierten Chipkarte und der Eingabe einer nur ihm bekannten PIN den Eintragungsprozeß der Grundbuchsoftware freischalten können. Dadurch wird automatisch sein auf der Chipkarte gespeicherter Nachname ebenso wie das aktuelle Datum unter den Eintrag gesetzt und dieser durch einen konfliktresistenten Hash-Algorithmus(6) weiter bearbeitet. Gleichzeitig prüft das System anhand des in elektronischer Form abgebildeten Geschäftsverteilungsplans (GVP) die Berechtigung des eintragenden Sachbearbeiters zur Vornahme der fraglichen Diensthandlung. Die Transportsicherheit zwischen Client und Server wird zunächst durch abgesicherte und kryptographisch geschützte Leitungswege sichergestellt. Als weitere Transportsicherheit soll der Hashwert für den Transport zum Server mittels eines zertifizierten Schlüssels digital signiert werden. Die Signatur wird durch einen privaten Schlüssel erstellt, der einheitlich für alle Clientanwendungen zentral durch das Sicherheitsrechenzentrum eingespeist wird. Abs. 14
Beim EGB-Server angekommen werden die Daten zunächst zwischengespeichert. Soweit eine digitale Transportsignatur verwendet wurde, erfolgt die Weiterverarbeitung unter der Voraussetzung, daß die Authentizitätsprüfung erfolgreich anhand des öffentlichen Teils des Transportschlüsselpaares durchgeführt werden kann. Anschließend wird in einem sog. Security Server ein Datensatz angelegt, der sich eindeutig auf den fraglichen Grundbucheintrag bezieht. Dort wird eine weitere digitale Signatur abgelegt, die mit Hilfe eines vom Security Server verwendeten privaten Schlüssels den Hashwert absichert, der aus den Eintragungstext, dem Klarschriftnamen und dem Datum errechnet wurde. Der private Schlüssel wird einheitlich und automatisch von einem Prozeß des Sicherungsservers für alle eingehenden Daten verwendet. Sodann werden der Eintragungstext nebst Klarschriftnamen und die Datumsangabe sowie der über diese Daten erzeugte Hashwert als elektronische Unterschrift in den Datenbestand des EGB eingefügt. Die digitale Transportsignatur wird nicht in den Datenbestand des EGB aufgenommen. War der Gesamtvorgang erfolgreich, so erfolgt die Rückmeldung an den Sachbearbeiter am Client, daß seine Eintragung nunmehr im Datenbestand des EGB enthalten ist. Abs. 15
Unerkannte Veränderungen am Datenbestand werden ausgeschlossen, indem die digitalen Signaturen, die im Security Server abgelegt sind, vor Ablauf der Zertifizierung verifiziert und durch eine neue digitale Signatur ersetzt werden. Für den Fall, daß eine digitale Signatur korrumpiert werden sollte, werden insgesamt maschinell die alten Signaturen durch neue, zertifizierte Signaturen ersetzt. Abs. 16
Die Lösungsvariante 2 unterscheidet sich hiervon durch die Bedeutung, die der am Client vorgenommenen digitalen Signatur zukommt. Als elektronische Unterschrift im Sinne des § 75 GBV soll der durch die digitale Signatur abgesicherte Hashwert über die unterschriebene Eintragung und die Datumsangabe gelten. Dementsprechend wird die digitale Transportsignatur nach Überprüfung zusammen mit den Eintragungsdaten in den Datenbestand des EGB eingestellt. Im übrigen bleibt das System unverändert. Abs. 17
Der Unterschied der Lösungsvariante 3 zur Variante 2 liegt in der Qualität des am Client verwendeten privaten Schlüssels. Dieser wird nicht wie in den vorherigen Alternativen softwarebezogen, sondern personenbezogen auf den nach dem GVP zuständigen Sachbearbeiter ausgestellt. In diesem Fall wird jedem Sachbearbeiter, der Eintragungen vornehmen soll, ein individuell zertifizierter Schlüssel zugeteilt. Als mögliche Zertifizierungsstelle kommt einerseits ein externes Trustcenter, andererseits aber auch der Aufbau einer justizverwaltungsinternen Zertifizierungsinfrastruktur in Frage. Abs. 18
Im Anschluß an die nachfolgend unter Gliederungspunkt E/III/5/d ausgeführten Sicherheitsbedenken gegen Administratoren wird nach Angaben des Justizministeriums Mecklenburg-Vorpommern im aktuellen Realisierungskonzept zum Zeitpunkt dieser Veröffentlichung mit einigen Modifikationen die Lösungsvariante drei verwendet. In einer justizeigenen Zertifizierungsstelle werden asymmetrische Schlüsselpaare für jeden eintragungsberechtigten Rechtspfleger im Land erstellt und der personenbezogene private-key auf eine Chipkarte geschrieben. Die Zertifizierungsstelle orientiert sich an den Technologien und Verfahrensweisen, wie sie für eine Zertifizierungsinstanz im Sinne des SigG (Trustcenter) erforderlich wären, ohne jedoch eine vollständige Konformität mit den Anforderungen anzustreben, die für ein Auftreten als Trustcenter im Außenverhältnis erforderlich wären. Die Chipkarte wird, zusammen mit der PIN, justizintern zugestellt. Die zugehörigen public-keys werden in einer Zertifikats-Datenbank der Zertifizierungsstelle gespeichert. Hier wird es auch möglich sein, Sperrlisten zu führen, um zentral und in Echtzeit Zertifikate sperren zu können. Die Serversoftware des EGB-Systems erhält keinen online-Zugriff auf die Zertifikats-Datenbank. Sie benutzt eine Replik derselben, die aus dem Zertifikats-Datenbestand über eine gesicherte Verbindung aktualisiert wird. Der Rechtspfleger benutzt die Chipkarte zur Erzeugung einer digitalen Signatur (S) aus dem Hashwert (H) von Eintragungstext (T) und Name (N). Abs. 19
T+N+S werden über das hardware-verschlüsselte WAN zur Zentrale übertragen. Hier finden vor dem rechtswirksamen Eintrag in den EGB-Datenspeicher zwei Prüfungen statt:
  • auf unveränderte Übertragung mit Hilfe des public-key aus der Zertifikats-Datenbank.
  • auf Gültigkeit des Zertifikates mittels der Informationen aus Zertifikatsdatenbank und Sperrliste.
Abs. 20
Die personenbezogene, auf Grundlage aktuell gültiger Verfahren und Zertifikate erzeugte Signatur S wird zur elektronischen Unterschrift im Sinne des § 75 GBV und neben T und N zum Bestandteil des unveränderbaren Grundbucheintrages. Abs. 21
Ist der Prozeß der Erzeugung und sicheren erstmaligen Eintragung in den EGB-Datenspeicher erfolgt, kann die Betrachtung des zweiten Hauptprozesses, der nachhaltigen Sicherung auf Unveränderbarkeit und lesbarer Wiederherstellung betrachtet werden. Auch wenn es hier überwiegend um technische Absicherung geht, spielt die Elektronische Unterschrift eine Rolle. In einem Security-Server wird immer dann, wenn ein Eintrag in die EGB-Datenbank erfolgen soll, eine Sicherungsinformation, basierdend auf Technologien, wie sie das SigG verlangt, aus T+N erzeugt, die getrennt vom EGB-Datenbestand gespeichert wird. Diese dient bei jedem Lesevorgang zur Überprüfung der Unverändertheit. Sollte das zugrunde liegende Verfahren des security-server schwach werden oder das Zertifikat des Prozesses abgelaufen sein, werden Verfahren und/oder Zertifikat ersetzt und alle bis dato erzeugten Sicherungsinformationen in einem Batchlauf aktualisiert.Abs. 22

D. Stand der Diskussion: SigG oder individuelle Gestaltung

Diesen Lösungen werden unterschiedliche rechtliche Bedenken entgegengehalten, die zum Teil Einzelfragen betreffen, zum Teil aber auch grundsätzlich in Frage stellen, ob eine Lösung abseits von den genauen Gestaltungen des SigG den rechtlichen Anforderungen gerecht werden kann. Abs. 23
Die Kritik richtete sich zunächst gegen die These, daß es sich bei der durch den Hash-Algorithmus erzeugten Datenmenge um eine elektronische Unterschrift handelt, die in einem "allgemein als sicher anerkannten automatisierten kryptographischen Verfahren" erstellt wurde, wie es von § 75 S. 2 GBV verlangt wird. Begründet wird diese Ansicht mit einem Verweis auf die Regelungsidee, die dazu geführt habe, die elektronische Unterschrift als zusätzlichen Teil in das Grundbuch aufzunehmen. Ziel sei stets gewesen, Veränderungen an den Grundbucheinträgen zu unterbinden. Gerade das könne der Hash-Algorithmus jedoch nicht leisten. Deshalb könne ein Eintrag nach dem derzeitigen Konzept nicht wirksam werden. § 129 Abs. 1 S. 1 GBO schreibe vor, daß eine Eintragung wirksam wird, wenn sie in den für Grundbucheintragungen bestimmten Datenspeicher aufgenommen wird und "auf Dauer inhaltlich unverändert" wiedergegeben werden kann. An diesen Voraussetzungen fehle es, weil die Hash-Algorithmen alleine die Unveränderlichkeit nicht sicherstellen könnten. Hiergegen wird die begrenzte Aufgabenstellung eingewandt, die der elektronischen Unterschrift in § 75 GBV zukomme. Daß an der Eintragung keine Veränderungen vorgenommen werden könnten, werde durch den Vergleich der Hashwerte ohne weiteres sichergestellt. Den zunächst erstellten Hashwert in seinem Bestand zu schützen, sei eine Aufgabe, die nichts mit der Qualität der elektronischen Unterschrift im Sinne des § 75 GBV zu tun habe. Es sei ebenso ausreichend, wenn diese Absicherung im Gesamtsystem, d.h. durch den dahinterstehenden Security Server geleistet werde. Abs. 24
Gegen das vorgeschlagene Verfahren der elektronischen Unterschrift spreche, daß dadurch die Verbindung zu dem eintragenden Sachbearbeiter nicht hinreichend hergestellt werde. Es müsse eine eindeutige Zuordnung der Unterschrift zu einem berechtigten Nutzer des Systems erkennbar gemacht werden können. Das sei nur mit Hilfe einer individuell vergebenen digitalen Signatur zu bewerkstelligen. Abs. 25
Im Zusammenhang mit der nachhaltigen Sicherung der Grundbuchdaten stößt die Absicherung der Gesamteintragungsdaten, incl. elektronischer Unterschrift, auf Kritik. Zunächst wäre das System erheblichen Gefahren durch Angriffsmöglichkeiten privilegierter Nutzer, insbesondere der Systemverwalter, ausgesetzt. Derart privilegierte Nutzer könnten nachträglich veränderte Einträge in die EGB-Datenbank einstellen und diese mit dem passenden Hashwert sowie einer ordnungsgemäßen digitalen Signatur versehen. Dem wird entgegen gehalten, daß ein Angriff durch unbegrenzt berechtigte Benutzer niemals völlig ausgeschlossen werden könne. Im Falle der digitalen Signatur werde diese Gefahr lediglich aufgespalten. Auch in einem Trustcenter müsse es einen vergleichbar berechtigten Systemverwalter geben, dem der Zugriff auf die vorgehaltenen Schlüsselinformationen offenstehe. Weiter sei die Sicherung durch einen weiteren individuellen Schlüssel, der ausschließlich dem Sachbearbeiter zugänglich sei, keine nachhaltig dauerhafte Absicherung. Für einen Angriff des Systemadministrators sei von erheblicher krimineller Energie auszugehen, um die durch ein Hochsicherheitsrechenzentrum aufgeworfenen organisatorischen Hürden zu überspringen. Mit diesem Aufwand könnten gleichermaßen private Schlüssel errechnet werden.Abs. 26
Zur Abwendung dieser Nachteile wird ein eng am SigG ausgerichtetes Konzept vorgeschlagen. Danach erhält jeder Sachbearbeiter einen individuell auf ihn zertifizierten Schlüssel im Sinne der Lösungsvariante 3. Dem Problem, daß die Zertifikate nach spätestens fünf Jahren ablaufen, will man begegnen, indem rechtzeitig um die vormaligen Signaturen eine weitere, noch zertifizierte digitale Signatur gelegt wird. Die Zertifikate sollen nach diesem Ansatz durch hausinterne Stellen vergeben werden. Abs. 27
Der Vorgang der Neusignierung ist auf zwei Arten vorstellbar. Einerseits könnte ein Prozeß die als relevant erkannten Einträge automatisch dem zuständigen Rechtspfleger vorlegen, der sie mit seiner digitalen Signatur versieht. Andererseits könnte ein ausschließlich maschinell gesteuerter Prozeß, die in ihrer Sicherheit gefährdeten Eintragungen mit einer einheitlichen neuen digitalen Signatur versehen. Diese Lösungsmöglichkeiten wurden jeweils auf besondere Art als problematisch empfunden. Gegen die Möglichkeit einer manuellen Neusignierung spreche die zusätzliche Arbeitsbelastung, die damit – neben dem üblichen Alltagsgeschäft – auf die jeweiligen Sachbearbeiter zukäme. Diese Arbeitserschwernis könne kaum im Sinne des Gesetzgebers sein, der mit dem Registerverfahrenbeschleunigungsgesetz vor allem die Entlastung der Justiz vorantreiben wollte. Diese Argumente sprächen auch gegen halbautomatisierte Verfahrensweisen. Zusätzlich wäre die Frage zu beantworten, welche Prüfungspflichten den Sachbearbeiter treffen, der seine digitale Signatur unter ein Dokument setzt. Der völlig automatisierten Variante wird entgegengehalten, daß einem Prozeß ohne jede Entscheidung des zuständigen Personals zu weitreichende Berechtigungen eingeräumt werden müßten. Unabhängig von diesem Teilproblem, in welcher Form die Neusignierung zu erfolgen hat, wird diesem Vorschlag entgegen gehalten, daß er gegenüber dem Konzept keinen erheblichen Vorteil begründe. Soweit maßgeblich auf die Personenbezogenheit der digitalen Signatur abgestellt werde, sei kein Vorteil zu erkennen. Der Bezug zu dem handelnden Sachbearbeiter sei durch den in Klarschrift beigefügten Nachnamen datentechnisch gewährleistet. Soweit es nicht auf die datentechnische, sondern auf die rechtliche Verifizierbarkeit, d.h. auf die ungebrochene Kette der Signaturinformationen, ankomme, seien keinerlei Unterschiede erkennbar. Mit Ablauf des Zertifikates für die ursprünglich verwendete digitale Signatur gehe die individuelle Information, wer signiert hat, rechtlich verloren. Durch die anschließende zusätzliche Signatur werde lediglich abgesichert, daß die signierten Daten keine Veränderungen erfahren haben. Diese Sicherheit werde durch die Konzeption eines besonderen Security Servers gleichermaßen geleistet. Deshalb mache es keinen Sinn, das aufwendige Verfahren sich im Laufe der Zeit aufbauender Signaturhüllen zu akzeptieren, wenn dadurch die rechtliche Authentizität, wie sie das SigG herstellen soll, ohnehin nicht erreicht werden könne. Abs. 28

E. Rechtliche Beurteilung

I. Auszugrenzende Fragestellungen

Zunächst sind Problembereiche auszugrenzen, die in der vorliegenden Betrachtung keine Rolle spielen sollen. Das Gutachten befaßt sich in der Hauptsache mit den beschriebenen Teilaspekten. Die Bereiche, über die zwischen den an der Realisierung des Projekts Beteiligten Einigkeit besteht, werden nur am Rande angesprochen.Abs. 29

1. Physikalische Absicherung des Projektes (Hardwaresicherheit)

Die Absicherung der Hardware bedeutet einen eigenständigen Problembereich, der vorrangig von organisatorischen und technischen Umständen abhängt. Diese Gegebenheiten liegen außerhalb des für die rechtliche Begutachtung gesteckten Rahmens. Als Arbeitshypothese für die Beurteilung der Gesamtsicherheit der Lösungsalternativen soll davon ausgegangen werden, daß die Hardwareumgebung des Systems den üblichen Anforderungen an eine Hochsicherheitsarchitektur entspricht. Abs. 30

2. Datentransportsicherheit Client/EGB und EGB/Security Server

In allen noch in Diskussion befindlichen Lösungsalternativen soll die Kommunikationssicherheit der Übertragungen der grundbuchrechtlich relevanten Eintragungsdaten vom Client zum EGB-Server ebenso wie die Authentizität der Datenbearbeitung auf dem Security Server mittels zertifizierter Schlüssel sichergestellt werden. Dieses Vorgehen wird allseits für hinreichend abgesichert erachtet. Also beschränkt sich der Diskussionsbedarf darauf, wie die Daten
  1. sicher in das System eingebracht, d.h.
    • auf dem Client erzeugt,
    • im EGB-Datenspeicher eingetragen,
    und
  2. dort dauerhaft sicher aufbewahrt werden.
Abs. 31

II. Abgrenzung zur Frage der "datentechnischen Sicherheit"

Grundlegend in der Beurteilung der angesprochenen Rechtsfragen ist zunächst die Unterscheidung zwischen der datentechnischen Absicherung der Authentizität auf der einen und der rechtlich bestimmten Authentizität auf der anderen Seite. Unter datentechnischer Sicherheit ist die durch geeignete Verfahren abgesicherte, besonders hohe Wahrscheinlichkeit zu verstehen, daß eine unbemerkte Datenveränderung ausgeschlossen ist. Denkbar sind hier sämtliche angesprochenen Maßnahmen zur Zugangskontrolle ebenso wie der Verschlüsselung auf den Datenwegen. Es kommt einzig darauf an, daß mögliche Angriffspunkte soweit durch geeignete Vorkehrungen abgefangen werden, daß das verbleibende Restrisiko nur noch eine zu vernachlässigende Größe darstellt. Abs. 32
Demgegenüber ist die rechtliche Authentizität gegeben, wenn die gesetzlich im SigG und der SigV aufgestellten Tatbestände erfüllt werden. Wird die Verifikationskette nicht unterbrochen, so gilt die digitale Signatur für die Gültigkeitsdauer des Zertifikates(7) als sicher und nach § 1 Abs. 1 SigG darf davon ausgegangen werden, daß Fälschungen festgestellt werden können.(8) Diese Form der rechtlichen Sicherheit ist unabhängig von der datentechnischen Sicherheit zu betrachten. Daß es sich bei dem Verfahren nach dem SigG nur um einen formalisierten Weg handelt, die gewünschte Sicherheit zu erreichen, stellt bereits § 1 Abs. 2 SigG klar. Dort wird ausdrücklich freigestellt, abweichende Verfahren zur Erstellung digitaler Signaturen zu verwenden, wenn die Anwendung des im SigG festgeschriebenen Verfahrens nicht gesetzlich bestimmt ist.(9) Es geht also ausschließlich um einen rechtlichen Informationsgehalt, der sich daraus ergibt, daß eine Information lückenlos nach den Regeln des SigG und der SigV verifiziert werden kann. Abs. 33
Ausgehend von dieser Unterscheidung sind mehrere Teilfragen zu beantworten. Ist für die Führung des EGB ein förmliches Verfahren nach dem SigG vorgeschrieben, so erübrigt sich die weitere Prüfung von Alternativmodellen. Soweit die maßgeblichen Vorschriften für die Führung des EGB gleichermaßen andere Verfahren in Abhängigkeit von ihrer datentechnischen Sicherheit zulassen, müssen die Anforderungen an diesen Grad datentechnischer Sicherheit hinreichend genau herausgearbeitet werden. Abs. 34

III. Anforderungen an die Absicherung der elektronischen Grundbucheinträge

Für die Untersuchung, welche Anforderungen an die Führung des EGB zu stellen sind, kommt es zunächst auf die maßgeblichen Rechtsgrundlagen an, die in SigG und SigV, GBO und GBV verstreut vorliegen. Anhand der einschlägigen Rechtvorschriften ist zu beantworten, ob überhaupt eine Abweichung von dem im SigG beschriebenen Verfahren möglich ist und wenn ja, welche abweichenden Verfahren zulässig sein können. Die Auslegung der einzelnen Tatbestände und der jeweils verwendeten Terminologie hat besondere Rücksicht auf die unterschiedlichen Zielsetzungen der verschiedenen Gesetze zu nehmen. Abs. 35

1. Rechtsgrundlagen

Für die Frage nach dem Anwendungsbereich des SigG ist zunächst von den Bestimmungen dieses Gesetzes selbst auszugehen, die der Bundesgesetzgeber zeitlich nachfolgend zu den maßgeblichen grundbuchrechtlichen Vorschriften getroffen hat. Vorgaben über den Anwendungsbereich finden sich in § 1 SigG. Abs. 36
Die Vorschrift des § 126 GBO regelt die Mindestsicherheitsvoraussetzungen, unter denen den Landesgesetzgebern die Möglichkeit eingeräumt werden sollte, ein EGB einzuführen. § 126 Abs. 1 GBO enthält die allgemeine Ermächtigung, das Grundbuch statt in Papierform in maschineller Form als automatisierte Datei zu führen. Die technischen Einzelheiten sollen ähnlich, wie dies beim papiernen Grundbuch der Fall und in der Grundbuchverfügung geschehen ist, durch eine Rechtsverordnung näher ausgestaltet werden, in der auch weitere Rechtsverordnungsermächtigungen für die Länder enthalten sein können.(10)In diesem Zusammenhang spielt § 134 GBO eine besondere Rolle, weil hier die Ermächtigung des Bundesministeriums der Justiz für die Festlegungen der GBV zum EGB liegt.(11) Sämtliche Ermächtigungen stehen unter dem Vorbehalt der Anforderungen, die als Mindestanforderungen durch § 126 Abs. 1 GBO bereits vorgegeben werden. Vor allem § 126 Abs. 1 S. 2 Nr. 3 GBO in Verbindung mit der zugehörigen Anlage verdient hier Beachtung.(12) Abs. 37
§ 129 Abs. 1 S. 1 GBO regelt, wann und unter welchen Voraussetzungen eine Eintragung in das EGB wirksam wird. Anforderungen an die Eintragungssicherheit oder die Art der Aufbewahrung lassen sich aus dieser Vorschrift nicht ableiten. Abs. 38
Die Vorschriften über das EGB sind in der GBV im XIII. Abschnitt gesammelt. Für die hier untersuchte Thematik interessieren ausschließlich die Unterabschnitte 1 und 3, die sich mit der Gestaltung des EGB als solchem und der Eintragung in das maschinell geführte Grundbuch befassen. Die übrigen Unterabschnitte enthalten Vorschriften über verschiedene Wege der Umstellung vom papiernen auf das EGB sowie der geordneten Einsichtnahme bzw. des Abrufs von Daten aus einem EGB. Für die Konzeption des Eintragungsvorgangs regeln die §§ 74, 75 GBV speziell, welche Voraussetzungen gewahrt sein müssen. Abs. 39
Die detaillierten Anforderungen an das Sicherheitskonzept sind in § 64 GBV umrissen, § 61 GBV. Darüber hinaus regelt § 65 GBV zwar primär die physische Gestaltung des Systems, die vorliegend außer Betracht bleiben muß, bezieht sich jedoch auf eine insgesamt erreichte Zugangssicherung der Programme und Datenverarbeitungsanlage, trifft mithin nähere Bestimmungen über die erforderliche Zugangssicherheit.(13) Die sonstigen Vorschriften des 1. Unterabschnitts, §§ 61 bis 66 GBV, spielen für die aktuelle Fragestellung keine Rolle. Es handelt sich um sonstige Gestaltungsanforderungen bzw. um Sicherheitsaspekte auf physischer Ebene, die hier als hinreichend gewahrt zugrunde gelegt werden müssen. So berührt § 66 GBV nur die Notwendigkeit, Sicherungskopien des Datenbestandes in geeigneter Form bereitzuhalten. Abs. 40

2. Grundsätzliche Zulässigkeit einer Abweichung vom Verfahren des SigG

Die Regelung in § 1 SigG stellt außer Frage, daß mit den formalisierten Anforderungen des SigG nur ein Weg zur Schaffung verlässlicher digitaler Signaturen festgelegt werden sollte, § 1 Abs. 1 SigG. Grundsätzlich ist die Anwendung anderer Verfahren ausdrücklich freigestellt; etwas anderes soll nur gelten, sofern die Geltung des SigG ausdrücklich angeordnet ist, § 1 Abs. 2 SigG.(14) An einer ausdrücklichen Anordnung der Geltung des SigG für die Einrichtung des EGB fehlt es. Eine solche Anordnung könnte nur nachträglich in die GBO bzw. die GBV aufgenommen worden sein, weil diese Vorschriften lange vor Inkrafttreten des SigG am 13. Juni 1997 erlassen wurden. Abs. 41
Die Anordnung könnte jedoch aus dem Regelungszusammenhang des SigG auf der einen und den Regeln über das EGB auf der anderen Seite resultieren. Dann müßte aus den Vorschriften zum EGB hervorgehen, daß der Gesetzgeber auf die Einhaltung eines besonderen, formalisierten Verfahrens in dieser speziellen Form zur Absicherung besonderen Wert gelegt hat. Ansatzpunkt kann nur die Vorschrift des § 75 S. 2 GBV sein, der sich detailliert mit den Anforderungen an die elektronische Unterschrift befaßt, die einem elektronischen Grundbucheintrag hinzugefügt werden soll. Entscheidendes Merkmal ist dort das "allgemein als sicher anerkannte automatisierte kryptographische Verfahren". Die Anwendung des SigG könnte durch diese Formulierung angeordnet sein, wenn sie so zu verstehen ist, daß ein allgemein als sicher anerkanntes Verfahren im Sinne des Gesetzes nur dasjenige nach dem SigG sein kann. Abs. 42
Diese Auslegung findet jedoch weder in der GBV noch in der GBO eine Stütze. Der Wortlaut spricht insoweit nur abstrakt von der Sicherheit des Verfahrens. Im Hinblick auf welche Gefahren diese Sicherheit gewährleistet werden soll, wird nicht klargestellt. Davon abgesehen könnte man auf die Idee kommen, daß SigG und SigV zwar keinen Anspruch auf Exklusivität erhöben, durch dieses Regelungswerk jedoch eine Vermutungswirkung gegen die Sicherheit anderer Verfahren bewirkt werde. Dieser Annahme kann aber für die Gestaltung des EGB nicht gefolgt werden. Bereits der Wortlaut des SigG zeigt, daß neben dem normierten andere, ebenso sichere Verfahren verwendet werden dürfen, § 1 Abs. 2 SigG. Der Gesetzgeber hatte gerade nicht die Absicht, einen allgemeinverbindlichen Standard zu schaffen, der Ausschließlichkeit beanspruchen sollte. Vielmehr sollte eine Art dispositiver Infrastruktur zur Verfügung stehen, die zumindest für die Fälle ein gesetzliches Leitbild gibt, in denen keine eigenständigen Entwicklungen erfolgen sollen oder können.(15) Dem entsprechen die Bestrebungen auf europäischer Ebene. Auch in der jüngst ins Auge gefaßten Richtlinie, die von der Generaldirektion XIII am 08.10.1997 vorgestellt wurde, gelten vergleichbare Zielsetzungen: die Richtlinie will ausschließlich verhindern, daß durch unterschiedliche nationale Einzelregeln die Kommunikation bzw. der zwischenstaatliche Handelsverkehr gestört wird. Davon unterscheidet sich der Anwendungsbereich im EGB. Im EGB geht es nicht darum, die Kommunikation zwischen unbestimmten und vor allem unbekannten Personen abzusichern. Vielmehr soll ein abgeschlossenes System vor der Verfälschung durch Angriffe unberechtigter Personen bewahrt werden. Diese eigenständige Zielsetzung gebietet, die Anforderungen an die elektronische Unterschrift autonom aus den grundbuchrechtlichen Vorschriften zu bestimmen. Abs. 43
Damit ist als Zwischenergebnis festzuhalten, daß es an einer per se geltenden Anordnung der Anwendung des SigG zur Führung des EGB fehlt. Der Weg zu einer eigenständigen Lösung abseits der Verfahrensanforderungen des SigG ist damit grundsätzlich frei. Abs. 44

3. Anforderung an das Verfahren nach der GBO, GBV

Die Anforderungen, die an das Verfahren zur Führung des EGB zu stellen sind, müssen den speziellen Regeln genügen, die zur Führung des Grundbuches in elektronischer Form erlassen worden sind. Soweit die Konzeption der Studie in ihren unterschiedlichen Alternativen nicht bereits wegen ungenügender Berücksichtigung spezieller Anforderungen abzulehnen ist, muß weiter gefragt werden, ob das Gesamtsystem die Einhaltung des grundsätzlich zu fordernden Sicherheitsniveaus gewährleistet. Abs. 45
a. Anforderungen aus dem SigG
Es ist bereits aufgezeigt worden, daß die Anwendung des SigG nicht aus diesem selbst heraus für das EGB vorgeschrieben ist. Vielmehr hat der Gesetzgeber die generelle Gestaltungsfreiheit bezüglich der Sicherungsmaßnahmen vorgesehen. Diese bewußte Beschränkung des Anwendungsbereichs findet ihren Grund in der auch dem Gesetzgeber bewußten Notwendigkeit, in unterschiedlichen Anwendungsbereichen unterschiedliche Sicherungsmechanismen eingreifen zu lassen.(16) Deshalb kommt es für die Anforderungen, die an ein Sicherheitssystem zu stellen sind, in erster Linie auf das Spezialgebiet an, das abgesichert werden muß. Für unterschiedliche Sicherungsaufgaben können sich danach zulässigerweise verschiedene Sicherungskonzepte entwickeln. Entscheidend kann am Ende nur sein, ob das spezialgesetzlich geforderte Sicherheitsniveau erreicht wird. Die Regeln des SigG können also nur für die Beurteilung des Sicherheitsniveaus von Bedeutung sein; die Regelungen bestimmen einen Verfahrensablauf, ohne konkret eine Sicherheitsarchitektur zu entwerfen. Abs. 46
b. Anforderungsprofil nach § 75 GBV
Die Vorschrift des § 75 GBV regelt als speziellste grundbuchrechtliche Vorschrift, welche Anforderungen an die Generierung eines elektronischen Grundbucheintrags zu stellen sind. Die dort getroffenen Regelungen sind anhand der allgemeinen Vorgaben aus § 64 GBV und § 126 GBO zu bestimmen. Ob die Konzeption in ihren unterschiedlichen Schattierungen diesen Anforderungen genügt, kann nur beurteilt werden, wenn Bedeutung und Funktion der in § 75 GBV formulierten Rechtsbegriffe geklärt sind. Abs. 47
Nach § 75 S. 1 GBV soll die Eintragung in ein maschinell geführtes Grundbuch nur möglich sein, wenn die für die Führung des Grundbuches zuständige Person der Eintragung ihren Nachnamen hinzusetzt und beides elektronisch unterschreibt. Ergänzend bestimmt § 75 S. 2 GBV, daß die elektronische Unterschrift in einem allgemein als sicher anerkannten automatisierten kryptographischen Verfahren textabhängig und unterzeichnerabhängig hergestellt werden soll, wobei der zuständigen Stelle die Möglichkeit bleiben muß, die elektronische Unterschrift zu prüfen. Der Datenbestand des EGB soll sich aus der mit dem Klartextnamen unterschriebenen Eintragung und der elektronischen Unterschrift zusammensetzen.Abs. 48
(1) Aufbau und Elemente des EGB
Grundlegend für die Frage, ob bzw. welche Konzeption der Studie den Anforderungen des § 75 GBV entspricht, muß geklärt werden, aus welchen Elementen sich das EGB zusammensetzt. Erst danach läßt sich entscheiden, ob die Anforderungen an die Wirksamkeit eines Grundbucheintrags im EGB als erfüllt anzusehen wären. Abs. 49
Der Wortlaut des § 75 GBV spricht von der Eintragung, der Angabe des Nachnamens und der elektronischen Unterschrift. Hinzukommen muß die Angabe des Eintragungsdatums, die nach § 129 Abs. 2 S. 1 GBO obligatorischen Charakter hat.Abs. 50
Der Gebrauch des Begriffes "Eintragung" in § 75 GBV erscheint auf den ersten Blick mehrdeutig. Die Wortbedeutung des § 75 S. 1 Halbs. 1 GBV legt nahe, daß eine Veränderung im Datenbestand eines EGB allgemein nur möglich sein soll, sofern die weiter benannten Voraussetzungen vorliegen. Dann wären die Gesamtdaten, die in das EGB aufgenommen werden, als "Eintragung" in diesem Sinne zu verstehen. Bei näherer Betrachtung zeigt sich jedoch, daß die Eintragung einheitlich als materieller Inhalt der Grundbucheintragung zu verstehen ist. Es handelt sich also ausschließlich um die Informationen, die wegen ihrer materiellrechtlichen Wirkungen in das Grundbuch aufzunehmen sind. In § 75 S. 1 GBV heißt es, der Eintragung muß der Nachname der handelnden Person hinzugesetzt und diese Daten müssen insgesamt elektronisch unterschrieben werden. Ergänzend führt § 75 S. 3 GBV aus, daß die unterschriebene Eintragung und die elektronische Unterschrift Bestandteil des EGB werden. Daraus ergibt sich die vom Gesetzgeber vorgenommene Kategorisierung des Datenbestandes des EGB in drei Teile. Einerseits enthält das EGB die "Eintragung" im Sinne des materiellrechtlich erforderlichen Grundbuchinhalts. Ein weiteres Element bildet der hinzugesetzte Name des handelnden Sachbearbeiters in Klarschrift. Dieser wird sowohl in § 75 S. 1 wie auch in S. 3 GBV von der Eintragung unterschieden. § 75 S. 3 GBV spricht insoweit von der unterschriebenen Eintragung. Davon ist wiederum die elektronische Unterschrift abzugrenzen, die sich auf die Gesamtheit der unterschriebenen Eintragung beziehen muß. Grundsätzlich ist bei der Auslegung eines Gesetzes davon auszugehen, daß der Gesetzgeber den von ihm verwendeten Begriffen eine einheitliche Bedeutung zumißt. Ausnahmen von diesem Grundsatz sind nur dort anzuerkennen, wo hinreichende Gesichtspunkte erkennbar werden, die eine abweichende Beurteilung nahelegen. Hier fehlt es an derartigen Hinweisen. Abs. 51
(2) Vornahme durch zuständige Person
Die Möglichkeit, einem automatisierten Prozeß die Erstellung bzw. Neuerstellung von digitalen Signaturen anzuvertrauen, könnte von der gesetzgeberischen Entscheidung abhängen, daß nur der zuständige Sachbearbeiter Eintragungen vornehmen können soll. Das Gesetz schreibt vor, daß ausschließlich dem funktionell zuständigen Sachbearbeiter eine Eintragung möglich sein darf. Diese Anforderungen ergeben sich aus den §§ 74 Abs. 1 S. 1, und 75 S. 1 GBV. Dieselben Anforderungen folgen bereits aus § 126 Abs. 1 S. 2 Nr. 3 GBO in Verbindung mit Nr. 5 der zugehörigen Anlage und aus § 64 Abs. 2 Nr. 3 GBV. Bei gebotener Genauigkeit und Differenziertheit der Analyse stellt sich hier jedoch kein Problem: Im Sinne der oben dargestellten Unterteilung zwischen der Eintragung auf der einen und der Angabe von Datum und Nachname auf der anderen Seite, über die insgesamt eine elektronische Unterschrift erzeugt wird, kann von einer Veränderung der Eintragung nicht die Rede sein. Zwar wird der Datenbestand des EGB, der auch aus der elektronischen Unterschrift besteht, durch die Veränderungen an dieser Unterschrift betroffen. Die Eintragung im Rechtssinne bleibt gleichwohl unangetastet. Danach spricht aus der Fassung des Gesetzestextes nichts dafür, die besonderen Voraussetzungen zur Vornahme einer Eintragung auf die elektronische Unterschrift zu erstrecken. Abs. 52
Dieses Ergebnis findet weitere Bestätigung in dem Vergleich zum papiernen Grundbuch. Dieser Vergleich ist für die Auslegung aller Vorschriften über das maschinell geführte Grundbuch von besonderer Bedeutung, weil der Gesetzgeber besonderen Wert darauf gelegt hat, die Umsetzung des herkömmlichen Grundbuches ohne Veränderungen in die elektronische Form zu bewirken. Dieses Interesse war von essentieller Bedeutung, weil frühere Vorhaben zur Umstellung des Grundbuchbetriebes auf automatisierte Datenverwaltung an Umstellungsproblemen gescheitert waren. Das wollte man keinesfalls ein zweites Mal riskieren.(17) Grundsätzlich ist also von einer möglichst detaillgetreuen Umsetzung der Elemente des herkömmlichen Grundbuchs in die elektronische Form auszugehen. Es kann schon an dieser Stelle festgehalten werden, daß keine durchgreifenden rechtlichen Gesichtspunkte dagegen sprechen, die elektronischen Unterschriften maschinell verändern zu lassen.(18) Unabhängig davon ist zu betrachten, welche Sicherheitsbedenken einer datenbankweit operierenden, in unterschiedlichem Grade automatisierten Signierroutine entgegenstehen können. Dieser Gedanke soll an anderer Stelle wieder aufgegriffen werden. Abs. 53
(3) Elektronische Unterschrift im Sinne des § 75 S. 2 GBV
Die Frage nach den Anforderungen an eine elektronische Unterschrift im Sinne des § 75 S. 2 GBV ist von zentraler Bedeutung für die Beurteilung der verschiedenen Konzepte. Der Gesetzgeber verlangt in der zitierten Vorschrift, daß die elektronische Unterschrift in einem allgemein als sicher anerkannten automatisierten kryptographischen Verfahren textabhängig und unterzeichnerabhängig hergestellt werden soll. Abs. 54
Der Wortlaut des § 75 GBV definiert nicht, was unter einer elektronischen Unterschrift zu verstehen ist. Vielmehr werden lediglich Anforderungen formuliert, denen der Generierungsvorgang einer solchen - wie auch immer gestalteten - elektronischen Unterschrift genügen muß. Anderweitige Definitionen finden sich ebensowenig in sonstigen grundbuchrechtlichen Vorschriften. Einzig ist in § 133 Abs. 4 S. 3 GBO von der Glaubhaftmachung bestimmter Umstände durch "elektronische Zeichen" die Rede. Dieser Vorschrift kann jedoch wegen der Unterschiede in Wortwahl und Anwendungsbereich vorliegend keine Bedeutung zukommen. Ähnliches gilt für die Darstellungen des SigG. Die Eigenständigkeit der grundbuchrechtlichen Aufgabenstellung ebenso wie die ausdrückliche Regelung des § 1 Abs. 2 SigG verbieten, eine Definition a priori anhand digitaler Signaturen vorzunehmen.(19) Abs. 55
Die verbindliche Auslegung derart unbestimmter Rechtsbegriffe kann nur nach anerkannten Maßstäben juristischer Methodik(20) erfolgen. In einem ersten Schritt ist zu bestimmen, was generell unter einer elektronischen Unterschrift im weitesten Sinne zu verstehen sein muß. Davon ist die Frage nach den besonderen Verfahrensanforderungen abzugrenzen, die bei der Generierung der elektronischen Unterschrift eingehalten sein müssen, um den Tatbestand des § 75 S. 2 GBV zu erfüllen. Abs. 56
Die in der Literatur vorgenommenen Definitionsversuche(21) können für die angesprochene Problematik aus zweierlei Gründen keine abschließende Wirkung entfalten. Häufig handelt es sich um schlichte Feststellungen, die keine tiefergehende Problembehandlung leisten.(22)Stets geht es um die allgemeine Fassung des Begriffs für den Geltungsbereich des SigG. Wollte man diese Ansichten hier zugrunde legen, so käme das einem Zirkelschluß gleich. Die zu beantwortende Frage liegt gerade darin, ob der Gesetzgeber die Spezialmaterie des Grundbuchrechts den Standardregeln des SigG unterstellen wollte. Abs. 57
Erster Anknüpfungspunkt muß danach das übliche Verständnis sein, das im Sprachgebrauch der Regelungsadressaten objektiv mit den gewählten Worten verbunden wird.(23)Indem der Gesetzgeber die Behandlung als Unterschrift bezeichnet hat, lehnt er sich an die weithin bekannten Merkmale eines im Geschäftsverkehr gebräuchlichen Mittels an. Eine Unterschrift bezeichnet im Rechtsverkehr den eigenhändig geschriebenen Namenszug des Unterzeichners, der die Urkunde räumlich abschließt und zum Ausdruck bringt, daß der Unterzeichner wenigstens die Möglichkeit zur Kenntnisnahme des angegebenen Inhalts hatte und eine Willenserklärung des in der Urkunde beschriebenen Inhalts abgibt.(24) Eine vergleichbare Funktion erfüllen die Unterschriften der zuständigen Sachbearbeiter nach § 44 GBO, die durch die elektronische Unterschrift für das EGB ersetzt werden sollen.(25) Ausgehend von dieser Funktionsäquivalenz muß die elektronische Unterschrift so definiert sein, daß sie die Funktionen der Unterschriften im papiernen Grundbuch übernehmen kann. Dahingehend besteht gemeinhin Einigkeit.(26) Abs. 58
Die Funktionen der Unterschrift liegen in erster Linie in der Erkennbarkeit des Unterzeichners und der feststellbaren Beziehung zum unterzeichneten Text. Derart verstehen sich die ausdrücklichen Angaben in § 75 S. 2 GBV, wo von der Unterzeichner- und Textabhängigkeit gesondert die Rede ist. Bei der elektronischen Unterschrift muß es sich also um eine Datenmenge handeln, aus der mit Hilfe reproduzierbarer technischer Hilfsmittel im konkreten Fall festgestellt werden kann, wer die Unterschrift geleistet hat und auf welches elektronische Dokument sich diese Unterschriftsleistung bezogen hat. Als weitere Funktionen der elektronischen Unterschrift sind für den hier interessierenden Bereich des EGB die Echtheits- und die Beweisfunktion zu nennen.(27) Zum einen soll durch die Unterschrift der Nachweis über die Urheberschaft der Erklärung ermöglicht werden, indem jede Datenveränderung anhand der elektronischen Unterschrift erkennbar gemacht werden kann.(28) Zum anderen muß der Beweisfunktion dadurch genügt werden, daß die Gestalt der elektronischen Unterschrift einen sicheren Schluß auf den Unterzeichner zuläßt.(29) Abs. 59
(4) Kryptographisches Verfahren
Zu klären bleibt, wann ein kryptographisches Verfahren im Sinne des § 75 GBV anzunehmen ist. Dabei ist die Verschlüsselung des Gesamttextes von der Erstellung einer elektronischen Unterschrift im hier gemeinten Sinne zu unterscheiden. Einerseits kann es um die Geheimhaltung der Informationen gehen. Andererseits geht es um die Erkennbarkeit von Veränderungen. Mangels ausdrücklicher gesetzlicher Definitionen ist wiederum von der Wortbedeutung auszugehen. Der übliche technisch orientierte Sprachgebrauch setzt Kryptographie mit Datenverschlüsselung gleich.(30) Darunter ist ein Vorgang zu verstehen, bei dem ein Datenbestand in scheinbar sinnlose Informationen umgewandelt wird, um ihn vor der Einsichtnahme Unberechtigter zu schützen. Dieser Vorgang wird regelmäßig durch einen oder zwei Schlüssel umkehrbar gemacht.(31) Der Schutz vor der Einsichtnahme Unberechtigter geht offensichtlich an der in § 75 GBV behandelten Problematik vorbei. Dort soll die Authentizität der in das EGB eingebrachten Datenbestände abgesichert werden. Die Zugriffskontrolle soll auf anderem Wege gewährleistet werden. Denkbar erscheint, bereits in der elektronischen Unterschrift selbst entsprechende Mechanismen anzusiedeln, um eine unbemerkte Veränderung auszuschließen. Alternativ dazu könnte den Anforderungen ebenso genügt sein, wenn die elektronische Unterschrift selbst zwar keine Vorkehrungen gegen nachträgliche Veränderungen trifft, solche Änderungen aber durch die Gesamtsicherheit des Systems datentechnisch ausgeschlossen werden. Abs. 60
Die Entscheidung zwischen den Möglichkeiten muß wiederum anhand des Vergleichs mit dem papiernen Grundbuch und den dort verwendeten Unterschriften erfolgen. Im Allgemeinen bietet die Unterschrift als solche bereits eine besondere Sicherheit, weil sie potentiellen Fälschern aufbürdet, die individuellen Züge hinreichend vergleichbar nachzuvollziehen, um unerkannt zu bleiben. Auf die elektronische Unterschrift übertragen bedeutet ergibt sich daraus, daß auch diese bereits sichernde Funktionen übernehmen muß. Der Zusatz, daß ein solches Verfahren hinreichend sicher sein muß, versteht sich im Zusammenhang mit den sonstigen die Sicherheit betreffenden Vorschriften des § 126 GBO, § 64 GBV, die zum Ausdruck bringen, daß der Datenbestand des EGB einen besonders verlässlichen Umgang verdient. Abs. 61
Diese auf den Wortlaut und die Gesetzessystematik gestützte Auslegung findet in den Gesetzgebungsmaterialien ebenso wie in Sinn und Zweck der Vorschrift eine Stütze. In der ursprünglichen Fassung verlangt § 75 GBV lediglich, daß eine elektronische Kennung oder elektronische Unterschrift verwendet wird. Die elektronische Kennung sollte aus dem Nachnamen der betreffenden Person, die in der Wiedergabe des Grundbuchs sichtbar sein sollte, und einem Codezeichen, dem auch weitere Angaben hinzugefügt werden können, bestehen. Die elektronische Unterschrift sollte gebildet werden, indem dem Nachnamen des betreffenden Bediensteten und einem Codezeichen ein oder mehrere Zeichen hinzugefügt werden, die durch Angabe der Zahl der Zeichen im unterzeichneten Text oder in vergleichbarer Form eine Verbindung zu der unterzeichneten Eintragung herstellen.(32)Gleichermaßen sollten Nachname und Codezeichen Inhalt des EGB werden.(33) Die heutige Fassung des § 75 GBV geht auf einen Antrag des Freistaates Sachsen zur Dritten Verordnung zur Änderung der Verordnung zur Durchführung der Schiffsregisterordnung und zur Regelung anderer Fragen des Registerrechts(34) zurück. Mit diesem Antrag sollten die Sicherheitsanforderungen an die elektronische Unterschrift über die allgemeine Vorschrift des § 64 GBV hinaus speziell bestimmt werden, indem ein "allgemein als sicher anerkanntes kryptographisches Verfahren" gefordert wurde. Damit war ein Verfahren gemeint, das den allgemein üblichen Standards entsprechen sollte, hinter die das Sicherheitsniveau bei Eintragung der besonders sensiblen Grundbuchdaten keinesfalls zurückfallen sollte. Abs. 62
Die Beurteilung der Gesamtsicherheit eines Systems muß hier noch außer Betracht bleiben. Der Gesetzgeber hat sich in § 75 GBV einzig auf die Gestaltung der Eintragung konzentriert. Gerade durch die allgemeine Fassung der Regelungen in § 126 GBO und § 64 GBV hat er zu erkennen gegeben, daß die Gesamtsicherheit einer gesonderten, umfassenderen Betrachtung bedarf. Abs. 63
Im Einklang damit werden gemeinhin all jene Verfahren als elektronische Unterschriften bezeichnet, die nachträgliche Veränderungen an elektronischen Dokumenten sicher erkennbar machen und außerdem Rückschlüsse auf den Urheber ermöglichen.(35) Abs. 64
Ob in den angedachten Lösungsalternativen jeweils eine elektronische Unterschrift im Sinne des § 75 S. 2 GBV vorliegt, hängt also von den weiteren Voraussetzungen an das Verfahren ab, in dem eine solche generiert sein muß. Der gesetzlich geforderte Automatismus des Verfahrens ist unproblematisch für alle Varianten anzunehmen und bedarf deshalb keiner weiteren Untersuchung.Abs. 65
(5) Regelungstechnik - "soll"-Vorschrift
Der Umstand, daß der Gesetzgeber diese Regelung nicht als "müssen" sondern als "sollen" formuliert hat, kann die Verbindlichkeit der getroffenen Anordnungen nicht in Frage stellen. Generell bedeutet diese Regelungstechnik, daß die normierten Anforderungen eingehalten werden müssen. Nur im Falle außergewöhnlicher Umstände, die erkennbar nicht zu den von der Vorschrift erfaßten Regelfällen zählen, darf eine anderweitige Gestaltung vorgenommen werden. Von irgendwie gearteten außergewöhnlichen Umständen kann hier keine Rede sein. Damit ist vom zwingenden Charakter der aufgezeigten Tatbestandsmerkmale auszugehen. Abs. 66
Allerdings hat der Verordnungsgeber durch die Anordnung der in § 75 S. 2 GBV festgeschriebenen Anforderungen unter dem Vorbehalt besonderer Umstände ein weiteres Mal zu erkennen gegeben, daß das Verfahren zur elektronischen Absicherung als Ergebnis einer Abwägung gewonnen werden soll, die nicht ausschließlich nach den höchsten technisch darstellbaren Sicherheitsstandards ausgerichtet sein muß. Abs. 67
(6) Überprüfbarkeit durch die zuständige Stelle
Die elektronische Unterschrift muß durch die zuständige Stelle überprüfbar sein. Davon ist auszugehen, wenn - wie allgemein vorgesehen - durch die Softwaregestaltung die Möglichkeit eingeräumt wird, Verifizierungen vorzunehmen. Abs. 68
c. Vereinbarkeit der diskutierten Lösungsvarianten mit § 75 GBV
An den umrissenen Anforderungen des § 75 S. 2 GBV sind die vorgeschlagenen Varianten zu messen. Abs. 69
(1) Lösungsvariante 1 - als elektronische Unterschrift fungiert der Hashwert über den Text der Eintragung, den Namen in Klarschrift und den Datumszusatz
Für diese Lösungsalternative wird die bereits angesprochene Übereinstimmung zwischen der elektronischen Unterschrift als solcher und dem im Rahmen des § 75 GBV erforderlichen Verfahren relevant. Für die Annahme einer elektronischen Unterschrift in diesem Sinne könnte sprechen, daß ein Hashwert (H) über den Text (T) und die Namensangabe (N) eindeutig erkennen läßt, ob sich an Text oder Namensangabe etwas verändert hat. Die ehemals generierte, vom Sachbearbeiter akzeptierte Datenmenge H (T+N) wird ausschließlich dann mit dem neuerlich generierten Hashergebnis über die zur Zeit der Überprüfung im Datenbestand des EGB befindlichen Werte von T und N übereinstimmen, wenn sich weder an T noch an N etwas geändert hat. Das ist die notwendige Folge, wenn - wie vorliegend - die Verwendung eines konfliktresistenten Hash-Algorithmus vorausgesetzt wird. Derart erfolgt sowohl zum Text der Eintragung als auch zur Namensangabe des handelnden Sachbearbeiters die erforderliche Zuordnung. Zweifelhaft erscheint demgegenüber, ob den Anforderungen an die Echtheits- und Beweisfunktion genügt wird. Das Hashergebnis wird mit Hilfe eines frei verfügbaren Hash-Algorithmus erstellt. Grundsätzlich ist es ein Leichtes, einen Eintrag aus dem Datenbestand des EGB herauszugreifen und in seinem Klartext zu verändern. Anschließend kann mittels des bekannten Hash-Algorithmus ein "echtes" Hashergebnis über einen gefälschten Eintragungstext erstellt werden, ohne daß diese Manipulation im Nachhinein feststellbar wäre. Auf die Gesamtsicherheit des Systems kann es zwar für die Frage der Sicherheit der Unterschrift zunächst nicht ankommen. Danach bleibt festzuhalten, daß ein Hashverfahren als solches keinerlei kryptographischen Schutz vor Verfälschung bietet. Deshalb fehlt in der ersten Lösungsvariante die erforderliche elektronische Unterschrift im Sinne des § 75 S. 2 GBV, da nur das Hashergebnis nach dem Transport der Daten zum Grundbuchserver ohne die Transportsignatur in den Grundbuchdatenbestand eingefügt werden soll. Abs. 70
(2) Lösungsvariante 2 - als elektronische Unterschrift fungiert die digitale Signatur über den Hashwert aus dem Text der Eintragung, dem Namen in Klarschrift und dem Datumszusatz (softwarebezogener Signaturschlüssel)
Die gerade geschilderten Probleme vermeidet die zweite Lösungsvariante, indem sie die elektronische Unterschrift aus dem Hashergebnis über die Eintragung und dem Klarschriftnamen sowie einer digitalen Unterschrift über diesem Hashergebnis zusammensetzt. Derart bietet bereits die elektronische Unterschrift als solche nur demjenigen die Möglichkeit der unbemerkten Veränderung, der entweder den privaten Schlüssel und dessen Sicherung erhalten oder den Algorithmus gebrochen hat. Legt man zu Grunde, daß es bei der elektronischen Unterschrift im Sinne des § 75 GBV nur um den Ausschnitt der Eintragungssicherheit ins Grundbuch (und nicht um den fälschungssicheren Erhalt auf Dauer) geht, so muß dies den Sicherheitsanforderungen genügen. Abs. 71
Der so generierten elektronischen Unterschrift kann nur die Aufgabe zukommen, eine Augenblicksabsicherung für die Eintragung und eine kurze nachfolgende Zeitspanne zu bieten. Das ergibt sich notwendig aus der Konzeption der digitalen Signatur, wie sie im SigG angelegt ist. Sicherheit kann nur solange gewährleistet sein, wie das Zertifikat dauert. Anschließend könnte der Algorithmus "schwach" geworden sein. Damit liegt auf der Hand, daß die dauernde Sicherheit der Grundbuchdaten auf anderem Wege gewährleistet werden muß. Abs. 72
Soweit ein softwarebezogenes Schlüsselpaar verwendet wird, könnte die geforderte Identitätsfunktion fehlen. Danach ist erforderlich, daß der für eine Eintragung verantwortliche Sachbearbeiter zuverlässig zugeordnet werden kann. Es wurde bereits aufgezeigt, daß der Eintragende in allen Alternativen bereits dadurch identifizierbar wird, daß automatisch sein Name im Klartext von der Karte gelesen wird, die seine Zugangsberechtigung enthält. Also ist in tatsächlicher Hinsicht jeder Eintragende stets identifizierbar. Damit ist gleichwohl noch nicht beantwortet, ob dies den Anforderungen an das kryptographische Verfahren genügt, wie es in § 75 GBV verlangt ist. Die Vorschrift könnte so zu verstehen sein, daß die datentechnische Erkennbarkeit des Ausstellers nicht genügt, sondern darüber hinaus ein unmittelbarer kryptographischer Zusammenhang im Sinne einer Zertifizierung nach dem SigG verlangt wird. Diese Sichtweise stößt aber gleich in mehrerlei Hinsicht auf Bedenken. Abs. 73
Der Wortlaut des Gesetzes vermag eine derartige Auslegung nicht zu stützen. Der Umstand alleine, daß ein kryptographisches Verfahren zur Erstellung einer elektronischen Unterschrift verlangt wird, ist unergiebig. Die Einschränkung auf ein bestimmtes Verfahren bedürfte gesetzlicher Legitimation, weil die Regeln der GBO ebenso wie der GBV grundsätzlich davon ausgingen, daß die Details den Landesgesetzgebern überlassen bleiben sollten. Daß es sich hier um eine technische Detailfrage handelt, braucht nicht gesondert betont zu werden. Darüber hinaus spricht die Regelungstechnik des Gesetzgebers in der GBO gegen eine enge Sichtweise. In § 126 GBO ist deutlich zum Ausdruck gebracht, daß die Gesamtleistung der Sicherheitsarchitektur im Vordergrund steht. Wie diese erreicht wird, bleibt den einzelnen Justizverwaltungen überlassen. Deshalb sind bewußt nur Mindeststandards vorgegeben. Schließlich darf nicht übersehen werden, daß in dem allseits akzeptierten Vergleichskonzept der Lösungsvariante 3, in dem die einzelnen Sachbearbeiter individuell zertifizierte Schlüssel erhalten, keine darüber hinausgehende Sicherheit erzielt wird. Bezieht man ein, daß die Zertifizierung justizintern stattfinden soll, so kann gleichermaßen nur hausintern anhand dieser Zertifizierungsdaten festgestellt werden, ob der richtige Sachbearbeiter tätig geworden ist. Der Eintragende erhält eine Smart-Card, auf der sein Schlüssel jeweils zur Signierung zugeführt werden muß. Die hier diskutierte Situation erscheint dazu im Wesentlichen äquivalent. Der Unterschied liegt in der Kodierung der Chipkarten, die nicht mit dem Schlüssel des Sachbearbeiters, sondern mit seinem Namen kodiert erfolgt. Demgegenüber bleiben die wesentlichen Umstände gleich:
  1. Nur der Besitzer der Karte kann die Eintragung im System vornehmen.
  2. Die unbemerkte Veränderung des Klarschriftnamens ist durch eine digitale Signatur ausgeschlossen.
Abs. 74
Daß durch diese Form der elektronischen Unterschrift möglicherweise Angriffspunkte für besonders berechtigte Personen geboten werden, muß aus rechtlichen Gründen an dieser Stelle außer Betracht bleiben. Für § 75 GBV kann es nur auf den Zeitpunkt der Eintragung ankommen. Wie die Gesamtsicherheit des Systems gewahrt wird, muß einer gesonderten Prüfung nach den dafür geschaffenen Vorschriften vorbehalten bleiben. Abs. 75
Dem kann nicht entgegengehalten werden, daß im Zusammenhang mit der Frage, ob ein Hash-Algorithmus als solcher als elektronische Unterschrift fungieren kann, die Systemsicherheit als nicht ausreichend erachtet wurde. Der entscheidende Unterschied liegt darin, daß die digitale Signatur selbst die nötige Fälschungssicherheit gewährleistet. Derart wird verhindert, daß unbemerkt Veränderungen vorgenommen werden können. Dies stellt kryptographisch die Sicherheit der Unterschrift her. Danach fehlt es im Falle des softwarebezogenen digitalen Unterschrift nicht an der Fälschungssicherheit - eine Frage die nur in der Gesamtsystembetrachtung erneut zu stellen ist -, sondern möglicherweise an der Individualisierung der Unterschrift. Diese war aber bereits für die Lösungsvariante 1 nie in Zweifel gezogen worden. Abs. 76
Auf Grundlage dieser Ausführungen entspricht die in Lösungsvariante 2 generierte elektronische Unterschrift den Anforderungen, die nach § 75 S. 2 GBV zu stellen sind. Abs. 77
(3) Lösungsvariante 3 - als elektronische Unterschrift fungiert die digitale Signatur über den Hashwert aus dem Text der Eintragung, dem Namen in Klarschrift und dem Datumszusatz (personenbezogener Signaturschlüssel)
Die Ausführungen zur Lösungsvariante 2 gelten entsprechend für die Gestaltung mit individuell zertifizierten Schlüsselpaaren. Die Problematik um die kryptographische Individualisierbarkeit des jeweiligen Sachbearbeiters stellt sich naturgemäß nicht. Abs. 78
(4) Zwischenergebnis
Die bisherigen Überlegungen lassen sich dahin zusammenfassen, daß die speziellen Anforderungen des § 75 GBV durch die Eintragungsverfahren der Lösungsalternativen 2 und 3 eingehalten werden. Diese Unterschriften genügen schließlich den Ansprüchen, die in § 129 GBO an die Wirksamkeit eines Grundbucheintrags gestellt werden. Die Lösungsvariante 1 bleibt hinter den Anforderungen des § 75 GBV insoweit zurück, als sie keinerlei Absicherung gegen verfälschende Angriffe zu leisten vermag. Abs. 79

4. Bewertung der Sicherheitsarchitektur

Unabhängig von der Frage, ob die Lösungsalternativen einen gangbaren Weg zur Eintragung bieten, bleibt offen, inwieweit die jeweilige Sicherheitsarchitektur den gesetzlich geforderten Mindestanforderungen genügt. Die zu gewährleistenden Sicherungsaufgaben werden in § 126 GBO definiert, der durch § 64 GBV eine nähere Ausgestaltung erfährt, § 61 GBV. Von diesen Spezialvorgaben soll die weitere Untersuchung zunächst ausgehen. Abs. 80
Anforderungen aus § 64 GBV
Für das EGB dürfen nur Anlagen und Programme verwendet werden, die den bestehenden inländischen oder international anerkannten technischen Anforderungen an die maschinell geführte Verarbeitung geschützter Daten entsprechen, § 64 Abs. 1 S. 1 GBV. Aus welchen Einzelkomponenten sich dieser Mindeststandard zusammensetzt, ergibt sich aus § 64 Abs. 1 S. 2 GBV, der auf die in § 64 Abs. 2 GBV benannten Grundfunktionen verweist. Zur Beurteilung stehen noch die Lösungsalternativen 2 und 3. Diese sind folglich an den Anforderungen aus § 64 Abs. 2 GBV zu messen, deren Auslegung sich aus dem Zusammenspiel der §§ 64 Abs. 1 S. 1, 65 GBV sowie § 126 GBO erschließt.Abs. 81
(1) Sicherheitsgrundfunktionen nach § 64 Abs. 2 GBV
Die Regeln der Nr. 1 bis 8 des § 64 Abs. 2 GBV "sollen" eingehalten werden. Damit wird keine Abweichung zugelassen. Vielmehr will der Gesetzgeber zum einen den Ländern ein höheres Maß an Flexibilität bei der Gestaltung ihrer Sicherheitskonzepte einräumen. Zum anderen soll verhindert werden, daß das Vertrauen in die Wirksamkeit von Grundbucheintragungen durch Zweifel an der Einhaltung der Sicherheitsvorkehrungen untergraben wird.(36) Der Verbindlichkeitsvorbehalt, der rechtstechnisch mit der Verwendung des Begriffs "soll" verbunden wird, erlaubt also für die Sicherheitskonzeption eines EGB keinesfalls die Abweichung von den gestellten Anforderungen.Abs. 82
(i) Identifikation, Authentisierung, Berechtigungsverwaltung und Berechtigungsprüfung, §§ 64 Abs. 2 Nr. 1 bis 3, 65 GBV
In erster Linie muß das Datenverarbeitungssystem gewährleisten, daß seine Funktionen nur genutzt werden können, wenn sich die Benutzer dem System gegenüber identifizieren und authentisieren, § 64 Abs. 2 Nr. 1 GBV. Die Regelung kann nicht durch Rückgriff auf § 65 Abs. 1 S. 1 GBV näher ausgestaltet werden. Wie sich aus dem systematischen Zusammenhang des S. 1 ergibt, ist die Formulierung auf die physische Manipulationsmöglichkeit an der Hardware gemünzt. In diesem Kontext versteht sich das Verlangen des Gesetzgebers, die fraglichen Geräte unter Verschluß zu halten.(37) Ein derart physisch orientierter Aspekt betrifft nicht die hier zu untersuchende, konzeptionelle Fragestellung. Weitere Anhaltspunkte ergeben sich jedoch aus dem Zusammenhang zu den Nr. 2 und 3 des § 64 Abs. 2 GBV. Dem Gesetzgeber schwebte ein Gesamtkonzept vor, in dem sichergestellt ist, daß nur der dem System gegenüber verläßlich ausgewiesene Benutzer genau diejenigen Arbeitsschritte vornehmen darf, für die seine Zuständigkeit im System vermerkt ist. Eintragungen sollten ausschließlich durch den ausgewiesenen Sachbearbeiter möglich sein.(38)Das System muß die Benutzungsrechte verwalten und für die einzelnen Arbeitsschritte überprüfen, § 64 Abs. 2 Nr. 2 und 3 GBV. Danach ist durch systemtechnische Vorkehrungen sicherzustellen, daß nur die hierzu ermächtigten Personen Zugriff auf die Programme und den Inhalt der maschinell geführten Grundbuchblätter haben. Die Identifikation und Authentisierung des Benutzers gegenüber dem System muß also so erfolgen, daß nur der jeweils zuständige Sachbearbeiter die zu seiner Zuständigkeit gehörenden Vorgänge aufrufen und bearbeiten kann. Abs. 83
Nach beiden Konzeptionen muß sich der Benutzer des Computersystems zunächst anhand einer individuellen Kennung und einer PIN beim System anmelden. Erst wenn diese Anmeldung erfolgreich war, hat er die Möglichkeit, weitere Funktionen aufzurufen. Um weitergehende Funktionen der Grundbuchdatenbearbeitung zu benutzen, ist zusätzlich eine maschinenlesbare Karte erforderlich, die auf den Sachbearbeiter individuell ausgestellt wird und mit Hilfe einer PIN benutzt werden muß. Dies entspricht den gesetzlichen Anforderungen. Abs. 84
Die Berechtigung für den konkret vom System angeforderten Arbeitsschritt wird mit dem elektronisch erfaßten GVP abgeglichen. Nur soweit die Berechtigung des legitimierten Sachbearbeiters aus den GVP-Daten hervorgeht, kann die Systemfunktion ausgeführt werden. Somit leisten beide Sicherheitskonzepte die geforderte Berechtigungsverwaltung und Berechtigungsprüfung. Die untersuchten Konzeptionen begegnen mit Blick auf die in § 64 Abs. 2 Nr. 1 bis 3 GBV gestellten Anforderungen keinen Bedenken. Abs. 85
Die Zusatzanforderung an die Absicherung gegen Hacking nach § 65 Abs. 2 GBV spielen hier keine Rolle, weil die Verbindung vom Client-Computer zur Datenverarbeitungsanlage über ein nichtöffentliches Datennetz hergestellt werden soll. Abs. 86
(ii) Beweissicherung und Wiederaufbereitung, § 64 Abs. 2 Nr. 4 und 5 GBV
Ergänzend wird zur Beweissicherung eine Protokollierung der vorgenommenen Veränderungen gefordert, § 64 Abs. 2 Nr. 4 GBV. Gemeint ist keine generelle Protokollierung aller Einsichtnahmen bzw. Arbeitsvorgänge im EGB. Ausweislich der Gesetzgebungsmaterialien geht es vielmehr darum, festzustellen, wer Eintragungen vorgenommen hat. Wie lange und in welchem Umfang diese "Beweise" vorzuhalten sind, steht im pflichtgemäßen Ermessen der Landesjustizverwaltung.(39) Dieser Protokollierungsnotwendigkeit werden die vorgestellten Konzeptionen bereits durch Hinzusetzung des Klarschriftnamens gerecht. Weitergehende Anforderungen ergeben sich aus Nr. 7 der Anlage zu § 126 Abs. 1 S. 2 Nr. 3 GBO. Danach ist zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind. Die erforderlichen Daten werden nach beiden Lösungsalternativen erfaßt. Der Eintragung wird der Name des Sachbearbeiters in Klarschrift sowie das aktuelle Eintragungsdatum hinzugefügt. Anhand dieser Daten stehen die geforderten Informationen zur Verfügung. Ob darüber hinaus weitere Systemvorgänge überwacht werden sollen, bleibt dem grundsätzlich freien Ermessen der Justizverwaltung der Länder überlassen. Abs. 87
Die Wiederaufbereitungsicherheit soll gewährleisten, daß die nötigen Sicherungskopien der Grundbuchdaten aktuell vorgehalten werden, um bei Ausfall des Hauptsystems hinreichenden Ersatz bieten zu können. Dieser bereits angesprochene Aspekt wird zusätzlich in § 66 GBV aufgegriffen. Er kann für die vorliegende Fragestellung als gegeben unterstellt werden. Abs. 88
(iii) Fehlermeldung, § 64 Abs. Nr. 7 GBV
Der Gesetzgeber hat mit dieser Vorschrift einkalkuliert, daß selbst bei einem an sich fehlerfrei arbeitenden System doch einmal Fehler auftreten können. Aus diesem Grunde müssen für solche Fälle Fehlermeldungen anzeigen, daß entsprechende Korrekturmaßnahmen erforderlich sind. Die programmtechnische Einbindung derartiger Verifikationsmechanismen ist zu unterstellen. Abs. 89
(iv) Übertragungssicherheit, § 64 Abs. 2 Nr. 8 GBV
Soweit, wie vorliegend, eine Client-Server Architektur verwirklicht werden soll, muß abgesichert werden, daß der Austausch von Daten für das EGB sicher erfolgen kann. Diese Sicherung soll in beiden Alternativen in dreierlei Weise erreicht werden. Der Datenaustausch erfolgt ausschließlich über ein nichtöffentliches Netzwerk. Die Daten werden in verschlüsselter Form übertragen. Schließlich ist die Authentizität anhand der am Client durch den Sachbearbeiter vorgenommenen digitalen Unterschrift überprüfbar. Wie bereits festgestellt, genügen diese Vorkehrungen qualitativ den gesetzlichen Anforderungen; sie werden von keiner Seite in Zweifel gezogen. Abs. 90
(v) Unverfälschtheit, § 64 Abs. 2 Nr. 6 GBV
Zentrale Bedeutung kommt der Unverfälschtheit des EGB Datenbestandes zu, die es nach § 64 Abs. 2 Nr. 6 GBV abzusichern gilt. Danach sollen etwaige Verfälschungen der gespeicherten Daten durch Fehlfunktionen des Systems anhand geeigneter technischer Prüfmechanismen rechtzeitig bemerkt werden können. Ausgehend vom Wortlaut der Vorschrift könnte man ihren Anwendungsbereich ausschließlich auf die Erkennbarkeit maschinell bedingt auftretender Datenverfälschungen beschränken. Zu denken wäre beispielsweise an Datenveränderungen durch Hardwarefehlfunktionen. Ob eine derart enge Auslegung des Begriffs "Fehlfunktionen" der Regelung gerecht wird, erscheint indes zweifelhaft. Der Wortlaut erlaubt ebensogut ein weiteres Verständnis. Die Aufgabenstellung des Systems erschöpft sich darin, den Grundbuchdatenbestand dauerhaft, in unveränderter Form abzusichern. Es liegt auf der Hand, daß im Falle einer Verfälschung, gleich auf welche Ursache sie zurückgeht, eine Fehlfunktion vorliegen muß. Schon das übliche Verständnis des Begriffs der Unverfälschtheit stellt nicht auf die Quelle der Veränderung, sondern auf die Zusammensetzung des betrachteten Gegenstandes ab. Dieses weite Verständnis der Formulierung entspricht vor allem dem vom Gesetzgeber intendierten Regelungsbereich des § 64 Abs. 2 GBV. Es sollte die umfassende Sicherheit des Gesamtsystems abgedeckt werden.(40) Für diese Gesamtsicherheit spielen vor allem Sicherheitsdefizite aus dem Zusammenspiel von Personal, Hard- und Software eine Rolle. Die Forderung nach Unverfälschtheit umfaßt also, daß jede Form der Datenveränderung rechtzeitig bemerkt werden kann. Die Ursache der Datenveränderung spielt dabei keine Rolle. Abs. 91
Es bleibt zu klären, unter welchen Voraussetzungen geeignete technische Prüfmechanismen im Sinne des § 64 Abs. 2 Nr. 6 GBV anzunehmen sind. Eine Definition bietet das Gesetz auch für diesen Begriff nicht. Vorgegeben ist einzig, daß die Verifikation maschinell erfolgen kann und eine rechtzeitige Prüfung, beispielsweise anläßlich des Abrufs von Daten, erlauben muß. Welchen Maßstäben das hier geforderte Verfahren zu genügen hat, muß sich unter Rückgriff auf die allgemeineren Vorschriften ergeben, auf denen die Spezialregel des § 64 Abs. 2 Nr. 6 GBV aufbaut. Abs. 92
(vi) Allgemeine Vorschriften betreffend die Systemsicherheit
Zur Bestimmung der Anforderungen an einen geeigneten technischen Prüfmechanismus bietet sich zuerst der Rückgriff auf § 64 Abs. 1 S. 1 GBV an. Dort wird gefordert, daß die Programme den bestehenden inländischen oder international anerkannten technischen Anforderungen an die maschinell geführte Verarbeitung geschützter Daten entsprechen müssen. Wie diese Standards im einzelnen auszusehen haben, läßt die Vorschrift offen. Es steht lediglich fest, daß - der Bedeutung des Grundbuches entsprechend - ein hohes Sicherheitsniveau zu fordern sein muß. Zudem läßt die Zulassung von nationalen wie international anerkannten Standards erkennen, daß es dem Gesetzgeber nicht um die Normierung eines bestimmten Systems gegangen ist. Abs. 93
Maßgeblich ist weiterhin § 126 Abs. 1 S. 2 GBO, der Anforderungen formuliert, die im Rahmen der Auslegung des § 64 Abs. 2 Nr. 6 GBV zu berücksichtigen sind. Die Nummern 1 und 2 helfen gleichwohl nicht weiter. In Nr. 1 wird lediglich die Einhaltung der Grundsätze einer ordnungsgemäßen Datenverarbeitung angeordnet, was den in § 64 Abs. 1 S. 1 GBV vorgeschriebenen anerkannten Sicherheitsstandards entspricht. Daß die Daten dauerhaft unverändert erhalten werden müssen, Nr. 2, führt ebensowenig weiter. Einzig die Anlage zur Nr. 3 des § 126 Abs. 1 S. 2 GBO bietet in ihren Nummern 1, 2 und 10 zusätzliche Anhaltspunkte, ohne aber materielle Entscheidungskriterien an die Hand zu geben. In den Nummern 1 und 2 wird wiederum - hier auf formell-gesetzlicher Ebene - die Zugangskontrolle sowie die Veränderungskontrolle durch Datenträgerkontrolle angesprochen. In der Nr. 10 ist ausdrücklich festgeschrieben, daß die innerbehördliche Organisation so zu gestalten ist, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird, Organisationskontrolle. Damit hat der Gesetzgeber zu erkennen gegeben, daß auch die organisatorische Absicherung des Gesamtsystems eine tragende Rolle spielen kann. Abs. 94
Letztlich bietet das Gesetz aber keine Anhaltspunkte, die einen Rückschluß auf die Zulässigkeit oder Unzulässigkeit des einen oder anderen Systems zuließen. Die notwendige Ausfüllung des Begriffs des "geeigneten technischen Prüfmechanismus" aus § 64 Abs. 2 Nr. 6 GBV kann nur im Wege weitergehender Auslegung gewonnen werden. Abs. 95
(vii) Sicherheitsanforderungen an das Prüfverfahren
Es muß sich um einen automatisierten Prüfprozeß handeln, der mit hinreichender Sicherheit eine Datenverfälschung aufzuspüren vermag. Wann von hinreichender Sicherheit im Sinne der grundbuchrechtlichen Vorschriften auszugehen ist, muß sich aus dem in § 64 Abs. 1 S. 1 GBV und § 126 Abs. 1 S. 2 Nr. 1 GBO angesprochenen Standard für die Absicherung von Daten ergeben. Abs. 96
Die Bestimmung dieses Standards kann nicht allgemein erfolgen. Der Gesetzgeber hat an vielen Stellen zu erkennen gegeben, daß er von einem Nebeneinander verschiedener, gleichermaßen zulässiger Verfahren ausging. Die Einordnung eines Verfahrenskonzeptes hängt von der Klärung der wesentlichen Anforderungen ab, die an das Konzept zu stellen sind. Es liegt auf der Hand, daß diese Anforderungen für unterschiedliche Aufgabenbereiche differieren können. Je nach Einsatzgebiet ergeben sich unterschiedliche Angriffsszenarien, denen auf unterschiedlichem Wege zu begegnen ist. Erst vor dem Hintergrund des Einsatzbereichs einer Sicherheitsarchitektur kann bewertet werden, ob das Endziel, die Sicherstellung hinreichender Datensicherheit, konzeptionell geleistet wird. Abs. 97
Einigkeit besteht insoweit, daß keine Lösung ohne ein Restrisiko praktizierbar ist.(41) Die gesetzgeberische Gestaltung wollte denn auch die Gesichtspunkte der Praktikabilität und Wirtschaftlichkeit zur erzielten Sicherheit ins Verhältnis gesetzt wissen, weil man bereits schmerzlich erfahren hatte, daß ein EGB nur dann realisierbar ist, wenn es mit verhältnismäßigem Aufwand eingerichtet und unterhalten werden kann. Nichtsdestotrotz müssen die Sicherheitsanforderungen selbstverständlich auf einem hohen Niveau angesiedelt sein, um der Bedeutung gerecht zu werden, die das Vertrauen in Authentizität der Grundbuchdaten für unser Rechtssystem hat. Abs. 98
Die Sicherungsaufgabe beschränkt sich vorliegend auf die Absicherung des EGB vor nachträglicher Verfälschung des Datenbestandes. Es geht also ausschließlich um die Archivierung zentral vorgehaltener Daten. Diese sollen kurzfristig verifiziert und weiteren Arbeitsprozessen zur Verfügung gestellt werden können. Abs. 99
(viii) Verfahren nach dem SigG als möglicher Standard
Erneut ist zu prüfen, ob das im SigG umschriebene Verfahren, unabhängig von einer sonstigen gesetzlichen Anordnung, einen Sicherheitsstandard gesetzt haben könnte, der sich auf die Ausfüllung der in Rede stehenden Rechtsbegriffe auswirken muß. Auf den ersten Blick liegt es nahe, diese Frage zu bejahen.(42) Das SigG bietet das einzige normierte Verfahren.(43)Zudem wird in der literarischen Behandlung von elektronischen Unterschriften ohne nähere Ausführungen von der Maßgeblichkeit des SigG ausgegangen.(44) Bei gebotener Genauigkeit und Differenziertheit der Betrachtung fällt jedoch ins Auge, daß der vom SigG behandelte Problembereich sich von der im Rahmen des EGB gestellten Sicherungsaufgabe maßgeblich unterscheidet. Das SigG soll die nötige Infrastruktur bieten, um eine verläßliche Kommunikation von unbestimmt vielen Rechtssubjekten (nachfolgend m genannt) zu unbestimmt vielen Rechtssubjekten (nachfolgend n genannt) zu ermöglichen. Es geht um verläßliche Kontakte, die von zumeist anonymen Personen über die sich entwickelnden Datennetze geknüpft werden. Im Vordergrund stehen kurzfristige rechtsgeschäftliche Kontakte, die im täglichen Verkehr abgewickelt werden sollen.(45) Dementsprechend ist die Diskussion um die digitale Signatur von der Entwicklung des sog. E-Commerce begleitet gewesen.(46) Derart versteht sich, daß die längerfristige Absicherung von Nachrichten nur in der abschließenden Vorschrift des § 18 SigV geregelt wurde und ansonsten keine Rolle gespielt hat. Davon ist die für das EGB zu lösende Archivierungsaufgabe zu unterscheiden. Diese zeichnet sich gerade durch die Verzichtbarkeit einer Kommunikationssicherung aus. Die Absicherung der Transportwege von und zum Datenspeicher bleiben hier außer Betracht, weil sie ihrerseits bereits als hinreichend sicher beurteilt werden konnten. An dieser Stelle geht es allein um den Schutz eines zentral verwalteten Datenbestandes. In dieser Unterscheidung wurzeln die Bestrebungen, keine unmittelbar dem SigG entsprechende Lösung zu realisieren. Soweit keine Kommunikation von m:n Personen stattfindet, fehlt die Notwendigkeit, eine unabhängige Dritte Instanz als Trust-Center einzuschalten, der alle Beteiligten Vertrauen entgegenbringen. Da es ausschließlich um behördeninterne Vorgänge geht und justizintern die Vertrauenswürdigkeit eigenständiger Verwaltung außer Frage steht, geht man von einer hausintern geführten Zertifizierungsstelle aus. Abs. 100
Zusammenfassend ist festzuhalten, daß wegen der unterschiedlichen Aufgabenstellung, die das SigG auf der einen und die Sicherheitskonzeption des EGB auf der anderen Seite zu gewährleisten haben, allseits die Durchführung des Verfahrens nach dem SigG für entbehrlich gehalten wird. Diese Sichtweise entspricht zudem derjenigen, die sich im Zuge der jüngst im Gange befindlichen registerrechtlichen Gesetzgebungsverfahren herauskristallisiert.(47) Im Zusammenhang mit den Gesetzgebungsvorhaben, die sich mit der elektronischen Umsetzung der Handels- und Vereinsregister befassen, geht man davon aus, daß eine Bindung an das SigG der besonderen Situation der Registerführung nicht gerecht wird, die sich gerade durch ihre behördeninterne Qualität auszeichnet.(48) Abs. 101
Weitere Triebfeder der Bestrebungen, keine strikte Bindung an das SigG zu verlangen, dürfte der damit verbundene erhebliche Aufwand sein, der mit der Einrichtung einer SigG-konformen hausinternen Zertifizierungsstelle verbunden wäre. Abs. 102
(ix) Zwischenergebnis
Es bleibt festzuhalten, daß die Auslegung der Anforderungen, die das Gesetz für die grundbuchrechtlichen Vorschriften mit der Normierung des "anerkannten Standards" verlangt, keinen durch das SigG gesetzten Standard vorgibt. Für die nachhaltige Archivierung von Datenmengen, die dem EGB entsprechen, sind keine anerkannten Standards ersichtlich. Es bleibt nur eine autonome Bestimmung der diese Standards ausmachenden Kriterien.Abs. 103
Ist danach die Abweichung vom Verfahren des SigG auch im Rahmen der Auslegung des § 64 Abs. 2 Nr. 6 GBV zulässig, so schließt sich die weitere Frage an, ob eine mehr oder minder starke Annäherung an das Gesetz zu fordern ist. Dafür muß zunächst geklärt sein, was das Verfahren nach dem SigG konkret ausmacht. Abs. 104
(2) Zertifizierungsinstanz
Der Schlüssel des Rechtspflegers müßte nach § 2 Abs. 1 SigG zertifiziert sein. Dazu müßte das Justizministerium oder ein Gericht eine Zertifizierungsinstanz betreiben. Vorab ist zu bemerken, daß eine Zertifizierungsinstanz einer bestimmten Politik unterliegt, die vorher von entsprechenden Spezialisten erarbeitet werden muß .(49) Das SigG stellt in Verbindung mit den verschiedenen Ausführungsverordnungen und weiterführenden Bestimmungen eine eigene Sicherheitsphilosophie auf, die befolgt werden muß, um eine Genehmigung der Regulierungsbehörde(50)nach § 4 SigG zu erhalten. Eine andere Möglichkeit besteht darin, die Schlüssel von einer kommerziellen Zertifizierungsinstanz zertifizieren zu lassen. Erst kürzlich, also über ein Jahr nach Erlaß des SigG, konnte das Bundesministerium für Wirtschaft bekannt geben, daß seit dem 23.09.1998 eine solche kommerzielle Zertifizierungsinstanz zur Verfügung steht.(51) Der Signaturschlüssel der Regulierungsbehörde wurde am 24.09.1998 erstellt.(52)
Nur wenn das Ministerium oder eine sonstige dafür vorgesehene Behörde über eine ihrerseits von dieser Zertifizierungsinstanz legitimierte Zertifizierung verfügt, können die Schlüssel der Rechtspfleger SigG-konform zertifiziert werden. Fraglich ist nun, welchen Anforderungen das Ministerium bzw. die behördeninterne Zertifizierungsinstanz zu genügen hätten. Dies kann hier nur kursorisch wiedergegeben werden, weil allein Gesetzestexte, Ausführungsbestimmungen und technische Dokumentation mehrere hundert Seiten umfassen. Die Kosten der Einrichtung einer Zertifizierungsinstanz wurden auf etwa 20 Millionen DM geschätzt.(53) Hinzu kommen die laufenden Kosten für Personal sowie die erforderliche Aktualisierung der technischen Ausstattung.
Abs. 105
(i) Infrastrukturelle Voraussetzungen
Die Zulassung als Zertifizierungsstelle setzt Zuverlässigkeit und Sachkunde voraus. Entsprechend einem Verweis in § 4 Abs. 2 Alt. 3 SigG sind die Voraussetzungen der SigV ebenfalls einzuhalten. Ist die Zuverlässigkeit im Falle einer Behörde kaum ein Problem, so bliebe jedenfalls Sachkunde einzukaufen, denn § 4 Abs. 3 SigG verlangt besondere Kenntnisse, Erfahrungen und Fertigkeiten der mit der Zertifizierung betrauten Mitarbeiter. Damit ist zumindest ein Fachmann erforderlich, der die Neuerungen im Bereich der Kryptographie verfolgt. Zudem sind Techniker erforderlich, die sich hinreichend mit der Verwendung von Smart-Cards und deren Sicherheitslücken auskennen. Schließlich bedarf es mindestens eines Informatikers oder einer Person ähnlicher Qualifikation, um die erforderlichen Server zu warten und ständig auf dem neuesten Stand der Sicherheitstechnik zu halten. Abs. 106
(ii) Sicherheitskonzept
Weiterhin fordert § 4 Abs. 3 SigG die Umsetzung eines geprüften Sicherheitskonzeptes. Die Anforderungen an das Sicherheitskonzept werden von § 12 SigV und einem nach § 12 Abs. 2 SigV erlassenen Maßnahmenkatalog weiter präzisiert.(54) Dieses muß zuerst eine Übersicht aller eingesetzten technischen Komponenten und einen Ablaufplan hinsichtlich der Zertifierung enthalten. Nach Erstellung des Sicherheits- und Gesamtkonzepts muß dieses von einer zugelassenen Prüfstelle genehmigt werden. Erst nachdem das Sicherheitskonzept von der Prüfstelle angenommen ist, kann ein Antrag auf den Betrieb einer Zertifizierungsstelle gestellt werden. Abs. 107
Das Sicherheitskonzept umfaßt nicht nur die verwendeten technischen Komponenten und deren Interaktion, sondern auch bauliche Sicherungen, die vom BSI in einem Maßnahmenkatalog beschrieben wurden.(55) Abs. 108
Zu allen Maßnahmen und Abläufen besteht nach § 10 SigG eine umfassende Dokumentationspflicht, die sich im Einzelnen aus § 13 SigV erschließen läßt. Diese Dokumentation ist über einen Zeitraum von 35 Jahren vorzuhalten.Abs. 109
Bei Änderungen der dem Sicherheitskonzept zugrundeliegenden Technik muß das Konzept unverzüglich geändert und erneut zur Überprüfung gestellt werden.Abs. 110
Nach § 5 SigV muß der Rechtspfleger einen eigenhändig oder von der Zertifizierungsstelle generierten Schlüssel erhalten. Im letzteren Falle ist ein Konzept vorzulegen, das ausschließt, daß die privaten Schlüssel bei der Zertifizierungsstelle gespeichert werden können. Stellt der erste Fall die Zertifizierungsstelle vor das Problem, wie der vom Rechtspfleger generierte Schlüssel auf die Chip-Karte übertragen werden kann, sind im zweiten Fall umfangreiche organisatorische Maßnahmen erforderlich, um den Schlüssel wie in § 5 Abs. 2 SigV vorgesehen persönlich von der Zertifizierungsstelle an die zu zertifizierende natürliche Person zu übergeben. In einem weit verzweigten System wie der Gerichtsorganisation müßten gegebenenfalls Registrierungsinstanzen mit geeignetem Personal gegründet werden.Abs. 111
Fraglich ist allerdings, ob in einem Binnensystem, wie es hier vorgestellt wurde, ein Dienst nach § 5 Abs.1 SigG eingerichtet werden müßte, der alle Signaturschlüsselzertifikate, also die zertifizierten öffentlichen Schlüssel der Rechtspfleger, jederzeit abrufbar hält. Ein solches System müßte wiederum besonderen Sicherheitsanforderungen genügen. Vor allen Dingen ist mit technischen Mitteln (Redundanz) die jederzeitige Verfügbarkeit des Systems zu gewährleisten, um eine verläßliche Verifikationsmöglichkeit zur Verfügung zu haben. Auf diese Möglichkeit kann im Falle des EGB keinesfalls verzichtet werden, da bei jedem Aufruf eines Grundbuchdatensatzes, der rechtlichen Belangen dient, eine Überprüfung Datenintegrität stattfinden muß. Abs. 112
Erforderlich ist zudem ein Zeitstempeldienst. Dieser muß ein genaues und unveränderliches Datum signiert liefern. Da bei einem Verlust oder einer Kompromittierung des Zeitstempel-Signaturschlüssels alle jemals mit diesem Schlüssel erstellten Zeitstempel unwiederbringlich ihre Gültigkeit verlieren, müssen unabhängige Mechanismen für die Kontrolle der erzeugten Zeitstempel existieren. Abs. 113
Schließlich muß ein Server zur Verfügung stehen, der die gesperrten Signaturzertifikate vorhält, um eine Verifikation der Ungültigkeit vornehmen zu können. Die gesperrten Zertifikate sind mit einer digitalen Signatur zu versehen, die wiederum besonderen Sicherheitsanforderungen zu genügen hat.Abs. 114
(iii) Technische Voraussetzungen
Für die eingesetzte Technik wird durchweg ein sehr hoher Sicherheitsstandard verlangt. Nach dem Maßnahmenkatalog der Regulierungsbehörde und des BSI wird beim Erzeugen, Laden, Speichern und Anwenden des Signaturschlüssels eine Sicherheitsstufe von E4 (hoch) nach ITSEC verlangt. In die Evaluationsstufen (E-Stufen) gehen unter anderem folgende Punkte ein:
  • Qualität des Entwicklungsprozesses
  • Sicherheit der Entwicklungsumgebung
  • Korrektheit von Hard- und Software
  • Wirksamkeit der Sicherheitsfunktionen gegenüber den (produktspezifischen) Bedrohungen
  • Qualität der Produkt-Auslieferung
  • Generierung und Inbetriebnahme
  • Qualität der Dokumentation
  • Tiefe und Präzision der Evaluierung
Abs. 115
Um diesem Anforderungskatalog zu genügen, bedarf es einer besonderen Prüfung der Komponenten. Jede benutzte Komponente bedarf also wiederum einer einzelnen Evaluation hinsichtlich ihrer Einordnung in die europäischen Sicherheitsstandards.(56) Abs. 116
Nach § 16 Abs. 2 SigV muß die zur Erzeugung oder Prüfung digitaler Signaturen erforderliche technische Komponente durch Besitz und Wissen gesichert sein. Eine normale Authentifizierung durch die Abfrage einer PIN reicht also nicht aus. Das BSI hat in diesem Zusammenhang im Maßnahmenkatalog für technische Komponenten für den RSA(57)eine Schlüssellänge von 1024 bit empfohlen. Dieser Schlüssel muß, gesichert durch eine PIN auf einer Chip-Karte gespeichert sein, um die Anforderungen des § 16 SigV zu erfüllen.Abs. 117
Derzeit können nur 1024 bit auf einer Chipkarte gespeichert werden. Diese Technik wird vom BSI im Maßnahmenkatalog(58) zu § 17 Abs. 2 SigV noch für etwa drei Jahre als sicher eingeschätzt. Anschließend müßte erneut das System geändert und wiederum eine Sicherheitsüberprüfung der neuen Komponenten durch bei der Regulierungsbehörde akkreditierte Prüfinstanzen erfolgen.Abs. 118
Der beschriebene Aufwand für eine signaturgesetzkonforme Lösung sollte sinnvollerweise nur dann getrieben werden, wenn ihm ein spürbarer Sicherheitsgewinn mit Blick auf die spezielle Aufgabenstellung der Archivierung des Datenbestandes im EGB gegenüber steht. Deshalb ist vergleichend für die diskutierten Verfahren zu überprüfen, welche Vor- und Nachteile sie für die in der Anwendungssituation des EGB erdenklichen Angriffsszenarien bieten. Nur anhand dieses Vergleichs läßt sich ermitteln, ob eine wesentliche Abweichung von den geforderten Sicherheitsstandards im Einzelfall gegeben ist. Der Vergleich hat alle sicherheitsrelevanten Umstände der Gesamtsysteme einzubeziehen. Entscheidend kann sich nach dem oben entworfenen Anforderungsprofil nur auswirken, wie sich ein Gesamtsicherheitskonzept in den abzusichernden Angriffssituationen bewährt. Die jeweils bestehenden Restrisiken sind gegeneinander abzuwägen und anhand ihrer praktischen Relevanz zu gewichten. Nur soweit mehrere Lösungen den Mindestanforderungen an die nötige Sicherheit entsprechen, steht es im Ermessen der Landesjustizverwaltungen, welchen Weg sie für die Realisierung des EGB beschreiten möchten. Abs. 119

5. Vergleich der Lösungsalternativen

Neben den bereits vorgestellten Lösungsalternativen 2 und 3 sind drei weitere Verfahren in die Überlegungen einzubeziehen. Abs. 120
Eine abweichende Alternative besteht in dem Zwiebelschalenmodell, wie es im Zusammenhang mit der Studie bereits diskutiert wurde. Diese Alternative soll als Lösungsvariante 4 bezeichnet werden. Das Zwiebelschalenmodell zeichnet sich durch eine stetig anwachsende Zahl von weiteren Verschlüsselungen aus. Die ursprünglich im Datenspeicher des EGB abgelegte elektronische Unterschrift wird rechtzeitig vor Ablauf des Zertifikats erneut verschlüsselt und so datentechnisch vor unbemerkten Veränderungen geschützt. Die neuen Signaturen werden jeweils hinzugefügt. Abs. 121
Als Lösung 5 soll die Einschaltung einer externen Zertifizierungsstelle erwogen werden. Die einzelnen Sachbearbeiter erhalten individuell zertifizierte Schlüsselpaare. Rechtzeitig vor Ablauf der Zertifikate ermittelt ein automatisierter Prozeß die Eintragungen, deren Signaturen zu verfallen drohen. Nach Verifizierung der bisherigen Signaturen fordert der Prozeß den zuständigen Sachbearbeiter auf, mittels seines derzeit zertifizierten Schlüssels eine Neusignierung vorzunehmen.(59) Abs. 122
Schließlich sind hardwarebasierte Lösungen zu berücksichtigen. So können die Grundbuchdaten bei Eintragung auf einen WORM-Datenträger (write once - read multiple) geschrieben werden. Sicherheitsbedenken mit Blick auf die Möglichkeit der Verfälschung scheiden von vornherein aus, weil ein solcher Datenträger nur physisch zerstört, nicht jedoch mit Blick auf einzelne Datensätze verändert werden kann. Die Existenz dieses Verfahrens setzt aber keinen Standard, soweit auch softwaretechnisch gesichert werden kann, daß keine erheblichen Verfälschungen eintreten können. Abs. 123
Diese softwarebasierten Alternativen sollen anhand der für die Archivierungsaufgabe relevanten Angriffspunkte auf die Probe gestellt werden. Soweit sich dabei Schwachstellen offenbaren, bleibt zu untersuchen, ob diese eine rechtlich erhebliche negative Abweichung vom geforderten Standard bedeuten. Abs. 124
a. Angriff durch Sachbearbeiter
Der Angriff eines Sachbearbeiters muß von einem Client-Computer ausgehen. Sofern der Sachbearbeiter schlicht eine falsche Eintragung vornimmt, betrifft dies nicht die betrachtete Archivierungssicherheit des EGB. Damit ist vielmehr ein Problem angesprochen, daß sich gleichermaßen für ein herkömmliches Grundbuch stellt. In die Verfälschungssicherheit der Grundbuchdaten könnte von Seiten des Client-Computers nur dann eingegriffen werden, wenn dies durch die Software oder an der verwendeten Software vorbei über die geschützten Datenleitungen möglich wäre. Vorliegend kann unterstellt werden, daß Serverzugriffe ausschließlich durch in sich abgeschlossene Softwareprozesse erfolgen können. In allen Spielarten der angedachten Sicherheitskonzepte wird durch die Software unter Rückgriff auf den GVP ausgeschlossen, daß ein Sachbearbeiter außerhalb seines Zuständigkeitsbereichs Arbeitsschritte ausführen kann. Eine erfolgversprechende Angriffsmöglichkeit ist aus Sicht eines Sachbearbeiters mithin nicht ersichtlich. Abs. 125
Damit unterscheiden sich die Lösungen mit Blick auf einen potentiellen Angriff durch einen Sachbearbeiter nicht. Sie sind insoweit gleichermaßen als hinreichend sicher und damit standardgemäß zu beurteilen. Abs. 126
b. Schutz vor Systemfehlern
Datenveränderungen können durch Hard- bzw. Softwarefehler zustande kommen. In diesem Falle werden die Abweichungen von allen Sicherheitskonzeptionen anhand der jeweiligen Signaturdaten erkannt. Abs. 127
c. Angriff durch Außenstehende
Ein Außenstehender müßte sich zunächst einen besonderen Zugang zum System verschaffen, weil sämtliche Sicherungskonzepte auf Verbindungen über öffentliche Telekommunikationsleitungen verzichten. Ein Angriff auf den Datenbestand des EGB müßte sich gegen die Hardware richten, auf der die Grundbuchdaten untergebracht sind bzw. durch die die Daten an das Speichermedium geliefert werden. Die Transportsicherheit wird in allen Alternativen durch Verschlüsselung im RSA-Verfahren sichergestellt. Insoweit besteht Einigkeit, daß dieses Verfahren bis zur Übergabe der Daten an den EGB-Datenspeicher hinreichende Sicherheit gewährleistet. Abs. 128
Damit bleibt nur der mögliche Zugriff auf den Server zu bedenken, auf dem die Grundbuchdaten vorgehalten werden. Allen Lösungen ist gemeinsam, daß die Hardware in einem Sicherheitsrechenzentrum unter Verschluß gehalten wird. Der Zugriff über die Datenleitungen, mit denen die Client-Computer angeschlossen sind, verspräche nur dann Erfolg, wenn derart ein verändernder Prozeß der datenverwaltenden Grundbuchsoftware angestoßen werden könnte. Ein solcher Eingriff in die im Lauf befindliche, kompilierte Software kann jedoch ausgeschlossen werden. Dann bleibt nur die Möglichkeit, daß der außenstehende Angreifer die Authentisierungsanforderungen der Softwareprozesse erfüllte. Er müßte also diejenigen Informationen eingeben, die bei ordnungsgemäßem Zugriff durch den zuständigen Sachbearbeiter vom Client-Computer zu übergeben wären. Neben der Anmeldung im System müßte es dem außenstehenden Angreifer gelingen, den zur Erstellung der elektronischen Unterschrift verwendeten Schlüssel zu erhalten. Das Restrisiko eines erfolgreichen Angriffs auf diesem Wege kann bei allen Sicherheitskonzepten vergleichbar gering bewertet und deshalb vernachlässigt werden. Abs. 129
d. Angriff durch Systemadministratoren
In jedem System muß es einen Systemadministrator geben, der das System pflegt und für die technische Umsetzung vergebener Rechte zuständig ist. Diesem stehen grundsätzlich unbegrenzte Zugriffsrechte offen. Die Existenz einer derart "allmächtigen" Position legt die Frage nahe, ob das geforderte Sicherheitsniveau gegeben sein kann, wenn für den Systemadministrator Wege vorstellbar sind, auf denen er unbemerkt Veränderungen am Datenbestand vornehmen könnte. In dieser Hinsicht ergeben sich Unterschiede zwischen den vorgestellten Sicherheitskonzeptionen. Abs. 130
Zunächst soll Lösungsalternative 5 betrachtet werden, in der jede Eintragung mittels eines extern zertifizierten, auf den Sachbearbeiter individualisierten Schlüssels digital signiert wird. Ein erfolgreicher Angriff wäre in diesem Rahmen nur unter ganz besonderen Umständen vorstellbar. Unterstellt, der Systemverwalter veränderte einen Eintragungstext, so könnte die Veränderung anhand der im EGB abgelegten elektronischen Unterschrift aufgedeckt werden. Der Systemverwalter könnte also ausschließlich dann unbemerkt Verfälschungen vornehmen, wenn er den privaten Schlüssel des jeweiligen Sachbearbeiters zur Verfügung hätte. Diesen könnte er aber nur über den Sachbearbeiter selbst oder die Zertifizierungsstelle bekommen, sofern nicht die zweite Möglichkeit ausscheidet, weil bei der Erstellung der den Schlüssel enthaltenden Chip-Karte Abhörsicherheit gegeben ist. Veränderungen durch den Systemverwalter sind damit ohne die Mithilfe dritter Personen ausgeschlossen. Nur soweit einer der Sachbearbeiter mitwirkt, besteht das Risiko der Verfälschung von Grundbuchdaten. Abs. 131
Betrachtet man im Vergleich dazu die Lösungsvariante 4 (Zwiebelschalenalternative), so gilt zunächst Vergleichbares, sofern dem Systemadministrator der Zugriff auf die Schlüsselinformationen über die hauseigene Zertifizierungsstelle verwehrt ist. Auch in diesem Fall kann er ohne die Mithilfe eines Sachbearbeiterschlüssels keine unbemerkten Veränderungen ins System einbringen. Zudem besteht die Möglichkeit, daß abgelaufene Signaturen einen potentiellen Angreifer wegen des mit ihnen verbundenen Mehraufwandes abschrecken. Abs. 132
Dies gilt in gleichem Maße für die Lösungsalternative 3 der modifizierten Konzeption, die ebenfalls von personenbezogenen Schlüsseln ausgeht. Abs. 133
Anders verhält es sich aber im Falle der Lösungsalternative 2, die einen für alle Client-Computer einheitlichen, softwarebezogenen Schlüssel zur Erstellung der elektronischen Unterschrift verwenden will. Unterstellt man, daß dem Systemverwalter seine umfassenden Zugriffsrechte erlauben, sowohl auf dem Grundbuchdatenserver als auch auf dem Security-Server beliebige Veränderungen im Datenbestand vorzunehmen, so könnte er ein neues Hashergebnis über einen veränderten Eintragungstext mit dem softwarebezogenen und damit auch ihm zur Verfügung stehenden Schlüssel signieren. Anschließend könnte er zusätzlich eine passende digitale Signatur in den Datenbestand des Security-Servers einstellen, da ihm auch diese Schlüssel zur Verfügung stehen. Der Eintrag wäre danach in unauffälliger Weise verfälscht. Abs. 134
Die Lösungsalternative 2 unterscheidet sich von den anderen Gestaltungen dadurch, daß sie dem Systemverwalter potentiell die Möglichkeit einräumt, unabhängig von dritten Personen Veränderungen am Datenbestand vorzunehmen. Im übrigen sind zwischen den Alternativen keine nennenswerten Sicherheitsdiskrepanzen erkennbar. Abs. 135
Das in der Lösungsalternative 2 festgestellte Minus an Sicherheit kann gleichwohl nur dann die Beurteilung als nicht standardgemäß im Sinne der grundbuchrechtlichen Vorschriften tragen, wenn sich dies im Gesamtsystem in einem erheblichen Abfall des Sicherheitsniveaus auswirkt. Für diese Annahme spricht vor allem die herausgehobene Bedeutung, die der Vertrauenswürdigkeit der Grundbuchdaten zukommt. Deshalb dürfen bei der Sicherheit grundsätzlich keine vermeidbaren Abstriche gemacht werden. Gleichwohl bleibt zu berücksichtigen, daß dem Gesetzgeber bewußt war, daß gewisse Restrisiken niemals ganz auszuschließen sind. Vor allem hat er an vielen Stellen zu erkennen gegeben, daß nur die Gesamtsicherheit des Systems für die Beurteilung zählt. Ein Mangel, der mit Blick auf einen einzelnen Sicherheitsaspekt festgestellt wird, kann durch anderweitige Sicherheitsvorkehrungen kompensiert werden. Den Ausschlag kann letztlich nur geben, ob das Grundbuch insgesamt seiner Aufgabe, als Vertrauensgrundlage im Rechtsverkehr mit Immobiliarsachenrechten zu dienen, nachkommen kann.Abs. 136
Grundsätzlich ist anzunehmen, daß unkontrollierbare Veränderungsmöglichkeiten einer Person bzgl. des Grundbuchdatenbestandes einen erheblichen Sicherheitsmangel darstellen. Fraglich ist also, ob die Handlungsmöglichkeiten eines Systemverwalters auf anderem Wege begrenzt werden können. Man könnte sich auf den Standpunkt stellen, daß solche Wege generell nicht die nötige Sicherheit bieten. Grundlage dieser Annahme wäre, daß organisatorische Maßnahmen grundsätzlich ungeeignet sind, eine verlässliche Systemsicherheit zu gewährleisten. Diese Meinung sieht sich jedoch im Widerspruch zu den ausdrücklichen gesetzlichen Bestimmungen, wie sie in Nr. 10 der Anlage zu § 126 Abs. 1 S. 2 Nr. 3 GBO getroffen sind. Dort werden organisatorische Maßnahmen als notwendiger Teil eines Gesamtsicherheitskonzeptes in den Vordergrund gerückt. Greift man diese Möglichkeit auf, so liegt die Parallele zu anderweitigen Sicherheitsproblemen nahe. Da in jedem Computersystem ein vergleichbar berechtigter Verwalter agieren muß, handelt es sich um eine gemeinhin zu lösende Aufgabe. Das gilt gleichermaßen für die ins Zentrum der Sicherheitsüberlegungen des SigG gestellten Trustcenter. Dementsprechend lassen sich organisatorische Mechanismen installieren, die der "Allmacht" der Systemverwalter bzw. deren Mißbrauch entgegengesetzt werden können. Einzelheiten sollen nachfolgend an anderer Stelle betrachtet werden. Die Anwendung dieser Mittel ist für eine hauseigene Zertifizierungsstelle ebenso angezeigt wie für den Server, auf dem die Grundbuchdaten niedergelegt sind. Die Gesamtkonzeption des SigG beruht auf dem Gedanken, daß sich das Vertrauen hierarchisch konzentriert. Dies setzt notwendig voraus, daß es mindestens eine ausschließlich organisatorisch kontrollierte Stellen geben muß. Ein solches System kann dann als verläßlich angesehen werden, wenn als gegeben unterstellt wird, daß hinreichend sichere Organisationsmechanismen existieren.Abs. 137
Gegen die Maßgeblichkeit dieser Verfälschungsmöglichkeit durch den Systemverwalter könnte weiterhin sprechen, daß der Gesetzgeber durch Verzicht auf das Vier-Augen-Prinzip grundsätzlich in Kauf nimmt, einer Einzelperson, die mit der Arbeit am EGB betraut ist, die Möglichkeit zur Erstellung falscher Eintragungsdaten einzuräumen. Jeder Sachbearbeiter kann von seinem Terminal aus falsche Grundbucheintragungen erstellen. Diese Gefahr wird hingenommen, weil der Sachbearbeiter mit der Entdeckung solcher Machenschaften rechnen muß. Sobald ein Streit um die fraglichen Veränderungen entsteht, werden die Manipulationen anhand der Grundakten aufgedeckt. Ein Angriff kann deshalb letzten Endes nur dann wirtschaftlichen Erfolg versprechen, wenn sein Wert kurzfristig realisierbar ist. Gestützt auf den verfälschten Grundbucheintrag müßte die dingliche Rechtsposition am Markt veräußert werden. Anschließend müßte sich der Täter dem Zugriff der Verfolgungsorgane entziehen, um drohenden Repressalien zu entgehen. Insgesamt erscheint solches Vorgehen nicht hinreichend erfolgversprechend. Aus diesem Grunde kann nicht mit Angriffen in einem Umfang gerechnet werden, die das Vertrauen in die Richtigkeit der elektronisch vorgehaltenen Grundbuchdaten gefährden könnten. Abs. 138
Diese Situation unterscheidet sich bei hinreichender organisatorischer Absicherung nicht wesentlich von derjenigen, in der sich ein Systemverwalter befindet. Der Unterschied zwischen Systemverwalter und Sachbearbeiter liegt ohne weitere Sicherheitsvorkehrungen darin, daß der Systemverwalter keine Unterschrift unter den Grundbucheintrag setzt, die ihn in Verbindung mit dem gefälschten Eintragungstext bringen könnte. Im Gegenteil: Er wird stets durch die persönlichen Daten der von ihm verfälschten Eintragung auf einen zuständigen Sachbearbeiter zu verweisen versuchen. Gleichwohl bleibt der Systemverwalter als manipulierende Person identifizierbar, wenn sich durch weitergehende organisatorische Maßnahmen hinreichend sicher eine Verbindung von der gefälschten Eintragung bis zu ihm herstellen läßt. Dies kann beispielsweise durch Protokollierungsprozesse geschehen, die automatisch und unmittelbar alle Befehle mitspeichern, die von sonderberechtigten Nutzern an das System gerichtet werden. Sämtliche Manipulationen, die von Seiten des Systemverwalters vorgenommen werden können, müssen den Weg über den vom System zur Verfügung gestellten Befehlsapparat gehen. Die Protokollierung könnte sich beispielsweise auf den handelnden Nutzer, die Netzwerk-adresse, von der die Daten stammen, die benutzen Befehle bzw. Softwareelemente, das Datum und die Uhrzeit der Eingabe, die zu dieser Zeit beim System angemeldeten Benutzer sowie die behandelten Datensätze erstrecken. Durch eine solche Protokollierung könnte jede Veränderung zurückverfolgt werden. Erfaßt wären bereits alle Versuche, die Sicherungsmechanismen auszuschalten oder zu umgehen. Die Protokollierung könnte durch eine von der Anwendungssoftware separate Softwareschicht betrieben werden, für die dem Systemverwalter keine Rechte eingeräumt sind. Abs. 139
Schließlich müßte die Sicherung nicht an Manipulationen scheitern, die ein Systemverwalter womöglich an den Protokolldateien vornehmen könnte. Die Protokolldateien können dem Zugriff des Systemverwalters entzogen werden. Dafür sind unterschiedliche Wege vorstellbar. Zum Beispiel könnte eine ununterbrochene Datenübertragung an ein WORM Laufwerk eingerichtet werden. Beschränkt man die Protokolldaten auf die oben benannten Elemente, so fallen die zu archivierenden Datenmengen kaum ins Gewicht. Denkbar wäre gleichermaßen eine abgesicherte Übertragung an ein Drittsystem, das dem Einfluß eines anderen Systemverwalters unterliegt. Durch diese beispielhaft aufgezeigten Vorkehrungen müßte der Systemverwalter damit rechnen, für jede Form von Manipulation verantwortlich gemacht zu werden. Der Systemverwalter befände sich also mit Blick auf die entscheidenden Gesichtspunkte in einer Position, die derjenigen des Sachbearbeiters vergleichbar ist, dessen Fehlverhalten die gesetzliche Lösung augenscheinlich als unvermeidbar akzeptiert.Abs. 140
Eine weitere organisatorische Sicherungsmöglichkeit könnte darin liegen, den in den Grundbuchvorschriften(60)wurzelnden Gedanken des Vier-Augen-Prinzips aufzugreifen. Darin kommt zum Ausdruck, daß im Falle notwendiger Beteiligung von zwei Personen an einem Eintragungsvorgang durch gegenseitige Kontrolle ein für die Vertrauenswürdigkeit des Grundbuches hinreichendes Maß an Sicherheit erreicht wird. Auf die Situation der Systemverwalter übertragen, könnte programmtechnisch sichergestellt werden, daß privilegierte Nutzungsbefugnisse ausschließlich zur Verfügung stehen, wenn zwei autorisierte Systemverwalter gemeinschaftlich handeln. Allerdings kann für die Beurteilung organisatorischer Sicherungsmaßnahmen allein die förmliche Beteiligung von zwei Personen, d.h. eine Vorschrift über die einzuhaltende Verfahrensweise, nicht genügen. Vielmehr wäre erforderlich, daß diese Sicherungsmaßnahmen für absehbare tatsächliche Arbeitssituationen, also auch in Zeiten besonderer Arbeitsüberlastung, zu einer faktischen gegenseitigen Kontrolle der beteiligten Personen führen wird. Davon ausgehend liegt nahe, daß eine einmalige Anmeldung zweier Systemverwalter nicht ausreichen könnte. Ein solches System erlaubte allzu leicht, im Sinne eines effektiveren Arbeitsfortschritts die Anmeldung durch zwei Systemverwalter vorzunehmen, die anschließend - auf gegenseitiges Vertrauen hin - unabhängig voneinander im System arbeiten könnten. Diese vorhersehbaren Sicherungslücken könnten jedoch geschlossen werden, indem die Autorisierung auf jeden sicherheitsrelevanten Befehl bezogen verlangt wird. Um durch eine derartige Gestaltung die notwendige Systempflege nicht unzumutbar zu beeinträchtigen, könnten verschiedene Arten von Systemverwaltern eingeführt werden. Standardverwaltungsaufgaben könnten von beschränkt bevorrechtigten Personen ohne eine weitere Person auf Grundlage ihrer persönlichen Identifizierung gegenüber dem System ausgeführt werden. Dadurch dürfte das Gros der Tätigkeiten zur Systemverwaltung abgedeckt sein. Die verbleibenden Tätigkeiten, für die sicherheitsrelevante Befehle unerläßlich sind, könnten im Rahmen der beschriebenen einzelprozessbezogenen Identifizierung durch zwei unbeschränkt berechtigte "Ober-Systemverwalter" erfolgen. Damit wäre die Funktionalität des Systems ebenso wie die gegenseitige Kontrolle von sonderberechtigten Personen in einem Maße abgesichert, das der Situation im papiernen Grundbuch entspricht. Abs. 141
Zusammenfassend läßt sich festhalten, daß hinreichende organisatorische Vorkehrungen denkbar sind, um Angriffsmöglichkeiten von Seiten eines Systemverwalters in einem Maße zu erschweren, daß von einem rechtlich akzeptierten Restrisiko ausgegangen werden muß. Abs. 142
Die untersuchten Lösungsalternativen lassen insgesamt keine erheblichen Angriffsflächen erkennen. Die verbleibenden Restrisiken sind keinesfalls geeignet, das Vertrauen in die Authentizität der Grundbuchdaten zu erschüttern. Deshalb entsprechen sie dem Standard, der für einen geeigneten technischen Prüfmechanismus im Sinne des § 64 Abs. 2 Nr. 6 GBV einzuhalten ist. Abs. 143

F. Zusammenfassung der Ergebnisse

Die im Rahmen der Begutachtung gewonnen Ergebnisse lassen sich mit Blick auf die vorangestellte Fragestellung wie folgt zusammenfassen:
  • Die elektronische Unterschrift im Sinne des § 75 S. 2 GBV kann nicht im Hashergebnis als solchem gesehen werden.
  • Die Lösungsalternativen 2 und 3 genügen gleichermaßen den Anforderungen, die nach § 75 S. 2 GBV an eine elektronische Unterschrift zu stellen sind. Insbesondere bedarf es keiner Individualisierbarkeit des Eintragenden anhand eines auf diesen zertifizierten privaten Schlüssels.
  • Lösungsalternative 3 genügt den Sicherungsanforderungen, die die grundbuchrechtlichen Vorschriften an die Gesamtsystemsicherheit stellen.
  • Lösungsalternative 2 könnte mit Blick auf Manipulationsmöglichkeiten des Systemverwalters Bedenken begegnen. Gleichwohl bietet auch diese Konzeption ein hinreichendes Gesamtsicherheitsniveau, wenn und soweit der Handlungsspielraum des Systemverwalters durch geeignete organisatorische Maßnahmen begrenzt wird.

JurPC Web-Dok.
149/1999, Abs. 144

Fußnoten:

(1) Dieser Beitrag gibt ein Gutachten wieder, das ich im Auftrag des Justizministeriums Mecklenburg-Vorpommern erstellt habe. Meinem wissenschaftlichen Mitarbeiter Assessor Kay Diedrich gebührt besonderer Dank für seine tatkräftige Hilfe bei der Erstellung des Gutachtens. Assessor Rigo Wenning vom Institut für Rechtsinformatik hat uns mit wertvollen Informationen zur Sicherheit digitaler Signaturen unterstützt.

(2) Vgl. zu den Einzelheiten dieses Konzeptes Kapitel 5 der Studie sowie die nachfolgenden Ausführungen.

(3) Rechtsverordnung des Bundesministeriums für Justiz, Gz. 3850/8, Referat I B 4 b/III A 4/III A 5.

(4) Vgl. Nr. 5.3 Studie, S. 27.

(5) Vgl. Nr. 5.3 Studie, S. 28 f..

(6) Vgl. dazu Schindler, Werner, Sicherheitsaspekte der elektronischen Unterschrift, K & R 1998, 433, 434.

(7) Man geht heute von einer Gültigkeitsdauer von maximal einem Jahr aus, vgl. Schindler, (oben Anm. 6), K & R 1998, 433, 437.

(8) Vgl. dazu die Ausführungen zur Vermutungswirkung aus § 1 Abs. 1 SigG zuletzt bei Roßnagel, Alexander, Die Sicherheitsvermutung des Signaturgesetzes, NJW 1998, 3312, 3313; Loewenheim, Ulrich/Koch, Frank A., Praxis des Online-Rechts, Wiley-VCH 1998, S. 192, jeweils m.w.N.

(9) Vgl. Roßnagel, (oben Anm. 8), NJW 1998, 3312.

(10) So BT-Drucksache 12/5553, S. 76.

(11) Vgl. zur rechtlichen Qualität der GBV Meikel-Ebeling, Grundbuchrecht, Sonderband: Neue Bundesländer, Grundbuchverfügung, Wohnungseigentum, 1995, A Einl. Rdnr. 2 f.

(12) Die Anlage lehnt sich umfassend an § 9 BDSG an. Von der ins Auge gefaßten Verweisung sah man schließlich ab, weil die unterschiedliche Zielsetzung der Regelungswerke sonst nicht genügend berücksichtigt wäre.

(13) Der Gesetzgeber hatte die Gesamtsicherheit des Zusammenspiels von Hard- und Software im Auge: Er wollte dem Landesgesetzgeber und damit den Landesjustizverwaltungen bei der Erreichung dieses Ziels weitgehend freie Hand lassen. "Wie die Zugangssicherung am besten sichergestellt werden kann, entscheidet die Landesjustizverwaltung nach beliebigem Ermessen. Entscheidend ist nach Satz 2 das Ergebnis, nicht aber der Weg, auf welchem es erreicht wird.", BT-Drucksache 12/6228, S. 85 zu § 65 GBV.

(14) Vgl. Roßnagel, (oben Anm. 8), NJW 1998, 3312.

(15) Vgl. Bemerkung zu Art. 3 der Beschlußempfehlung und Bericht zu 13/7385 Entwurf eines Gesetzes zur Regelung der Rahmenbedingung für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz - IuKDG).

(16) Vgl. dazu die Ausführungen in der BT-Drucksache 12/5553, S. 77 f., wo ausdrücklich festgehalten wird, daß die organisationstechnische Umsetzung der vorgegebenen Mindestinhalte in die Hände der sachnächsten Landesjustizverwaltungen gelegt werden soll.

(17) Vgl. dazu BT-Drucksache 12/5553, S. 74: Die in den siebziger Jahren begonnenen Überlegungen bzgl. eines EGB mündeten im Jahre 1982 in einen Probelauf beim Amtsgericht München, der vor allem deshalb nicht weiter verfolgt wurde, weil der Erfassungsaufwand, den eine veränderte Grundbuchkonzeption mit sich gebracht hätte, kaum realisierbar gewesen wäre.

(18) Siehe dazu die bereits oben auf S. 7 aufgeworfene Fragestellung.

(19) Vgl. zur Offenheit der Konzeption des SigG Loewenheim/Koch, (Anm. 8), S. 192 m.w.N; Roßnagel, (Anm. 8), NJW 1998, 3312, 3313.

(20) Vgl. dazu Koch, Hans-Joachim/Rüßmann, Helmut, Juristische Begründungslehre, C.H. Beck 1982, S. 166; Larenz, Karl/Canaris, Claus-Wilhelm, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, S. 141 ff.

(21) Vgl. dazu Schindler, (Anm. 6), K & R 1998, 433, 434; Koch, Frank A., Internet-Recht, Praxishandbuch, R. Oldenburg 1998, S. 148 f.

(22) Vgl. Schmidt-Räntsch, Jürgen, Das EDV-Grundbuch, VIZ 1997, 83, 85 f; Holzer, Johannes, Das Registerverfahrensbeschleunigungsgesetz, NJW 1994, 481, 484.

(23) Vgl. dazu Larenz/Canaris, (Anm. 20), S. 141; Koch/Rüßmann, (Anm. 20), S. 166.

(24) Vgl. dazu Palandt-Heinrichs, § 126 Rdnr. 5; Schindler, (Anm. 6), K & R 1998, 433, 434.

(25) Vgl. Demharter, Johann, Grundbuchordnung, 22. Aufl. 1997, § 44 Rdnr. 2 und 68.

(26) Vgl. Schindler, (Anm. 6), 1998, 433, 434.

(27) Zusätzlich wird teilweise verlangt, daß eine Unterschrift nur vom authentischen Signierer herstellbar sein darf und von jedermann überprüfbar sein muß, vgl. Schindler, (Anm. 6), 1998, 433, 434; Koch, (Anm. 8), S. 152 ff.

(28) Mißverständlich insoweit die Differenzierung von elektronischer Unterschrift und digitaler Signatur bei Roßnagel, (Anm. 8), NJW 1998, 3112, 3113.

(29) Vgl. Koch, (Anm. 8), S. 148 f.

(30) SoGrieser, Franz/Irlbeck, Thomas, Computer-Lexikon - Nachschlagewerk zum Thema EDV, 1993, S. 399.

(31) Vgl. Grieser/Irlbeck, (Anm. 30), S. 184.

(32) Vgl. zur ursprünglichen Fassung des § 75 GBV die BT-Drucksache 12/6228, S. 89.

(33) Vgl. die ursprüngliche Fassung des § 75 GBV in BT-Drucksache 12/6228, S. 25.

(34) BR-Drucksache 935/94.

(35) Vgl. Erber-Faller, Sigrun, Zweites Forum Elektronischer Rechtsverkehr der Bundesnotarkammer am 3.6.1995 in Berlin, NJW 1996, 305.

(36) Vgl. BT-Drucksache 12/6228, S. 84 zu § 64 GBV.

(37) Vgl. BT-Drucksache 12/6228, S. 85 zu § 65 Abs. 1 GBV.

(38) Vgl. BT-Drucksache 12/6228, S. 84 f. zu § 64 Abs. 2 Nummer 1 sowie 2 und 3.

(39) So der Wortlaut in BT-Drucksache 12/6228, S. 85 zu § 64 Abs. 2 Nr. 4.

(40) Vgl. BT-Drucksache 12/6228, S. 84 zu § 64 Abs. 1: "...Satz 2 bestimmt, daß das Gesamtsystem, also Anlage und/oder Programme, die in Absatz 2 aufgeführten Grundfunktionen enthalten muß. Diese sind sehr umfassend, was für das Grundbuch aber auch erforderlich ist, um seine Funktionsfähigkeit und Sicherheit zu gewährleisten.".

(41) Vgl. dazu die selbstverständlich anmutende Feststellung von Roßnagel, (Anm. 8), NJW 1998, 3112, 3313.

(42) Vgl. dazu die Ausführungen zur Vermutungswirkung aus § 1 Abs. 1 SigG bei Roßnagel, (Anm. 8), NJW 1998, S. 3312, 3313; Loewenheim/Koch, (Anm. 8), S. 192, jeweils m.w.N.

(43) Vgl. Roßnagel, (oben Anm. 8), NJW 1998, S. 3312, 3313.

(44) Vgl. beispielhaft Erber-Faller, (oben Anm. 35), NJW 1996, 305; Schindler (Anm. 6), K & R 1998, 433; Koch, (oben Anm. 8), S. 152.

(45) Vgl. die Beschlußempfehlung/den Bericht des vorbereitenden Ausschusses zum Informations- und Kommunikationsdienster-Gesetzes - IuKDG, zur BT-Drucksache 13/7385 in dem es zu Art. 3 wörtlich heißt: "... Hierdurch [durch das SigG] soll ein Beitrag zur Akzeptanz der neuen Informations- und Kommunikationstechnologien im täglichen Rechts- und Geschäftsverkehr geleistet werden."

(46) Im Einklang damit ist stets von einer Verwendung im Geschäftsverkehr die Rede, vgl. Erber-Faller, (oben Anm. 35), NJW 1996, 305; Schindler, (Anm. 6), K & R 1998, 433.

(47) So auf Nachfrage Richterin Eckstein-Puhl am 12.11.1998, zuständige Referentin beim Ministerium für Justiz des Saarlandes.

(48) So die Auskunft des beim Bundesjustizministerium insoweit federführend mitwirkenden Dr. Schmidt-Räntsch vom 13.11.1998.

(49) Vgl. dazu die entsprechenden Dokumente der IN-CA (http://www.in-ca.individual.net/) und der DFN-PCA, (http://www.cert.dfn.de/dfnpca/)

(50) Regulierungsbehörde für Telekommunikation und Post, http://www.regtp.de/

(51) So die Tagesnachrichten des Bundesministeriums für Wirtschaft vom 28.09.1998, zitiert nach NJW 1998, XLIX; die Zertifizierungsinstanz ist der Regulierungsbehörde für Telekommunikation und Post in Mainz zugeordnet.

(52) Pressemitteilung der Regulierungsbehörde, http://www.regtp.de/Aktuelles/pm2409.htm

(53) Der Spiegel, Netzwelt vom 17.05.1998, http://www.spiegel.de/netzweltarc/themen/trustcenter.html.

(54) Maßnahmenkatalog der Regulierungsbehörde vom 15. Juli 1998, http://www.regtp.de/Fachinfo/Digitalsign/Massnaka1.htm, eine Sammlung der Vorschriften findet sich auf dem Web-Server der Regulierungsbehörde unter http://www.regtp.de/Fachinfo/Digitalsign/start.htm.

(55) Vgl. Maßnahmenempfehlung Infrastruktur des BSI, http://www.bsi.bund.de/aufgaben/projekte/pbdigsig/download/tcinfra.pdf; beispielhaft sei die Spezifikation für Türen vorgestellt: Alle Türen des TC sollten

  • der Klasse ET 3 nach DIN V 18 103 entsprechen und gleichzeitig die Anforderungen an eine Brandschutztür der Klasse T 90 nach DIN 4102 Teil 5 erfüllen.
  • mit Schlössern der Klasse 4 nach DIN 18 251 ausgestattet werden, ausgerüstet mit Profilzylindern der Klasse 3 nach DIN V 18254/07.91 Abschnitt 6.4 mit Kugelzuhaltungen (vergleichbar System DOM ix oder höherwertig) und Schutzbeschlägen der Klasse ES 3 nach DIN 18 257 mit Kernziehschutz (Zylinderabdeckung).
  • für den Einbau von Magnet- und Riegelkontakten sowie eines Blockschlosses vorgerichtet sein. Sie sollten auf Öffnen und Verschluß überwacht werden.
  • mit dem Verriegelungssystem HZ-Lock der Firma Hellmüller + Zingg oder gleichwertige ausgestattet werden.

(56) Die ITSEC-Spezifikationen finden sich unter http://www.tu-chemnitz.de/~igrdb/docs/db_sec/itsec_eu.txt

(57) Abkürzung für ein von Rivest, Shamir und Adleman entwickeltes System. Für die Datenverschlüsselung verwendet das System einen Schlüssel, der aus dem Produkt zweier sehr hoher Primzahlen besteht. Das Verfahren ist so aufgebaut, daß bei der Chiffrierung lediglich das Produkt bekannt sein muß, bei der Entschlüsselung hingegen auch die Kenntnis der beiden Primzahlen erforderlich ist. Unberechtigte, welche die Daten dechiffrieren möchten, müssen aus dem Schlüssel die beiden Primzahlen errechnen; so Grieser/Irlbeck, (oben Anm. 30), S. 593.

(58) Maßnahmenkatalog der Regulierungsbehörde gemäß § 17 Abs. 2 SigV, http://www.regtp.de/Fachinfo/Digitalsign/BAnz.doc

(59) Beachte dazu die eingangs aufgeworfenen Fragestellungen, die sich vor dem Hintergrund der dargestellten rechtlichen Gestaltungen auflösen, oben S. 7.

(60) Vgl. dazu § 44 Abs. 1 S. 2 Hs. 2 GBO.


* Dr. Helmut Rüßmann ist Professor für Bürgerliches Recht, Zivilprozeßrecht und Rechtsphilosophie an der Universität des Saarlandes, Richter am Saarländischen Oberlandesgericht a.D. und Direktor des Instituts für Rechtsinformatik an der Universität des Saarlandes. Daneben ist er Vorstandsmitglied des Deutschen EDV-Gerichtstages.
[online seit: Abs. 1 - 44 seit 06.08.99, Abs. 45 - 104 seit 13.08.99, Abs. 105 - 144 seit 27.08.99]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Rüßmann, Helmut, Zu den Sicherheitsanforderungen für elektronisch geführte Grundbücher (Teil 1) - JurPC-Web-Dok. 0149/1999