Internet-Law

Onlinerecht und Bürgerrechte 2.0

3.1.18

beA: Der Berliner Flughafen der Anwaltschaft

Viele Menschen haben in den letzten Tagen vermutlich erstmals vom sog. Besonderen Elektronischen Anwaltspostfach (beA) gehört. Noch bevor es richtig in Betrieb gehen konnte, wurde es aufgrund von Sicherheitsmängeln schon wieder vom Netz genommen. Was hat es mit diesem beA überhaupt auf sich?

§ 31a Bundesrechtsanwaltsordnung (BRAO) verpflichtet die Bundesrechtsanwaltskammer (BRAK) dazu, jedem in Deutschland zugelassenen Anwalt ein besonderes elektronisches Anwaltspostfach empfangsbereit einzurichten. Mit diesem beA sollen die Anwälte am elektronischen Rechtsverkehr mit den Gerichten teilnehmen. Der Gesetzgeber stellt sich dabei vor, dass dieses Verfahren von einem sehr hohen Maß an Datensicherheit geprägt ist. Das kommt u.a. in § 31 a Abs. 3 BRAO zum Ausdruck.

Kurz vor Weihnachten hat Markus Drenger vom CCC bemerkt, dass der beA-Client den bei der Verschlüsselung notwenigen privaten Schlüssel, der geheim zu halten ist, online bereitstellte. Er hat dies dem Anbieter des Sicherheitszertifikats und dem BSI mitgeteilt. Das Zertifikat musste daher vom Anbieter umgehend für ungültig erklärt werden. Die BRAK forderte ihre Mitglieder anschließend auf Empfehlung des beauftragten IT-Dienstleister Atos dazu auf, ein neues Zertifikat zu installieren, womit das Sicherheitsproblem allerdings nicht gelöst, sondern drastisch verschärft wurde, weil das neue Zertifikat wiederum den privaten Schlüssel verteilte und es sich zudem um ein Root-Zertifikat handelte, das beliebige andere Zertifikate signieren kann. Details hierzu lassen sich bei Golem und dem Kollegen Bergt nachlesen.

In seinem Vortrag auf dem 34C3 hat Markus Drenger außerdem erläutert, warum das beA über keine wirkliche Ende-zu-Ende-Verschlüsselung verfügt, sondern alle Nachrichten von der BRAK bzw. dem technischen Dienstleister Atos geöffnet werden. Drenger ist der Meinung, dass der beA-Client komplett neu geschrieben werden müsste, um gängigen Sicherheitsstandards zu entsprechen und dies nicht innerhalb eines Zeitraums von drei bis vier Monaten möglich sein dürfte. Die fehlende Ende-zu-Ende-Verschlüsselung ist auch deshalb brisant, weil das beA als TK-Dienst grundsätzlich auch Überwachungsregelungen wie der Vorratsdatenspeicherung unterliegt, selbst wenn insoweit die einschränkenden Regelungen für Berufsgeheimnisträger gelten.

Auch wenn allein die Empfehlung von Atos, ein eigenes Root-Zertifikat als Workaround zu installieren, sicherlich ausreichend Grund dafür geboten hätte, den Vertrag mit dem Dienstleister außerordentlich aus wichtigem Grund zu kündigen, hat man sich bei der BRAK offenbar dazu entschlossen, weiter auf diesen Dienstleister zu setzen. Das ist ganz bestimmt keine gute Idee, zumal das Vertrauen der Anwaltschaft in die Sicherheit und Funktionsfähigkeit des von Atos entwickelten Systems erschüttert ist. Aber nicht nur die technisch mangelhafte und nicht den gesetzlichen Vorgaben des § 31a Abs. 3 BRAO genügende Sicherheitsarchitektur des beA wirft Fragen auf, sondern auch die immensen Entwicklungskosten von bislang 38 Mio. EUR, zu denen laufende Kosten von jährlich 11 Mio. EUR hinzukommen.

Es hat ganz den Anschein, als würde sich das beA zum Berliner Flughafen der Anwaltschaft entwickeln. Die vorhandenen Sicherheitsmängel lassen einen baldigen Betrieb in der ersten Jahreshälfte kaum zu. Jedenfalls dann nicht, wenn man es mit dem gesetzlich geforderten hohen Sicherheitsniveau bei der BRAK diesmal ernst nimmt.

posted by Stadler at 22:05