beA: Der Berliner Flughafen der Anwaltschaft
Viele Menschen haben in den letzten Tagen vermutlich erstmals vom sog. Besonderen Elektronischen Anwaltspostfach (beA) gehört. Noch bevor es richtig in Betrieb gehen konnte, wurde es aufgrund von Sicherheitsmängeln schon wieder vom Netz genommen. Was hat es mit diesem beA überhaupt auf sich?
§ 31a Bundesrechtsanwaltsordnung (BRAO) verpflichtet die Bundesrechtsanwaltskammer (BRAK) dazu, jedem in Deutschland zugelassenen Anwalt ein besonderes elektronisches Anwaltspostfach empfangsbereit einzurichten. Mit diesem beA sollen die Anwälte am elektronischen Rechtsverkehr mit den Gerichten teilnehmen. Der Gesetzgeber stellt sich dabei vor, dass dieses Verfahren von einem sehr hohen Maß an Datensicherheit geprägt ist. Das kommt u.a. in § 31 a Abs. 3 BRAO zum Ausdruck.
Kurz vor Weihnachten hat Markus Drenger vom CCC bemerkt, dass der beA-Client den bei der Verschlüsselung notwenigen privaten Schlüssel, der geheim zu halten ist, online bereitstellte. Er hat dies dem Anbieter des Sicherheitszertifikats und dem BSI mitgeteilt. Das Zertifikat musste daher vom Anbieter umgehend für ungültig erklärt werden. Die BRAK forderte ihre Mitglieder anschließend auf Empfehlung des beauftragten IT-Dienstleister Atos dazu auf, ein neues Zertifikat zu installieren, womit das Sicherheitsproblem allerdings nicht gelöst, sondern drastisch verschärft wurde, weil das neue Zertifikat wiederum den privaten Schlüssel verteilte und es sich zudem um ein Root-Zertifikat handelte, das beliebige andere Zertifikate signieren kann. Details hierzu lassen sich bei Golem und dem Kollegen Bergt nachlesen.
In seinem Vortrag auf dem 34C3 hat Markus Drenger außerdem erläutert, warum das beA über keine wirkliche Ende-zu-Ende-Verschlüsselung verfügt, sondern alle Nachrichten von der BRAK bzw. dem technischen Dienstleister Atos geöffnet werden. Drenger ist der Meinung, dass der beA-Client komplett neu geschrieben werden müsste, um gängigen Sicherheitsstandards zu entsprechen und dies nicht innerhalb eines Zeitraums von drei bis vier Monaten möglich sein dürfte. Die fehlende Ende-zu-Ende-Verschlüsselung ist auch deshalb brisant, weil das beA als TK-Dienst grundsätzlich auch Überwachungsregelungen wie der Vorratsdatenspeicherung unterliegt, selbst wenn insoweit die einschränkenden Regelungen für Berufsgeheimnisträger gelten.
Auch wenn allein die Empfehlung von Atos, ein eigenes Root-Zertifikat als Workaround zu installieren, sicherlich ausreichend Grund dafür geboten hätte, den Vertrag mit dem Dienstleister außerordentlich aus wichtigem Grund zu kündigen, hat man sich bei der BRAK offenbar dazu entschlossen, weiter auf diesen Dienstleister zu setzen. Das ist ganz bestimmt keine gute Idee, zumal das Vertrauen der Anwaltschaft in die Sicherheit und Funktionsfähigkeit des von Atos entwickelten Systems erschüttert ist. Aber nicht nur die technisch mangelhafte und nicht den gesetzlichen Vorgaben des § 31a Abs. 3 BRAO genügende Sicherheitsarchitektur des beA wirft Fragen auf, sondern auch die immensen Entwicklungskosten von bislang 38 Mio. EUR, zu denen laufende Kosten von jährlich 11 Mio. EUR hinzukommen.
Es hat ganz den Anschein, als würde sich das beA zum Berliner Flughafen der Anwaltschaft entwickeln. Die vorhandenen Sicherheitsmängel lassen einen baldigen Betrieb in der ersten Jahreshälfte kaum zu. Jedenfalls dann nicht, wenn man es mit dem gesetzlich geforderten hohen Sicherheitsniveau bei der BRAK diesmal ernst nimmt.
Nach einem Beitrag von Prof.Dr. Christoph Sorge vom CISPA habe ich ein weiteres Problem identifiziert. Browser können die benötigte Chipkarte nicht lesen. Deswegen wird ein lokaler Webserver aufgesetzt, der das umgeht. Und dieser lokale Webserver wird immer ein Sicherheitsrisiko bleiben. Eine Abhilfe wäre, wenn der Browser Chipkarten lesen könnte. Das wird aber von den derzeitigen Browser-Herstellern in den USA zumindest behindert. Sie sichern nur das Device während das Identitätsmanagement dem Account überlassen bleibt. Die BRAK müsste sich also wie Google benehmen und man müsste die Sicherheitsanforderungen herunter fahren. Solange Chipkarten mit drin sind, wird es diese Lücke immer geben IMHO. Wenn es keine Chipkarten gibt, dann enstehen andere Probleme. Denn dann ist ein Identitätsdiebstahl sehr viel einfacher, denn es braucht keine Hardware-Komponente mehr.
Comment by Rigo — 3.01, 2018 @ 22:18
Ich finde es interessant, dass man sich nun nach erneutem Scheitern des beAs (wegen des mangelhaften User Interfaces war das Projekt ja schon mal verzögert worden, was ja alleine schon beachtlich ist, dass man nach 20 Jahren SigG kein akzeptables UI hat :-) in Sicherheitsdetails und rechtlichen Vorschriften verliert, aber die grundsätzlichen Fragen außen vorlässt:
Was macht die deutsche Anwaltschaft weltweit so besonders, dass man bei der Übermittlung von Schriftsätzen an Gericht eine weltweit einzigartige Sicherheitstechnologie benötigt, die man nach vielen Jahren nicht sicher zum Fliegen bringt und die Mandaten der Anwaltschaft damit grob fahrlässig gefährdet? In UK und USA laden die Anwälte Schriftsätze mit einem einfachen Webserver des Gerichtes und User/Passwort hoch (E-Filing).
Es ist nicht begründet worden, warum Deutschland hier unbedingt den Einsatz qualifizierter Signaturen braucht. Ist es eine Wirtschaftsfördermaßnahme für die Kartenhersteller? Es sieht so aus, als wenn durch Eigensinn von Juristen in Deutschland E-Justice genauso scheitert wie E-Government scheitert und der Bundesrepublik massiv geschadet wird. Es sieht gar so aus, als wenn das Verhältnismäßigkeitsgebot der Verfassung vorsätzlich missachtet wird. Eine pflichtgemäße WiBe (Wirtschaftlichkeitsbetrachtung – Business Case ist auch nicht vorgelegt worden).
Ich halte das beA seit Jahren für völligen Unsinn. Mit der qualifizierten Signatur und dem §3a VwVfG ist 2009 die Umsetzung des Artikel 8 der EU-Dienstleistungsrichtinie vorsätzlich sabotiert worden, weil EU-Ausländer in ihren Heimatländern die deutsche Signatur nicht bekamen und somit nicht „einfach und online“ sich anmelden konnten.
Deutschland bringt sich mit solchen technischen Spielereien weiter weltweit ins Abseits und schafft mit dieser Sicherheitstechnologie neue Sicherheitsrisiken und einen immensen Aufwuchs an Bürokratie ohne Nutzen. In Estland und Spanien (20 MIo Karten von Infineon) mussten neulich die Zertifkatskarten zurückgerufen werden, weil sie unsicher waren. Was soll dieser enthemmte Bürokratieaufwuchs ohne Nutzen?
Weitere Details werden z.B. auch hier diskutiert:
http://www.project-consult.de/news/2017/bea-besonderes-elektronisches-anwaltspostfach#comment-6150
Der Vergleich mit dem Berliner Flughafen hinkt gewaltig: Flughäfen sind weltweit als notwendig anerkannt und er Betrieb auf Schönefeld SXF läuft ja störungsfrei.
Comment by Wolfgang Ksoll — 4.01, 2018 @ 08:46
in Erwiderung an Herrn Ksoll:
Ich stimme Ihnen weit überwiegend zu. Allerdings halte ich eine Zwei-Faktor-Authentifizierung schon für dringend erforderlich. Rechtsanwälte sind auch nur Menschen und der Umgang mit Passwörtern ist allzu oft von erschreckender Sorglosigkeit geprägt. Ob es eine Chipkarte sein muss, steht auf einem anderen Blatt. Eine Lösung wie bei ELSTERonline mit einem digitalen Zertifikat wäre sicherlich ausreichend.
Was mich persönlich irritiert ist die öffentliche Reaktion der BRAK – das erste Abwiegeln und Diskreditieren von Herrn Drenger mag man als Anfängerfehler abtun, aber das aktuelle Schreiben wiegelt weiter ab und redet die katastrophale Situation beim beA klein.
Ich denke, dass wir nicht nur verbindliche Sicherheitsstandards und Auditverpflichtungen benötigen, sondern auch verbindliche Vorgaben für Vergabe und Management von IT-Projekten.
Es ist immer wieder festzustellen, dass die Managementebene technisch überfordert ist und dann – wie hier geschehen – ausgenommen wird wie eine Weihnachtsgans.
Comment by Björn — 4.01, 2018 @ 09:09
@Björn
Sie erklären aber auch nicht, warum die deutschen Anwälte mehr Sicherheit brauchen als die US- und UK-Anwälte. Was macht die deutschen Anwälte so besonders in der Welt, dass wir mit mehr Sicherheit vor Ihnen geschützt werden müssen? Offenbar ist das ja nicht so einfach.- Beim beA war die „Sicherheitstechnologie“ bisher so, dass mit Man-in-the-middle-attacks recht einfach vertrauliche Mandaten-Informationen abgegriffen werden konnten, was bei den Anwälten in USA und UK nicht der Fall ist. Hier stellt sich die Frage, ob nicht die besonderen deutschen „Sicherheitstechnologien“ in der Risikoanalyse als höheres Risiko für die Mandaten einzustufen ist als im Ausland.
Die Zwei-Faktor-Analyse hört sich nach „Wünsch Dir was“ an, was in Deutschland mit immensen Kosten meist gegen die Wand mit hohen Kosten und höherem Risiko fährt. Bei der Umsetzung von eIDAS investieren wir gerade 500 Mio €, um mit Europa wieder kompatibel zu werden, nachdem wir das mit dem nationalen Sonderweg verbaut haben. Und wir werden nach 30 Jahren Internet in Deutschland noch viele Milliarden € zusätzlich gegenüber anderen Staaten ausgeben müssen, um nach dem OZG wenigstens einige Verfahren online zu bekommen. Das schrammt hart an der Verhöhnung der Verfassung mit ihrem Verhältnismäßigkeitsgebot vorbei.
Ich habe jedenfalls noch nie von einer Risikoanalyse gehört, die den deutschen Mehraufwand rechtfertigt. Ist die deutsche Anwaltschaft wirklich so kriminell, dass wir Mehraufwand gegenüber ausländischen Anwälten brauchen?
Zu Ihren Fragen der Standards: Ich glaueb es reicht nicht, nur für die Projekte Stadnards zu fordern. Ich glaube, wir brauchen im Gesetzgebungsverfahren Sachkundenachweise für die beteiligten Juristen in den Ministerien, die die Entwürfe erstellen. Deutschland ist durch fehlende Sachkunde im E-Justice und E-Governmentbereich völlig aus dem Ruder gelaufen. Der Normenkontrollrat hat ja Gottseidank jetzt McKinsey beauftragt, so dass man zu der Feststellung kam, dass in D E-Government nicht stattfindet und man wenigstens die Register (Melderegister, Handelsregister, Gewerberegister, Standesregister, usw.) wie in anderen Staaten online zugänglich machen sollte. Die früher beauftragten Beratungen kamen immer nur zu dem Schluss, man müsse mehr Marketing machen. Marketing für nicht vorhandene Lösungen?
Nch 20 Jahren SigG stehen wir ganz am Anfang. Ein Trauerspiel.
Comment by Wolfgang Ksoll — 4.01, 2018 @ 09:54
Noch mehr Nachrichten, wie Rechtsanwälte die Vertraulichkeit der Mandantendaten gefährden sollten:
https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html
Comment by Wolfgang Ksoll — 4.01, 2018 @ 09:59
@Björn Auditverpflichtungen mit Sicherheitszertifkat dienen nicht der Sicherheit: https://www.securitee.org/files/seals_ccs2014.pdf
@WolfgangKsoll Der Sicherheit bedarf es wegen der Authentifizierung für rechtsändernde Akte einerseits, aber sicher auch weil das beA Potenzial gehabt hätte die Kommunikation der Anwälte untereinander von der Postkarte (email) in einen besser geschützten Kanal zu verlagern. Dachte ich. Bevor ich vom HSM (Hardware Security Module) gehört habe. Das kennt alle privaten Schlüssel aller Anwälte.
Ich sehe das eFiling und den Vergleich zum US – System kritisch. Es geht gerade nicht nur um filing. Eine Alternative wäre hier nur FIDO/Web Authentication mit einem Identitätsmanagement durch die BRAK. Sinnvollerweise hätte man sich auch eine abgestufte Sicherheit vorstellen können, je nach Streitwert. Aber das mangelhafte Projektmanagement wurde ja schon angesprochen.
Comment by Rigo — 4.01, 2018 @ 10:49
@Rigo
„Ich sehe das eFiling und den Vergleich zum US – System kritisch. “
Aha. Und deshalb sollen deutsche Bürger einen Milliarden-Mehraufwand zahlen, weil ohne Risikoanalyse und ohne WiBe einige Bürger das als kritisch“ sehen? Das sind in der Tat Verhältnisse wie beim BER: Management aus dem Bauch.
Comment by Wolfgang Ksoll — 4.01, 2018 @ 11:14
die Pannen gehen weiter… da kann man Markus Drenger danke sagen, daß er dieses entdeckt hat. Es gibt allso sowohl offline auch als online Risiken…
Comment by Handy Reparatur Steglitz-Zehlendorf — 15.01, 2018 @ 14:15
Was mit gerade eingefallen ist – irgendwie kostet das beA Geld. Geliefert wird aktuell aber nichts, so wie es scheint. Und nun ? Haftet da irgendjemand oder irgendetwas ?
Comment by Arne Rathjen RA — 18.01, 2018 @ 16:51
ELSTER sieht mir ziemlich genauso hingeschlampert aus. Die halten sich an keine Web-Standards, bei berechtigten Zweifeln an der Sicherheit sagen die Gerichte einfach: zeigen Sie uns doch erstmal eine ausnutzbare Sicherheitslücke, die Hotline reagiert bei Problemen nur hilflos mit dem Verweis auf die Systemanforderungen, und irgendwie müssen sich die Leute dann selbst im ELSTER-Forum helfen. Aber wer als Unternehmer nicht mitmacht, der kriegt gleich ein Zwangsgeld reingewürgt.
Comment by Vogel — 19.01, 2018 @ 09:17