Die Bundesrechtsanwaltskammer (BRAK) hat in ihrer neusten Veröffentlichung bekannt gegeben, dass das besondere elektronische Anwaltspostfach (beA) noch bis mindestens Mitte Mai offline sein wird.
Seit Anfang des Jahres besteht für zugelassene Anwälte und Anwältinnen gem. § 31a Abs. 6 BRAO die Pflicht der passiven Nutzung des beA. Dieses von der BRAK entwickelte System soll Rechtsanwälten und Rechtsanwältinnen die Möglichkeit schaffen, sicher mit der Justiz und anderen Nutzern elektronisch zu kommunizieren. Das beA steht allerdings seit Ende letzten Jahres nach einer einjährigen Testphase nicht mehr zur Verfügung. Grund hierfür ist, dass die BRAK aufgrund schwerwiegender Sicherheitsprobleme der Client Software das System abschalten musste. Die angepriesene „Ende-zu-Ende-Verschlüsselung“ existierte tatsächlich nicht, da die Verschlüsselung der gesendeten Nachrichten auf einem zentralen Server aufgehoben werden konnte. Zudem wurde eine öffentlich zugängliche, nicht mal über DNSSEC gesicherte Domain verwendet. All dies stellt eine Gefahr für das anwaltliche Berufsgeheimnis gem. Art. 6, 8 EMRK, § 43a Abs. 2 BRAO, § 2 BORA dar, da durch die „Umschlüsselung“ Daten über Mandaten in Hände Dritter geraten können. Diese vom „Chaos Computer Club“ entdeckten Schwachstellen wurden zwar vom Dienstleister „Atos“ grob behoben, jedoch war die vorgenommene Nachbesserung unvollständig. Nutzer wurden dazu aufgerufen ein neues, angeblich sicheres Zertifikat herunterzuladen, was allerdings im Vergleich zu dem vorherigen Zertifikat eine größere Angriffsfläche für Angriffe Dritter bietet. Als Folge dieser Sicherheitslücke wurden der Server von Netz genommen und der Client deinstalliert, um die Sicherheit der Anwalts-PCs wiederherzustellen.
Im Rahmen dieser Aufruhr über das infrage gestellte Kommunikationssystem wurden allerdings weitere Sicherheitsprobleme entdeckt. Zum Beispiel liegt die „Ende-zu-Ende-Verschlüsselung“ weiterhin nicht vor. Daraufhin hat die Bundesrechtsanwaltskammer ein Sicherheitsgutachten in Auftrag gegeben, das durch die Firma „secunet AG“ durchgeführt wird. Zwar wurde das vollständige Gutachten, das erst Mitte Mai veröffentlicht werden soll, noch nicht abgeschlossen, jedoch zeigen bereits die am 27.03.2018 bekanntgegebenen vorläufigen Ergebnisse der Analyse weitere Probleme des beA-Systems und der Client Security auf.
In einem internen Rundschreiben der BRAK an die Präsidenten und Präsidentinnen der Rechtsanwaltskammern heißt es, dass keine der bislang identifizierten Schwachstellen eine grundsätzliche Überarbeitung der beA-Systemarchitektur erfordere und der Dienstleister Atos bereits informiert sei. Dieser soll die Sicherheitslücken beheben bevor das beA wieder online geschaltet wird. Da die Behebung der Schwachstellen allerdings einige Wochen dauern werde, soll in der Zwischenzeit das beA System durch die secunet AG umfassend bewertet werden. Mindestens bis dahin werde das beA offline bleiben.
Zwar waren diese Informationen nicht für die Öffentlichkeit bestimmt, jedoch kursierte das Rundschreiben bereits nach kurzer Zeit im Internet und kurbelt die Diskussion über das beA weiter an. Bereits vor zwei Wochen forderte die Rechtsanwaltskammer Berlin Maßnahmen, die ein transparentes und überprüfbares Kommunikationssystem fördern sollen. So sollen die Quelltexte des beA-Systems (Client und Server) als Open-Source-Lizenz veröffentlicht werden, damit unabhängige IT-Experten potentielle Sicherheitslücken entdecken und beheben können. Auch andere Rechtsanwaltskammern wie die Rechtsanwaltskammer Sachsen unterstützen dieses Begehren. Zudem wurde der Antrag gestellt, dem BRAK Präsidenten Ekkehart Schäfer und seinem Stellvertreter Martin Abend das Misstrauen auszusprechen und beide zum Rücktritt aufzufordern. Die Abstimmung konnte allerdings nicht durchgeführt werden, da die Sitzung abgebrochen wurde. Die zur Verfügung stehende Zeit war bereits abgelaufen. Demgegenüber hatte die Kammerversammlung Berlin bereits in einem Misstrauensvotum mit 89,11 Prozent der Anwesenden dem Antrag zugestimmt. Als weitere Reaktion auf die Sicherheitsprobleme der beA will die Initiative „BeA- aber sicher“ eine Ende-zu-Ende-Verschlüsselung gerichtlich einklagen.
Die Veröffentlichung weiterer Stellungnahmen und des vollständigen Sicherheitsgutachtens gilt es abzuwarten. Wann das beA wieder online zur Verfügung stehen wird, ist indes noch nicht sicher abzusehen.
Weiterführende Quellen:
- https://www.heise.de/newsticker/meldung/beA-Besonderes-Anwaltspostfach-nach-neuen-Sicherheitsproblemen-bis-mindestens-Mitte-Mai-offline-4009874.html
- https://www.rak-berlin.de/rak-berlin/aktuelles/2018/180322_Aufruf.php
- https://www.rak-sachsen.de/wp-content/uploads/2018/03/Beschlüsse-KV-23.03.2018.pdf
- http://bea.brak.de/was-ist-das-bea/
- https://bea-abc.de/blog/erste-ergebnis-der-sicherheitsanalyse-anwaltspostfach-bea-bleibt-weiterhin-offline/
- https://www.golem.de/news/bea-secunet-findet-noch-mehr-luecken-im-anwaltspostfach-1803-133601.html
- https://www.bea-aber-sicher.de/sicheres-bea/
- http://einspruch.faz.net/recht-des-tages/2017-12-28/6208c7bddf86307fc1fd79733ddb6043/?GEPC=s3
- https://www.lto.de/recht/juristen/b/anwaltspostfach-offline-egvp-client-bis-mai-it-experten-fordern-open-source-bea-programmcode/
- https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html