Anwälte kritisieren die geplante Verschlüsselung des Anwaltspostfachs und haben deshalb Klage gegen die BRAK eingereicht Bild: mailingwork GmbH

Endlich hat die BRAK, wie lange gefordert, das externe Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach vorgelegt. Zugleich hat sie einen sportliche Zeitplan mit Start im September beigelegt. Die Begeisterung bei der Anwaltschaft hält sich auch in Grenzen, weil eine E2EE-Verschlüsselung nicht geplant ist. Um diese durchzusetzen, hatte die Gesellschaft für Freiheitsrechte schon zuvor eine Klage beim Anwaltsgericht Berlin eingereicht.

Das beA soll am 3. September wieder ans Netz. Wenn es nicht durch eine neuerliche Klage wegen Sicherheitsmängeln, die bereits anhängig ist, wieder einmal gestoppt wird. Mit dieser Crowdfunding finanzierten Klage wollen die über die Gesellschaft für Freiheitsrechte e. V. (GFF) klagenden Anwälte das Online-Gehen verhindern.

Secunet-Gutachten zeigt: weiterhin keine Ende-zu-Ende-Verschlüsselung

Das lange unter Verschluss gehaltene Gutachten der Firma Secunet offenbart, dass die BRAK an der kritisierten HSM-Verschlüsselung für das beA festhalten will. Die klagende GFF sieht darin eine Gefährdung des anwaltlichen Berufsgeheimnisses. Die Voraussetzung für eine sichere Kommunikation mit Mandantendaten sei so  nicht gegeben.

Nun will sich der Deutsche Anwaltsverein mit den Experten vom Chaos Computer Club, die schon frühere Sicherheitslücken des beA entdeckt hatten, daran machen, sich ein Bild von der Sicherheit der geplanten beA-Architektur zu verschaffen.

Click to tweet

Wiederbelebte Passive beA-Nutzungspflicht ab 3. September?

Sollt im September das beA wieder am Netz sein, würde die seit 1.1.2018 theoretisch geltende passive Nutzungspflicht der Anwaltschaft wieder aufleben. Sofern die GFF-Klage vor dem Anwaltsgericht Berlin nicht erneut ein Ziehen des Postfach-Steckers bewirkt.

Klage zur Absicherung des anwaltlichen Berufsgeheimnisses

Einige Rechtsanwälte haben bereits vor Wochen wegen des aus ihrer Sicht zu unsicheren Konzeptes des besonderen elektronischen Anwaltspostfachs Klage gegen die BRAK eingereicht. Sie wollen durchsetzen, dass das Anwaltspostfach mit einer E2EE-Verschlüsselung versehen wird. Das beA ist, trotz theoretischer Nutzungspflicht seit 1.1.2018, wegen diverser Sicherheitsmängel immer noch offline. Geklagt hat mit Crowdfunding-Finanzierung die GFF (Gesellschaft für Freiheitsrechte e.V.).

Die Klage wurde beim Anwaltsgericht Berlin eingereicht. Ihr Ziel ist es, dass das künftige beA-Nachrichten per Ende-zu-Ende-Verschlüsselung gesichert werden werden. Vorgesehen ist dagegen eine Umschlüsselung in einem Hardware Security Module (HSM). Die klagenden Anwälte sehen die HSM-Verschlüsselung als eine "Sollbruchstelle" in der beA-Sicherheitsarchitektur.

beA-Klage mit dem Ziel einer E2EE-Verschlüsselung

Die von Externen entdeckten beA-Sicherheitsprobleme, die nach dem Abhängen des Anwaltspostfachs auch schon dazu führten, dass das dem beA angegliederte Anwaltsregister vorübergehend vom Netz musste, haben den Argwohn in der Anwaltschaft geweckt. Eine Gruppe von Anwälten hat deshalb im April über die Gesellschaft für Freiheitsrechte ein Crowdfunding für eine Klage gegen die BRAK zur Durchsetzung einer E2EE-Verschlüsselung angestoßen.

Die in der GFF (Gesellschaft für Freiheitsrechte e.V.) organisierten Anwälte, darunter u. a. Remo Klinger, Stefan Conen und Nina Diercks, halten das geplante beA weiterhin für unsicher und haben sich deshalb entschlossen, gegen die Bundesrechtsanwaltskammer wegen der Verschlüsselung des elektronisches Anwaltspostfachs klagen.

Die GFF startete zur Unterstützung dieser Klage wegen einer angenommenen Hintertür im beA eine Crowdfunding-Kampagne unter dem Motto "beA - aber sicher!".

Gesellschaft für Freiheitsrechte startete Crowdfunding für Klag

Die Organisation will verhindern, dass die Anwälte gezwungen werden, eine unsichere Kommunikations-Infrastuktur zu nutzen.

Aus Sicht von GFF weist das beA eine schwerwiegende Sicherheitslücke auf, weil beA-Nachrichten auf dem Weg vom Absender zum Empfänger nicht durchgehend sicher sind, da auf einem zentralen Server die Verschlüsselung aufgehoben werden und alle Nachrichten mitgeschnitten werden könnten. Derzeit könnten Nachrichten - so die GFF - nicht nur von den Empfängern, sonder unterwegs "umgeschlüsselt" werden. 

Da die BRAK bisher nicht zugesagt habe, diese Sicherheitslücke zu schließen, bleibe nach GFF-Ansicht nur der Klageweg, um eine sichere anwaltliche Kommunikation zu gewährleisten. Verlangt wird eine echte Ende-zu-Ende-Verschlüsselung (E2EE = End-to-End Encryption), die technisch längst möglich ist.

Benötigt wurden 25.000 Euro, um Klage gegen die BRAK zu erheben und eine einstweilige Anordnung zu beantragen.

BeA seit 22.12.2017 wegen Sicherheitsmängeln offline

Extern vorgebrachte Sicherheitsmängel hatten auch zur aktuellen beA-Pause geführt: Die zum 1.1.2018 gesetzlich festgeschriebene passive Nutzungspflicht für den Empfang von Gerichtspost via beA läuft ins Leere, seit die BRAK bereits am 22.12.2017 das beA-System wegen erheblicher Sicherheitslücken offline geschaltet hat.

Rücktritt des BRAK-Vorsitzenden und seines Stellvertreters gefordert

Mit fast 90%-iger Mehrheit stimmte die Versammlung der regionalen Berliner Anwaltskammer dafür, Ekkehart Schäfer, dem Präsidenten der Bundesrechtsanwaltskammer, sowie seinem Stellvertreter, Martin Abend, in der in der Kammer primär verantwortlich für die Errichtung des elektronischen Anwaltspostfachs ist, das Misstrauen auszusprechen.

Mit knapp 74 Prozent forderten die Kammerversammlung den Vorstand der BRAK auf, auf den Rücktritt der beiden Anwälte hinzuwirken.

Insbesondere die Kommunikation der beA-Probleme und ihrerer Bewältigungsversuche durch die BRAK hatte die Anwälten verärgert. Die Berliner Kammer vertraut nach Aussage ihres Präsidenten Marcus Mollnau "weder den Aussagen der Bundesrechtsanwaltskammer noch den Mitteilungen der Atos“.

FDP-Fraktion richtet Anfrage an Rechtsaufsicht führendes Justizministerium

Die Fraktion der FDP will nun vom Bundesjustizministerium wissen, wie die Bundesregierung mit der Verzögerung der Einführung der besonderen elektronischen Anwaltspostfächer (beA) umgeht.

Das Ministerium führt die Rechtsaufsicht über die BRAK, die für die Einrichtung des mit dem Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten eingeführten beA zuständig ist. In einer Kleinen Anfrage (19/677) will die FDP-Fraktion u. a. wissen,

  • ob das Ministerium aufsichtsrechtliche Maßnahmen die beA-Einführung betreffend ergriffen hat,
  • für wann es von einer tatsächlichen Bereitstellung des beA ausgeht
  • und wie lange der ursprünglich für die Abschaltung im Februar vorgesehene Elektronische Gerichts- und Verwaltungspostfach-Client angesichts der Nichtverfügbarkeit des beA weitergeführt werden soll.

Justizminister sah keinen Handlungsbedarf

Augenscheinlich sollte die Anfrage bewirken, dass das Ministerium Druck auf die BRAK zu macht, damit das beA-Projekt wieder Fahrt aufnimmt. Doch die Maas-Mannschaft reagierte gelassen:

Der Bundesregierung sei derzeit noch kein konkreter Termin für die Wiederinbetriebnahme des baA bekannt und:  Die Staatsaufsicht über die BRAK beschränke sich darauf, dass Gesetz und Satzung beachtet würden. Das BMJV stehe mit der BRAK in Kontakt, um sicherzustellen, dass das beA entsprechend den gesetzlichen Vorgaben „so zügig wie möglich“ wieder in Betrieb genommen werden könne.

Nun ist sowieso erstmal Schichtwechsel in der Ministeriumsspitze - und möglicherweise auch bei der BRAK.

Anwälte sind beA-zahlungsmüde, skeptisch und irritiert

Die IT-Sicherheit der beA-Architektur wurde in Fachkreisen schon längerkritisch hinterfragt. Insbesondere die Offenlegung bestehender Systemfehler durch Markus Drenger vom Chaos Computer Club Darmstadt hat die BRAK gezwungen, die Notleine zu ziehen.

Nicht erst als publik wurde, dass die Anwaltschaft seit 2015 für das beA 32,5 Mio. EUR bezahlt hat, finanziert von den Mitgliedern durch Zwangsumlagen, rumorte es im Rechtsberatungsmarkt.

Eine Diskussion über den Ist-Zustand des Postfach-Projektes soll nun die neue Richtung weisen im "intensiven und konstruktiven Austausch über Sicherheitsfragen bei beAthon".

Die BRAK stellt sich damit der Kritik an der Arbeit am besonderen elektronischen Anwaltspostfach und hat zugesagt, ein externes, unabhängiges Gutachten über das beA durch vom BSI (Bundesamt für Sicherheit der Informationstechnik) empfohlenen Experten einzuholen und öffentlich zu machen.

Es sollen auch Kritiker, die nicht institutionell gebunden sind, in den Prozess zur Klärung sicherheitsrelevanter Fragen eingebunden werden.

Zahlungsstopp für Entwickler Atos

Der Softwaredienstleister Atos wird von der Bundesrechtsanwaltskammer seit Weihnachten nicht mehr für das Erstellen des besonderen elektronischen Anwaltspostfachs bezahlt, schon weil das mit mehreren Sicherheitsproblemen behaftete beA zunächst umfassend und transparent geprüft werden soll.

Justizminister will Antworten

Der Bundesjustizminister, zuständig für die Staatsaufsicht über die BRAK, hat von dieser schriftlich eine Reihe von Auskünften verlangt, insbesondere auch zu der nachgeschobenen zweiten und noch unsichereren Zertifikatslösung. Außerdem fordert Maas eine „unverzügliche Behebung“ der bestehenden Sicherheitsprobleme.

Anwaltspostfach vom Netz

Ab 1.1.2018 waren laut gesetzlichem ERV-Zeitplan alle Anwälte zur beA-Nutzung und Postfach-Bereitstellung für einen elektronischen Postempfang verpflichtet.

Nun sind es nicht die unwilligen oder langsamen Rechtsanwälte, sondern das unsichere Postfach und die damit verbundene Gefahr durch Cyberattacken, an denen der Start scheitert. Die BRAK musste deshalb die Reißleine ziehen und das Projekt vorübergehend stoppen.

BeA vom Netz, bis Entwickler eine sichere Lösung findet

Bereits am 22.12.2017 hatte die Bundesrechtsanwaltskammer die beA-Webanwendung vom Netz genommen, weil ein für den Zugang erforderliches Zertifikat als unsicher eingestuft worden war und von T-Systems gesperrt wurde. Am 27.12. teilte BRAK dann in eine Pressemitteilung mit, sie werde die beA- Plattform vorerst offline lassen. Sie versichert, die Ende-zu-Ende-Verschlüsselung sei von dem Sicherheitsmanko nicht betroffen. Die Vertraulichkeit der Datenübertragungen sei zu jedem Zeitpunkt gesichert gewesen. Es handele sich bei dem Grund für das Abschalten um ein Zugangs- bzw. Verbindungsproblem, das der Technologieentwickler des beA-Systems (das französische Technologie-Unternehmen Atos) trotz intensiver Arbeiten bislang nicht gelöst habe.

Rechtsanwälten, die entsprechend der ursprünglichen BRAK-Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installiert haben, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen.

Chaos Computer Club meldete Sicherheitslücke

Hintergrund: Zunächst lautete die BRAK-Ansage, das für die beA-Nutzung erforderliche Zertifikat sei „abgelaufen“. Doch es war ein bisschen anders. Ein Hacker vom Chaos Computer Club Darmstadt fand heraus, dass ein wichtiger Code für die Authentifizierung sämtlicher Anwälte öffentlich abrufbar war.

  • Ein Einfallstor für Cyberangriffe auf hochbrisanten Mandantendaten.
  • Der Hacker, Markus Drenge, meldete die Schwachstelle dem Bundesamt für Sicherheit in der Informationstechnik und T-Systems, woraufhin T-Systems das Zertifikat, also den digitalen Ausweis zur beA-Nutzung, einzog.

Das Zertifikat war also unsicher und nicht abgelaufen. In seiner mittlerweile gelöschten Mitteilung vom 22.12.2017 versuchte die Kammer das Problem mit einer nicht tragfähigen Lösung zu retten. Sie forderte ihre Mitglieder damit auf, händisch ein neues Zertifikat zu installieren, doch auch bei diesem Zertifikat war der Schlüssel anscheinend öffentlich.

Nun rät die BRAK dringend, das ersatzweise bereitgestellte Sicherheitszertifikat, falls vom Rechtsanwalt installiert, zu deinstallieren.

Was wird aus der beA-Nutzungspflicht?

Was die ab 1.1.2018 eintretende passive Nutzungspflicht der Anwälte betrifft, bedeutet dies, dass diese Nutzungspflicht, solange beA vom Netz ist, nicht erfüllt werden kann.

"Es können auch keinerlei Nachrichten in das beA der Anwälte gesandt oder von dort abgeholt werden", so die BRAK "Gerichte sind daher auch nicht in der Lage, in diesem Zeitraum Nachrichten an Anwälte zu senden."

Wie geht es mit dem besonderen elektronischen Postfach weiter?

Die BRAK wird das beA-System erst wieder online bereitstellen, wenn der Dienstleister Atos die Störungen vollständig behoben hat und einen sicheren Zugang gewährleisten kann. Sie bemüht sich beim Justizministerium um eine Lösung, die ab 1.1.2018 bestehende Nutzungspflicht für Anwälte zu verschieben. Es handelt sich bei der Nutzung ja faktisch um einen Fall der Unmöglichkeit.

Lesen Sie zu dem Thema auch:

Serie: Elektronisches Anwaltspostfach

Ist Ihr besonderes elektronisches Anwaltspostfach sicher

Elektronischer Rechtsverkehr verabschiedet - schrittweise Einführung beginnt 2014

Schlagworte zum Thema:  Anwaltssoftware, Verschlüsselung, Besonderes elektronisches Anwaltspostfach, Elektronischer Rechtsverkehr, Rechtsanwalt, Hacker

Aktuell
Meistgelesen