Serienelemente

Die BRAK-Aufforderung zur sofortigen Deinstallation der Cloud-Software bedeutet einen massiven Rückschlag für den Elektronischen Rechtsverkehr. Das besondere elektronische Anwaltspostfach als Cloud-Software der BRAK sollte sicher und leicht sein. Jetzt empfiehlt die BRAK, die beA-Software sofort zu deinstallieren. Was bedeutet es für den ERV und wie kann die Zukunft des Postfachs aussehen, in einer Zeit, wo die DSGVO höchste Datenschutz und IT-Sicherheit vorgibt?

Diese Handlungsaufforderung zur sofortigen Deinstallation der Cloud-Software erging an die rund 170.000 Anwälte im Bundesgebiet und ist Ergebnis einer auf den Namen beAthon getauften Diskussionsveranstaltung, bei der die Kammerorganisation IT-Sicherheitsexperten gehört hat.

BRAK-Aufforderung nach Sicherheitsdialog beAthon

Die zum 1.1.2018 gesetzlich festgeschriebene passive Nutzungspflicht für den Empfang von Gerichtspost via beA läuft ins Leere, seit die BRAK bereits am 22.12.2016 das beA-System offline geschaltet hat, wegen erheblicher Sicherheitslücken.

Die IT-Sicherheit der beA-Architektur wurde in Fachkreisen seit Monaten kritisch hinterfragt. Insbesondere die Offenlegung bestehender Systemfehler durch Markus Drenger vom Chaos Computer Club Darmstadt hat die BRAK in Erklärungsnot gebracht. Ernsthafte Bedenken am beA-Cloud-Vehikel kamen schon auf, als die BRAK den Go-Live-Start vom 1.1.2016 auf den 29.9.2016 verschieben musste.

Teure und geheime Angelegenheit

Nicht erst als publik wurde, dass die Anwaltschaft seit 2015 für das beA 32,5 Mio. EUR bezahlt hat (NJW-aktuell 5/2018, S. 7), finanziert von den Mitgliedern durch Zwangsumlagen, rumorte es im Rechtsberatungsmarkt. Für die Modernisierung des Rechtsberatungsmarkts und „Law made in Germany“ wurde eifrig geworben, wiewohl die Entwicklung des beA mit dem Software-Hersteller Atos von der BRAK wie eine geheime Verschlusssache gehandhabt wurde.

Auftragsvergabe an Software-Hersteller Atos

Gegen die Kostenbeteiligungen wie gegen die Normen über das beA und Einschränkungen der verfassungsrechtlichen Berufsausübungsfreiheit wurden Gerichtsverfahren angestrengt.

Das BVerfG hat jüngst eine Verfassungsbeschwerde gegen die Einführung des beA abgewiesen (Beschuss. v. 20.12.2017, 1 BvR 2233/17). Ob bei längerer Verfahrensdauer eine andere Sachentscheidung gefällt oder ob es zu weiteren Instanz- und höchstrichterlichen Entscheidung kommen wird, dürfte jetzt auch vom Erfolg des Krisenmanagements der BRAK abhängen.

Sicherheitslücken, Daten-  und Kontrollverlust bei beA?

Was ergibt die Diskussion über den Ist-Zustand des Postfach-Projektes und was folgt aus dem "intensiven und konstruktiven Austausch über Sicherheitsfragen bei beAthon"?

Es bestand bei anwaltlichen Praktikern, in der Wirtschaft und bei der Justiz weitgehend Konsens, dass die bisherigen papiergebundenen Klageverfahren durch elektronische Prozesse abzulösen sind. Trotzdem ist das Erstaunen über die Freischaltung eines Cloud- und Verfahrenskommunikationssystems groß, weil die vorgeblichen Basissicherheit nach Meinung der IT-Experten von Chaos Darmstadt, Markus Drenger und Felix Rohrbach, nicht bestehe.

  • Gravierender als die im Dezember 2017 eingeräumte Sicherheitslücke betreffend ein HTTPS-Sicherheitszertifikat, das ein Mitlesen verschlüsselter Webverbindungen erlaubt hat, scheint laut Drenger und Rohrbach die am 26.1.2018 beschriebene zweite Schwachstelle.
  • Danach könnten Hacker die Kontrolle über die Client-Software beA übernehmen. Die Einschleusung von Schadsoftware, das Kopieren und Manipulieren von Daten, die der Verschwiegenheitsverpflichtung der Berufsgeheimnisträger unterliegen, wären eine mögliche Folge. 

Die Firma Atos soll der BRAK eine Update-Version zur Verfügung gestellt haben, mit der die erste Sicherheitslücke beim Verschlüsselungszertifikat behoben sein soll. Zur Auslieferung des Updates ist es indes noch nicht gekommen. Die BRAK hat angekündigt, vor erneuter Freischaltung des beA eine Sicherheitsprüfung der neuen Version durch die vom Bundesamt für Sicherheit in der Informationstechnik vorgeschlagene Gesellschaft Secunet Security Networks AG vornehmen zu lassen. Abzuwarten bleibt, ob der Untersuchungsprüfbericht und der Quellcode des beA-Systems veröffentlicht werden.

BeA-Entwicklung mit ungenügende IT-Sicherheitskonzeption?

Die Entscheidung der BRAK, für eine sicheren elektronischen Kommunikations- und Übermittlungsweg mit beA ein kammereigenes System zu entwickeln und als Pflicht-Cloud-Vehikel vorzuschreiben, wurde als Optimal-Lösung im Einklang mit der Justiz verkauft.

  • Bei der Umsetzung wurde der von der Justiz zur Verfügung gestellte Client des „Elektronischen Gerichts- und Verwaltungspostfachs“ (EGVG) ersetzt
  • und ein eigenständiger Zugangsweg zum EGVP, der auf OSCI-Standards aufsetzt, neu definiert.
  • Dabei macht sich beA einer der EGVP-Blaupause entsprechenden Nutzerverwaltung aller User mittels eines sog. SAFE-Konzepts (Secure Access to Federal E-Justice) zu Nutze.

IT-Fachkreisen gaben zu Bedenken gegeben, dass eine Entscheidung, das System auf der Grundlage des sog. SAFE-Konzepts des EGVP aufzusetzen und Client-basierte Zugangsöffnungen vorzugeben, trotz angeblicher Ende-zu-Ende-Verschlüsselung nicht der risikominimalsten Sicherheitsansatz sei.

Für die Programmierung eines eigenen Systems, das unseres Erachtens gegenüber der qualifizierten elektronischen Signatur kaum Bedienungsvorteile bringt (s.u.) und sogar das Nachsehen in einem zweiten Postfach erfordert, brauchte man gute und einleuchtende Gründe, vor allem wenn man die inzwischen aufgelaufenen Kosten für die Realisierung betrachtet.

Vertrauensschaden bei beA-Architektur durch Medienberichte?

Der Journalist Hanno Böck hat die technischen Sicherheitsaspekte des beA  zusammengefasst. Beim Deutschen Anwaltverein wird das Konzept der BRAK unserem Eindruck nach als gescheitert angesehen.

Der frühere Vorsitzende des BRAK-Fachausschusses IT-Recht, Dr. Thomas Lapp, fasst beim DAV zusammen:

Während der Entwicklung hatte die BRAK nur sehr wenig Informationen herausgegeben und selbst Angebote zur Unterstützung abgelehnt. Den Anbietern von Anwaltsprogrammen, die die Schnittstellen aus ihrer Software zur bequemen Nutzung des beA programmieren wollten, wurden nur sehr wenige Informationen und diese auch nur mit scharfen Vertraulichkeitsvereinbarungen gegeben. Nicht zum ersten Mal ist die Idee „Security by Obscurity“ grundlegend gescheitert. Die Überprüfung der Sicherheit hat vielmehr eine Fülle von Problemen offengelegt. Die BRAK hatte in einem früheren Stadium die Sicherheit durch eine externe Firma überprüfen lassen. Damals wurden nach den Verlautbarungen der BRAK keine Kritikpunkte geäußert, obwohl einige der jetzt kritisierten Probleme bereits damals bestanden hätten. (…)

Veraltete Programmbibliotheken. Es wurden Bibliotheken verwendet, die bereits seit 2015 abgekündigt sind und nicht mehr supported werden. Ohne genaue Analyse kann man von außen nicht sagen, ob dies in der konkreten Anwendung zu einem Sicherheitsproblem führt; es ist jedenfalls schlechter Stil, aber nicht unbedingt dramatisch.

Umschlüsselung im HSM. Die Durchbrechung der Ende-zu-Ende-Verschlüsselung im HSM wird kontrovers diskutiert. Hintergrund der Lösung ist der Wunsch der Rechtsanwälte, als Empfänger selbst entscheiden zu können, wer eine bestimmte an den Rechtsanwalt gerichtete Nachricht lesen darf. Bei konsequenter Umsetzung der klassischen Ende-zu-Ende-Verschlüsselung muss dies aber der Absender festlegen. Rechtsanwälte wollen aber nicht gerne offenlegen, wer in der Kanzlei alles mitliest. Das von der BRAK gewählte Vorgehen sollte man solange vermeiden, wie es eine Alternativlösung gibt, die die Anforderungen ebenfalls erfüllt. Ohne genaue Analyse der konkreten Anforderungen (im Bereich der Stellvertretungsregelungen) kann man nicht sagen, ob eine Alternative machbar gewesen wäre - mit fortgeschritteneren kryptographischen Konzepten hätte man möglicherweise etwas hinbekommen. HSMs sind aber nicht per se unsicher, werden auch in anderen sensiblen Bereichen zB bei Banken durchaus eingesetzt. Maßgebend ist vor allem, ob die konkrete Umsetzung richtig gemacht wird. Das Vertrauen, dass die Umsetzung richtig gemacht wurde, hat allerdings wegen der anderen Fehler gelitten."

Kommt es zum beA-Strategiewechsel bei der BRAK?

In Fachkreisen mischt sich die Verwunderung über das gemeinsame Bild, das Kammerverwaltung und Hersteller Atos im Wirtschafts- und Rechtsberatungsmarkt abgeben, mit der Sorge, ob der von der BRAK eingeschlagene Weg der Mangelbeseitigungsbemühungen noch dem Gemeinwohlinteresse entspricht und im Interesse der arbeitenden Rechtsanwälte und der rechtsuchenden Unternehmer und Verbraucher so aufrecht erhalten werden könne.

Ob es die Kammervertretung der Anwälte unfreiwillig geschafft hat, dass sich Mitglieder und ihre Mandanten, Presse und justizministeriale Rechtsaufsichtsbehörde jetzt für tiefere technische und rechtliche Aspekte der Auftragsvergabe und Mittelverwendung interessieren, dürfte abzuwarten sein. Ohne die verfassungsrechtlich garantierte Freiheit der Advokatur und die Vorzüge der Selbstverwaltung in Frage zu stellen, würde es nicht überraschen, wenn einzelne Berufsträger angesichts der neuen Entwicklungen die Geltendmachung von Auskunfts-, Rechenschafts- und Mitgliedsrechten auf Kammerversammlungen und im Rechtsweg prüfen würden.

Die von den regionalen Kammern gebildete BRAK hat selbst dafür gesorgt, dass die Diskussion um die eher intransparente Auftragsvergabe an Atos, um die Projektkoordination und Kontrolle sowie Angemessenheit von (Sonder-)Beitragserhebungen auf Mitgliederebene und der Verwendung von Sach- und Personalmitteln bei der Kammerverwaltungsorganisation neu entflammt ist.

Mehr Transparenz im beA-Projekt scheint unverzichtbar

Als Ausweg und Bekenntnis der Kammerverwaltung zu ihren Mitgliedern, die ein beA-System in der täglichen Praxis für Unternehmen und Verbraucher verwenden sollen, erscheint vielen nur eine umfassende Veröffentlichung aller mit dem Projekt des ERV und beA verbundenen Verträge, Protokolle und (Sicherheits-)Dokumente unumgänglich.

Forderungen und Kritikpunkte

Aus der Sicht der Autoren wäre angesichts der hohen Vertraulichkeit anwaltlicher und behördlicher Kommunikation zwingend ein System mit tatsächlicher Ende-zu-Ende Verschlüsselung erforderlich.

Schon das De-Mail-Konzept mit einer Entschlüsselung der Inhalte auf dem Weg vom Absender zum Empfänger hat trotz rechtlicher Anerkennung bisher kaum Anklang bei den Benutzern gefunden, da es trotz des nachgeschobenen PGP-Plugins am Markt nicht als lückenlose Verschlüsselung angesehen wird. Zudem kann aus Sicht der Autoren die Zwischenschaltung eines eigenen Webservers auf dem Rechner des Benutzers weitere Sicherheitsprobleme aufreißen, auch jenseits von veralteten Java-Bibliotheken.

Wirtschaftsberatende Anwälte setzen in der Praxis schon längst wegen der bestehenden Verschwiegenheitspflicht und mit Blick auf neue allgemeine Datenschutz-Sicherheitsanforderungen nach der am 25.5.2018 in Kraft tretenden DSGVO auf Datensicherheitskonzepte wie Verschlüsselung a la „privacy by design“ und „privacy by default“.

  • Der Umgang mit Signaturkarten und der qualifizierten elektronischen Signatur zur rechtswirksamen Digitalisierung der höchstpersönlichen Unterschrift ist für anwaltliche Praktiker kein Buch mit sieben Siegeln mehr.
  • Die Verwendung von qualifizierten elektronischen Signaturen ist unseres Erachtens mit einer Eingabe eines PINs in einen Kartenleser nicht wesentlich komplizierter als die Verwendung eines Systems, das der Eingabe eines PINs in einen Kartenleser zur Authentifizierung bedarf.

Mit der Fertigstellung der HSM-Durchführungsbestimmungen zur eIDAS-Verordnung der EU (Verordnung Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG) könnten Nutzer dann selbst wählen, ob sie die Infrastruktur des Anbieters für die Ver- und Entschlüsselung ihrer Nachrichten nutzen oder selbst die Ver- und Entschlüsselung auf ihrem Endgerät mit Hilfe eines eigenen Chipkartenlesers übernehmen wollen. Dafür wäre allerdings keine Eigenentwicklung, sondern nur der allgemeine Betrieb eines Hochsicherheitsmoduls, das auch als Teil des bisherigen beA verwendet wird, notwendig.

Umso mehr verwundert es, dass zum beA bis dato kaum Nachweise für eine valide IT-Konzeptrealisierung, IT-Sicherheitschecks, Sicherheitszertifizierungen und verfügbares IT- und Datenschutz-Know-how und die Etablierung unabhängiger Fach- und Kontrollgremien kommuniziert oder wenigstens das Ergebnis einer unabhängigen Begutachtung wie z.B. durch das BSI veröffentlicht wurden.

Dass in Industrie und Mittelstand bei der Einführung digitaler Geschäftsprozesse derartige Projektmaßnahmen selbstverständlich sind, entspricht dem vitalen Eigeninteresse am reibungsfreien Funktionieren des Digitalisierungsprojekts, bis hin zur im Vorfeld definierten Kriseninterventions- und Exit-Strategien im Sinne des Change Management, der Mängelgewährleistung oder Rückabwicklung beim Softwarelieferanten.

 

Über die Autoren:

Rechtsanwalt Dr. Thomas A. Degen ist Fachanwalt für IT-Recht und Partner der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart. Rechtsanwalt Ulrich Emmert ist Partner der Kanzlei ESB Rechtsanwälte, Stuttgart, Lehrbeauftragter der Hochschule für Wirtschaft und Umwelt, Nürtingen, zugleich stv. Vorsitzender des VOI-Verbandes (Verband Organisations- und Informationssysteme). Die Autoren sind Experten im IT- und Datenschutzrecht, Herausgeber des Portals www.erv-navigator.de und Verfasser des Buches „Elektronischer Rechtsverkehr“, Verlag C.H.Beck