Kammerversammlung in Sachsen vorzeitig abgebrochen: Mis­s­trau­en­s­an­trag gegen das BRAK-Prä­si­dium ver­hin­dert

von Pia Lorenz

28.03.2018

Die RAK Sachsen wird Einsicht in das Vergabeverfahren des beA nehmen, Regressansprüche prüfen und auf Veröffentlichung des Quellcodes drängen. Als es um Rücktrittsforderungen gehen sollte, beendete der Vorstand die Kammerversammlung.

Die Kammerversammlung der Rechtsanwaltskammer (RAK) Sachsen endete am Freitag ohne eine Entscheidung über den Misstrauensantrag gegen den Präsidenten der Bundesrechtsanwaltskammer (BRAK), Ekkehard Schäfer, und seinen Stellvertreter, Dr. Martin Abend. Der ist bei der BRAK für die Umsetzung des besonderen elektronischen Anwaltspostfachs (beA) verantwortlich, das im Dezember wegen massiver Sicherheitslücken vom Netz genommen wurde.

In seiner Funktion als Mitglied des Vorstands der Anwaltskammer in Sachsen nahm Abend am vergangenen Freitag an der jährlichen Kammerversammlung teil, die mit 171* Anwälten gut besucht war.

Auf der Tagesordnung standen 15 Punkte, weiter als bis Punkt 6 kamen die Anwälte, die im großen Saal des Bundesverwaltungsgerichts in Leipzig tagten, jedoch nicht. Fest steht allerdings, dass die RAK Sachsen Akteneinsicht in den umstrittenen Vergabevorgang des beA-Systems durch die BRAK an den französischen IT-Riesen Atos nehmen muss. Außerdem soll sie Regressansprüche gegen die BRAK prüfen.

Zu einer Entscheidung über den Misstrauensantrag sowie die Aufforderung an den Vorstand der RAK Sachsen, sich bei der BRAK für einen Rücktritt von Schäfer und Abend einzusetzen, kam es aber am Freitag nicht mehr. Der Antrag war schon an die Wand projiziert, als um kurz nach 18 Uhr die Versammlung abrupt beendet wurde. Nach Angaben des Sitzungsleiters war der Raum nicht länger gemietet, gegenüber LTO teilte die RAK Sachsen mit, das sei nicht vorhersehbar gewesen. Nun gibt es einen neuen Termin.

Akteneinsicht in die Vergabe an Atos

Angenommen worden waren zu diesem Zeitpunkt bereits zwei Anträge, die es mit einer ausreichenden Zahl an Unterschriften auf die Tagesordnung der Versammlung geschafft hatten.

Der Vergaberechtler Dr. Christian Braun stellte darauf ab, dass es bei der Vergabe des großen Auftrags an den französischen Dienstleister Atos keine öffentliche Ausschreibung gab. Nachdem sein Antrag angenommen wurde, wird die RAK Sachsen nun Akteneinsicht in den Vorgang der umstrittenen Vergabe an Atos nehmen. Nach Angaben von Teilnehmern erklärte BRAK-Vizepräsident Martin Abend, die Verträge mit Atos stünden allen Anwaltskammern zu Einsichtnahme offen.

In einem Schreiben von Anfang Februar, das LTO vorliegt, verweigerte die BRAK dagegen noch eine Einsichtnahme in die Dokumente zur Auftragsvergabe. "Dritte dürfen keine Kenntnis der vertraulichen Informationen erhalten," heißt es dort auf eine Anfrage nach dem Informationsfreiheitsgesetz. Präsident Schäfer beruft sich auf eine Verschwiegenheitsverpflichtung für öffentliche Ausschreibungen. Bei der Beschaffung des Erstellungs- und Betriebsvertrags sei die Vergabe- und Vertragsordnung für Leistungen (VOL/A) anwendbar. Gemäß § 14 Abs. 3 der VOL/A "sind die Angebote des Verfahrens samt Anlagen auch nach Abschluss des Vergabeverfahrens vertraulich zu behandeln", so Schäfer in dem Schreiben. Andere Bieter und Personen, die nicht am Verfahren beteiligt waren, dürften keinen Einblick in die Akten erhalten; "ansonsten drohen Ansprüche des betroffenen Unternehmens u.a. aus Urheberrecht".

Die BRAK beruft sich seit jeher darauf, kein öffentlicher Auftraggeber im Sinne des EU-Vergaberechts zu sein, eine öffentliche Ausschreibung sei daher nicht erforderlich gewesen. Sie gibt an, bei dem Verfahren, bei dem sich im Wege der freihändigen Vergabe schließlich Atos durchsetzte, anwaltlich beraten gewesen zu sein und zudem im Einvernehmen mit dem Bundesministerium der Justiz gehandelt zu haben.

Das französische IT-Unternehmen übernahm die Aufgabe gemeinsam mit der Governikus GmbH & Co. KG. Diese ist verantwortlich für die gleichnamige Anwendung Governikus, die dem EGVP-Client zugrunde liegt, also in allen deutschen Bundesländern sowie beim Bund für elektronische Transaktionen im E-Government und E-Justice eingesetzt wird. 

RAK soll Regressansprüche prüfen

Die sächsische Anwaltskammer muss zudem, so entschieden die Anwälte ebenfalls mit großer Mehrheit auf Antrag von Christian Braun, sämtliche Zahlungen an die BRAK im Zusammenhang mit dem Anwaltspostfach auf eine sparsame und wirtschaftliche Haushaltsführung hin und die Möglichkeit der Geltendmachung von Regressansprüchen überprüfen. Künftige Zahlungen in Sachen beA soll die Kammer nur unter dem Vorbehalt der Rückforderung tätigen.

Die Anwälte zahlen seit Jahren für das beA-System, das seit dem 1. Januar dieses Jahres auch zumindest passiv nutzen müssen. Sie zahlen einen erhöhten Kammerbeitrag, teilweise auch explizit einen Anteil für das beA an ihre regionale Kammer, den diese dann an die BRAK als für das Postfachsystem Verantwortliche weiter gibt. Auch im Jahr 2018 will die BRAK diesen Anteil abrufen, derzeit liegt die Umlage bei 58 Euro pro Jahr und Anwalt. Anträge mehrerer regionaler Kammern, die das für nicht vermittelbar halten, seit das System gar nicht mehr zur Verfügung steht, waren bislang nicht erfolgreich. Die BRAK erklärte die Kosten zu Sowieso-Kosten, die "unter anderem für die Entwicklung des beA-Systems, den Betriebsaufwand der Rechenzentren und den Support durch einen Service Desk" anfielen - und damit unabhängig davon, ob das Postfach online ist oder nicht.

Laut der BRAK haben die Anwälte bislang insgesamt rund 32,5 Millionen Euro geleistet. Die BRAK habe davon an den technischen Dienstleister rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Systems gezahlt. Die weiteren Aufwendungen für die Realisierung des Systems betragen nach Angaben der BRAK seit Beginn des Projektes rund 5,5 Millionen Euro. Die derzeit noch zur Verfügung stehenden liquiden Mittel dienten dem Betrieb und der Weiterentwicklung des beA in den kommenden Jahren.

Transparenzantrag angenommen, Misstrauensantrag verhindert

Angenommen wurde am Freitag in Leipzig auch ein Antrag, der die RAK verpflichtet darauf hinzuwirken, dass die BRAK die Quelltexte der beA-Software unter einer gängigen Open-Source-Lizenz zur Verfügung stellt, unabhängige externe Gutachter mit Audits beauftragt, für eine echte Ende-zu-Ende-Verschlüsselung und zudem dafür Sorge trägt, dass die beA-Software alle aktuellen Betriebssystemen unterstützt.

Christoph R. Müller, der den Antrag auf die Tagesordnung gebracht hatte, stellte dabei ab auf die Berliner Anwälte, die ihrer Kammer am 8. März einen ähnlichen Transparenzauftrag erteilt haben. Längere Diskussionen gab es um seinen weiteren Antrag, dass die Anwaltskammer Sachsen nachhaltig auf allen Ebenen darauf hinwirkt, dass die BRAK das beA kurzfristig in ein dezentrales einheitliches System umstellt; auch dieser wurde jedoch schließlich angenommen. Am Dienstagabend hat die RAK die Beschlüsse auch auf ihrer Webseite veröffentlicht.

Was die Berliner Anwälte am 8. März aber ebenfalls deutlich machten, gelang in Leipzig am Freitag nicht mehr. Die Berliner Kammerversammlung hatte den Rücktritt von BRAK-Präsident Schäfer sowie seines Stellvertreters Martin Abend gefordert.

Bevor das im großen Saal des BVerwG geschehen konnte, brach der Sitzungsleiter die Kammerversammlung um 18:15 Uhr überraschend und ohne Vorankündigung ab. Der Antrag, der dem Vorstand angekündigt und im Voraus bekannt war, war bereits an die Wand projiziert, als er das den Teilnehmern mitteilte, die gerade nach einer Pause den Saal wieder betraten. Jacqueline Lange, Geschäftsführerin der Kammer Sachsen, teilte auf LTO-Anfrage mit, eine Vertreterin des BVerwG habe dem Sitzungsleiter zuvor mitgeteilt, dass nun kein Sicherheitsdienst mehr zur Verfügung stehe und daher der weitere Aufenthalt in den Räumen nicht mehr gestattet sei. Eine solche Entwicklung war nach Angaben von Lange "nicht vorhersehbar, da es keinen vereinbarten zeitlichen Rahmen für die Nutzung des Saales gab".

Update, 13.04.2018, 10:57 Uhr: Die Kammerversammlung soll nun laut einem Schreiben des Präsidenten vom 12. April nicht wie zunächst mitgeteilt am 25. April 2018, sondern voraussichtlich am 30. Mai 2018 stattfinden. Bei einer weiteren Kammerversammlung müssten die Einladungs- und Ankündigungsfristen beachtet werden, heißt es zur Begründung der Verschiebung. Möglicherweise weiß man dann schon mehr darüber, was nötig werden wird, um das unsichere Anwaltspostfach sicher zu machen und wie lange das dauern wird. Die Secunet GmbH will ihr Gutachten bis Mitte Mai fertigstellen,  die BRAK will es veröffentlichen.

*Korrigiert am Tag der Veröffentlichung, 11:10 Uhr. 

Zitiervorschlag

Pia Lorenz, Kammerversammlung in Sachsen vorzeitig abgebrochen: Misstrauensantrag gegen das BRAK-Präsidium verhindert . In: Legal Tribune Online, 28.03.2018 , https://www.lto.de/persistent/a_id/27757/ (abgerufen am: 16.08.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 28.03.2018 11:01, Freie Anwaltschaft - Freie Software

    Der TRANSPARENZ-Antrag wurde mit großer Mehrheit angenommen, nicht mit knapper. Es waren nicht über 4000 Kammermitglieder anwesend.

    Auf diesen Kommentar antworten
  • 28.03.2018 12:05, Marc E.

    Also die Überschrift ist schon sehr reißerisch für das, was am Ende wirklich passiert ist. Der Misstrauensantrag wurde wirklich nicht abgestimmt, weil vorher die Sitzung abgebrochen werden musste aus dem im Artikel genannten Gründen. Die Überschrift liest sich aber so als hätte der Vorstand der RAK Sachsen dies provoziert oder gar bewusst herbei geführt. Dem kann ich als Anwesender nicht folgen. Dass die abrupte Beendigung nicht glücklich war gebe ich aber auch zu. Allerdings hätte es für einen bewussten Abbruch keinen Grund gegeben.

    @freie Anwaltschaft - Freie Software: Eine große Mehrheit war es aber nur, wenn man die Enthaltungen nicht berücksichtigt und nicht den Antrag bzgl. des dezentralen einheitlichen Systems berücksichtigt.. Es kommt klar immer auf die Perspektive drauf an. Beim Antrag zum dezentralen einheitlichen System war die Mehrheit von Ja- zu Nein-Stimmen nur gegeben, weil die Enthaltungen nicht berücksichtigt werden. Ob 43 zu 24 (meiner Erinnerung nach) als "groß" zu bezeichnen ist, mag ich insoweit bereits zu bezweifeln. Wenn man noch berücksichtigt, dass sich 26 anwesende Kammermitgliede enthalten haben, schmilzt die tatsächliche Zustimmung dahin. Ich will hier auch nicht missverstanden werden. Ich fand den Antrag grundsätzlich richtig und gut. Aber ohne Vorschläge, wie dieses dezentrale einheitliche System aussehen soll, fand ich ihn noch etwas frühreif (die Bedenken zu dem jetzt angedachten zentralen System teile ich jedoch)

    Auf diesen Kommentar antworten
    • 28.03.2018 17:05, Manfred Müller

      Wie begründen Sie eigentlich Ihre Annahme, dass Enthaltung gleichbedeutend mit Ablehnung ist?

    • 28.03.2018 20:44, Marc E.

      @ Herr Müller: Habe ich nie behauptet. Dass Enthaltung aber nicht dasselbe wie Zustimmung ist, sollten Sie doch auch zur Kenntnis nehmen.

    • 29.03.2018 09:39, Ein Rechtsanwalt

      Seien Sie bloß vorsichtig, werter "Marc E." !
      Sie ergreifen offebnkundig Partei für gewisse Leute, die völlig unseriös handeln.
      "Reißerisch" ist allenfalls das Verhalten der Verantwortlichen bei der "BRAK" !
      Dieses Monster "beA" ist gottseidank tot !
      Das Ganze ist allerdings ein Fall für den Staatsanwalt.

    • 16.04.2018 07:26, Marc E.

      Sehr geehrter Herr "Ein Rechtsanwalt"!

      Im Gegensatz zu anderen Menschen bin ich nicht einfach gegen etwas nur weil andere dafür sind. Für solche Kindergartenspielereien bin ich zu alt. Ich bin auch froh, dass das beA tot ist. Dies ändert aber nichts an der Tatsache, dass Enthaltungen keinen Zustimmung sind und dass kein Konzept für das dezentrale System vorgelegt wurde. Nur weil ich gegen das beA bin heißt das nämlich nicht, dass ich bereit bin, die nächsten Jahre dann meine Beiträge dafür zu versenken, dass das nächste unausgegorene System, diesmal aber dezentral, vorbereitet wird. Dafür ist mir dann doch das Geld zu schade.

  • 28.03.2018 12:44, M.D.

    Die Geschichte ist schon interessant, weil hier durch den CCC massive NGO-Arbeit geleistet wird. Die ganze Kampagne für Open-Source und Krypto geht auf eine internationale Bewegung zurück, die private Kommunikation der Überwachung durch NSA&Co entziehen möchte.

    Wäre das beA "sicher", dann sollte es die Kanzlerin nutzen, denn sie genießt derzeit bei ihrer Kommunikation einen geringeren Sicherheitsstandard, nicht weil man sie abhört (was man vermutlich auch macht), sondern, weil man ihre gesamten Kommunikationspartner abhört.

    Fast schon absurd ist, was der CCC unter anderem gegen das beA ins Feld führt:
    https://media.ccc.de/v/CCCDA-elektronisches_Anwaltspostfach-einfach_digital_kaputt

    Hier wird auf teilweise "veraltete" Libraries abgestellt, was allenfalls ein abstraktes Risiko bedeutet. Libraries sind Büchereien mit Funktionen. Wenn diese Funktionen fehlerfrei sind und keine neuen benötigt werden, dann müssen sie nicht mehr upgedated werden. Die Grundrechenarten wurden seit mehreren tausend Jahren auch nicht upgedated und funktionieren tadellos. Der Hinweis ist ohne konkrete Untermauerung vollkommen lächerlich.

    Ähnlich sieht es bei der Ende-zu-Ende Verschlüsselung aus. Das hätte man gerne, das kommt aber nie. Es kommt nie, weil es nicht kommen darf, damit man Backdoors für Sicherheitsdienste vorhalten kann, die man aufgrund von internen Vorgaben aus Gründen der nationalen Sicherheit vorhalten muss. Ja, solche Gründe gibt es nicht nur in den USA, sondern auch in der BRD.

    Das beA ist so sicher, dass es nur unter Aufwendung massiver krimineller Energie und nicht zuletzt extrem hoher Expertise der Angreifer kompromittiert werden kann. Joe Doe oder irgendwelche Scriptkiddies haben keine Chance. Für den Alltagsgebrauch ist das beA deutlich sicherer, als die physische Post. Der ganze Fall wird schlichtweg künstlich aufgeblasen, weil sich damit mal wieder schön die Funktionsfähigkeit der Justiz angegriffen werden kann.

    Auf diesen Kommentar antworten
    • 28.03.2018 14:37, Markus Drenger

      - die veraltete Libraries der beA Client Security haben Sicherheitslücken. Dazu gehörten u.a. der Webserver jetty 9.0.3 und die OSCI-Bibliothek 1.6.1. ( https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/warnmeldung_cb-k17-1100.html )
      - die Free Software-Bewegung kann man wohl der GNU-Projekt von 1983 zuordnen, dies hatte nichts mit der NSA zu tun ( https://de.wikipedia.org/wiki/Freie_Software#Wurzeln )
      - Ende-zu-Ende: Sie behaupten, es gäbe eine Verpflichtung für eine Backdoor ("nicht kommen darf"). Das ist nicht der Fall. Das beA/EGVP ist nach Auskunft ein TK-Dienst und fällt daher auch nicht unter die TKÜV, eine Verpflichtung für OTT-Dienste zur Entschlüsselung gibt es in Dtld. nicht.

      Anschließend behaupten Sie, dass beA wäre sicher. Das trifft auf die Clientsoftware halt nicht zu. Es braucht nicht viel Expertise um die Sicherheitslücken auszunutzen, dass könnten auch "Scriptkiddies" schaffen. Entsprechende Tools sind unter https://github.com/mbechler/marshalsec verfügbar.

    • 28.03.2018 14:47, bergischer löwe

      M.D. was sagen sie nun ?

    • 28.03.2018 14:50, Markus Drenger

      da hat die Autokorrektur zugeschlagen:
      Das beA/EGVP ist nach Auskunft der Bundesregierung _KEIN_ TK-Dienst ...

    • 28.03.2018 15:48, M.D.

      Erstens habe ich gesagt, dass ein abstrakter Hinweis auf veraltete Libraries kein Problem ist, solange kein konkretes Problem bekannt ist, denn auch alte Libraries oder alte Betriebssysteme können sicher sein. Das BIOS meines C-64 im Keller ist z.B. absolut bombensicher. Da kommt die NSA jedenfalls nicht ran.

      Sofern ich mich recht erinnere, fehlt der Hinweis zu einer konkret exploitbaren Lücke in dem Video. Wenn Sie die Information nachliefern, ist das gut und natürlich auch wichtig, denn damit ändert sich ggf. die Beurteilung.

      Zweitens behaupte ich, dass das beA sicher genug ist, weil es Laien oder selbst viele Experten nicht angreifen können. Soweit mir bekannt wurde auch noch kein Gegenbeweis veröffentlicht, oder gar öffentlich ein Angriff simuliert. Wir reden damit von möglichen Szenarien. Möglich ist jedoch auch, dass sie eines Tages im Lotto gewinnen.

      Was Ende-zu-Ende-Verschlüsselung anbetrifft, so wird sie nicht kommen. Diesbezüglich können wir gerne um einen Dollar wetten. Ich setze damit nämlich auf den BND und insbesondere den großen Bruder dahinter, der sich diesbezüglich durchsetzen wird. Der hat sich übrigens schon immer durchgesetzt.

      Abschließend übersetzt heißt das: Da es kein sichereres staatliches Kommunikationsmittel gibt, ist das beA nicht sicherer oder unsicherer als die anderen auch. Es ist jedenfalls sicherer als die Post, denn Postbote können auch böse Menschen werden, aber es ist sicherlich nicht so sicher, dass es kein Nobelpreisträger in diskreter Mathematik knacken könnte. Auch die Erde kann jederzeit von einem riesigen Asteroiden getroffen werden, das heißt jedoch nicht, dass es demnächst geschieht.

      Wenn Sie meinen, es sei dennoch kinderleicht, das beA zu knacken, dann machen Sie es vor. Ich habe vor vielen Jahren auch mal Informatik studiert und ich kann es nicht, falls Sie das beruhigt. Vor mir müssen Sie diesbezüglich jedenfalls keine Angst haben.

    • 28.03.2018 16:02, M.D.

      Hier blasen sich Leute auf und nehmen zur theoretischen Angreifbarkeit von Verschlüsselungsalgorithmen Stellung, die selbst nicht einmal in der Lage wären, die Kodierscheibe aus einem Yps-Heft zu knacken. Das führt dann im Ergebnis dazu, dass ein Millionenprojekt gestoppt wird, weil man Angst hat, dass die Klageerwiderung zu Oma Krauses Mietminderung in falsche Hände geraten könnte.

    • 28.03.2018 17:34, M.D.

      Wenn es um konkrete Probleme geht, findet man bezüglich OSCI folgende Meldung im Netz:
      https://www.governikus.de/newsroom-presse/details/?tx_ttnews%5Btt_news%5D=460&cHash=208b1c7b67f337dbb32d3747e3290f62

      Die Meldung stammt von der Firma, die den Fehler gefunden hat.

    • 28.03.2018 18:12, M.D.

      "jetty 9.0.3" habe ich auch mal gegoogelt und weder zu "vulnerable", "vulnerability" noch "security issues" irgendwas gefunden. Vielleicht gibt es da was und ich habe es übersehen. Wer was hat, gerne den Link posten.

      Könnte es sein, dass hier vielleicht eine Mücke zum Elefanten aufgeblasen wurde, um das beA lahmzulegen, weil es als staatliches Prestigeobjekt zufällig hervorragend auf die Agenda des Krypto-Aktivismus passen, der beim CCC bekanntlich sehr hoch im Kurs steht?

    • 28.03.2018 18:21, bergischer löwe

      Mhhhhh - M.D. überzeugt mich nicht, ich finde die Ausführungen von Markus Drenger nachvollziehbr un zutreffender.

    • 28.03.2018 19:04, M.D.

      Kein Problem. Ich erhebe keinen Alleinanspruch auf die Weisheit.

      Ich mache lediglich auf typischer Muster von Aktivisten aufmerksam. Der CCC hat es geschafft, ein staatliches Krypto-Projekt zu stoppen mit Sicherheitslücken, die vermutlich noch nicht mal kritisch sind.

    • 28.03.2018 20:56, Jörn Erbguth

      Die Aussage "alt=unsicher" muss natürlich nicht stimmen - aber sie stimmt eben doch meistens. Sicherheitslücken werden gefunden und wenn sie niemand mehr schließt, dann sind sie eben noch offen. Zum C64, der war total unsicher. Jedes Programm hatte dort Zugriff auf alles. Die "Sicherheit" war dort das Betriebssystem im unveränderbaren ROM, der fehlene Zugriff auf Disketten, die gerade nicht im Laufwerk eingelegt waren, der begrenzte Speicher und der langsame Prozessor.
      Eine Blankoausnahme vom Art. 10 GG gibt es in Deutschland für die "nationale Sicherheit" nicht. Mag sein, dass die BNetzA alle mögliche Software als "öffentlich zugängliche Kommunikationsdienste" nach "funktionaler Sichtweise" betrachten und in der Konsequenz überall Backdoors vorschreiben will. Das Ganze liegt aber jetzt erst einmal beim EuGH und wir werden sehen, ob dieser das Recht des Einzelnen auf verschlüsselte Kommunikation oder dem Willen der staatlichen Dienste auf Totalüberwachung den Vorrang geben wird. Mit dem Terrorargument, dass in einer speziellen Situation eine bestimmte Kommunikation überwacht werden können soll, wird das Recht der Geheimdienste nicht auf genau diese Überwachung sondern auf Totalüberwachung hergeleitet. Solange es da keine wirksame und kontrollierbare Begrenzung gibt, führt uns das zu immer weniger persönlicher Sicherheit gegenüber einem übermächtig werdenden Geheimdienstapparat.
      Das BMJV hat allerdings klar gestellt, dass das beA kein öffentlich zugänglicher Telekommunikationsdienst ist. Für eine Überwachung von Kommunikation allgemein und Anwaltskommunikation im Besonderen bedarf es jedoch eines formellen Gesetzes. Hätte also die BRAK eine Abhörschnittstelle eingebaut, so hätte das BMJV als Rechtsaufsicht reagieren müssen. Sicherheit, dass keine Abhörschnittstelle eingebaut ist, gibt dies allerdings trotzdem nicht, da wir lernen mussten, dass im Zusammenhang mit den Aktivitäten unserer Geheimdienste rechtswidriges Vorgehen hingenommen wird und weitgehend folgenlos bleibt. Bei Bedarf werden dann juristische Weltraumtheorien ersponnen oder nachträglich die Gesetzeslage angepasst. Besonders kritisch ist dabei, dass die Bundesrepublik Deutschland nicht das einzige Land ist, welches Kommunikation massenweise mitlesen möchte. Kaum auszudenken was es bedeutet, wenn zukünftig mehr als 100 verschiedene Staaten Abhörschnittstellen bei Facebook, gmail & Co einfordern!
      Ein Treppenwitz ist allerdings, dass das beA wegen des HSM in Verruf gerät, aber DE-Mail als "Alternative" akzeptiert wird. Das ist in etwa so, als ob man Briefe als unsicher ansieht, da die Couverts über heißem Wasserdampf unbemerkt geöffnet werden können und deshalb auf Postkarten umstellt.

    • 29.03.2018 08:40, M.D.

      Natürlich ist ein C-64 angreifbar. Das ist sogar einer der Hauptgründe, warum es den CCC gibt. Dieser Verein, der sich gerne nach außen als "Hackerclub" darstellt, begann nämlich, wie jeder andere Computerverein Anfang der 80er auch, als eine Tauschbörse für C-64 Raubkopien. Das "Hacken" kam erst später und es drehte sich zunächst um kostenloses Telefonieren, was eher unter "Phreaking" läuft.

      Anyways, die Bugs im Betriebssystems meines C-64 waren nicht absichtlich eingebaut, sondern sie waren noch ehrliche, echte Versehen. Egal wie sicher die Hardware ist, die NSA kann meinen C-64 auch nicht angreifen, weil der nicht am Netz hängt!

      Sicherheit außerhalb des Internets ist problemlos möglich, im Netz jedoch nicht, weil dort übergeordnete Interessen gelten, auf die selbst die Bundesregierung keinen Einfluss hat. Man hat sich diesen Interessen durch die G 10-Gesetze verpflichtet und das ist sehr wohl eine Einschränkung von Art. 10 GG, wie man bereits dem Namen entnehmen kann.

      Dies gilt auch für die Überwachung des Anwaltsverkehrs. Andernfalls hätte man in einem Anfall von vollkommener Dämlichkeit ein Schlupfloch geschaffen, mit dem organisierte Kriminelle, Terroristen und ausländische Agenten (wozu die meisten NGOs gehören) ganz einfach sicher über angeschlossene Anwälte kommunizieren. Dass das nicht funktionieren wird, sollte selbst den naivsten Aktivisten klar sein.

      Im Übrigen gibt es auch klar nachvollziehbare Sicherheitsinteressen. Ein Staat, dem man die Grenzkontrollen nimmt, ist wie ein Rechner ohne Firewall. Er benötigt einen mächtigen Virenscanner, sonst kann dort jeder "Virus" machen, was er will. Die Überwachung der Kommunikation ist dieser Virenscanner. Er ist die letzte und wichtigste Bastion im Kampf gegen organisierte Kriminalität, Terrorismus und ausländische Agenten. Diese Bastion wird mit allen Mitteln verteidigt und nicht nur durch nur die Bundesrepublik Deutschland, sondern durch mächtigere Player. Bei Krypto hört der Spaß auf und man geht im Zweifel sogar über Leichen. Wen es interessiert, der kann ja mal den Fall von Boris Floricic aka "Tron" googeln. Die Story von Hadmut Danisch ist übrigens auch interessant.

      Ich habe Verständnis dafür, dass der CCC, der Linksradikalen eine Plattform gibt und als NGO selbstverständlich mit der Open Society Foundation vernetzt ist, den Versuch unternimmt Sicherheitsbehörden zu behindern und im Idealfall auszuschalten, aber dieses naive Unterfangen wird scheitern.

      Kommen Sie mir bitte nicht mit Bürgerrechten, denn Staatsfeinde sind auch Bürger. Überwachung der Kommunikation unter rechtsstaatlichen Vorgaben ist geeignet, erforderlich und angemessen, um die Spreu vom Weizen zu trennen.

    • 29.03.2018 23:07, tallinn

      Sie haben recht, veraltete Bibliotheken sind nicht a priori schlecht. Allerdings haben veraltete Bibliotheken in aller Regel offfene Sicherheitsmängel, die öffentlich bekannt sind. Man kann zu jeder Bibliothek (sowie auch aller anderen Software) die CVEs abrufen:

      https://www.cvedetails.com

      und findet dann die offenen Lücken. Wenn eine Bibliothek einen CVE-Eintrag bekommt, dann ist - bei einer IT-Sicherheitslöung wie beA - absolut notwendig, die Bibliothek zu aktualisieren. Bei Entwicklung sicherer Software ist es heutzutage state-of-the-art, solche CVEs über Nacht automatisiert abzurufen für alle Komponenten, die man bei der Entwicklung eigener Software verwendet. Dann wird ein Monitor rot, und wenn man das am nächsten Morgen beim Betreten des Büros feststellt, ist Handlungsbedarf.
      Ende-zu-Ende-Verschlüsselung wird realisiert, auch wenn das Geheimdiensten nicht gefällt. Die IT-Firmen arbeiten schon ziemlich entschlossen darauf hin, Systeme zu liefern, bei denen rein technisch kein Abhören mehr möglich ist, selbst wenn ein Staat das mit all seiner Macht begehrt. Deswegen haben wir ja jetzt auch schon die Quellen-TKÜ.
      Das beA ist bereits heute sicherer als Post oder Fax, keine Frage. Es bleibt aber hinter den Möglichkeiten computer-gestützter Kryptographie zurück. Wäre es nicht wirklich wunderbar, ein Kommunikationsmedium zu haben, bei dem einem die Technik zusichert, dass niemand abhören kann? Das wäre möglich, wir haben die Technologie, und es sollte das Interesse der beA-Betreiber sein, diese zum maximal möglichen Schutz der Kommunikation einzusetzen.

    • 14.04.2018 08:26, LinuxAdmin

      Hier der Link zu Jetty den Sie möchten:
      https://www.cvedetails.com/cve/CVE-2015-2080/

  • 28.03.2018 13:30, bergischer Löwe

    Eine Kammerversammlung wird aus fadenscheinigen Argumenten abgebrochen - es geht abwärts mit den Kammern. Empört euch!

    Auf diesen Kommentar antworten
    • 28.03.2018 14:57, Marc E.

      Ich weiß nicht, ob Sie anwesend waren, aber grundsätzlich finde ich das Ausüben des Hausrechtes durch den Hausherrn und die damit einhergehende Notwendigkeit, das Gebäude zu verlassen, keinen fadenscheinigen Grund. Sie hätten also lieber wie Besetzer das Gebäude okkupiert?

    • 28.03.2018 15:05, bergischer löwe

      Das Problem liegt tiefer. Im Zuge der Auseinandersetzung der Kammern mit den Syndizi-Anwälten zeigte sich, dass die üblichen Räumlichkeiten für die alljährlichen Kammerversammlungen zeitlich oder/und räumlich nicht ausreichend waren. Die Kammern bemühten sich also um andere Räume, um ordnungsgemässe Versammlungen abzuhalten. - Also Frage: War es der RAK- Sachsen nicht klar, dass im Zuge der beA Problematik zu erheblichen Diskussions- und Erörterungbedarf kommt,, dass man dementsprechend organisatorisch reagieren muss ... oder soll hier auf Zeit gespielt werden?

    • 28.03.2018 20:53, Marc E.

      ich glaube eher das Problem war folgendes: Zum Zeitpunkt der Ladung zur Kammerversammlung (und somit zum Zeitpunkt der Organisation der Versammlung) stand das beA überhaupt nicht auf der Tagesordnung. Als TOP 6 wurde es erst durch einen kurzfristig, aber fristgemäß, eingereichten Antrag (den von Herrn Dr. Braun). Selbst dieser allein hätte innerhalb der Zeit behandelt werden können (was ja auch geschah) und die vollständige Tagesordnung abgearbeitet werden können. Der sog. Transparenzantrag und der Misstrauensantrag waren demgegenüber nur sog. Ergänzungsanträge, wurden also kurz vor der Sitzung gestellt. Beide basierten zudem auf Anträgen, die erst kurz vorher bei der Berliner RAK behandelt wurde, somit nicht zwangsweise absehbar waren. Ich glaube, dass die RAK Sachsen zu dem Zeitpunkt als die kurzfristige Anmietung eines anderen Raumes möglich gewesen wäre, nicht mit dem Umfang gerechnet hat (war ja nur ein recht überschaubarer Antrag dazu gestellt) und als man es vielleicht überschauen konnte es zu spät war.

      Ich möchte damit anmerken, dass ich an sich auch mit dem Abbruch nicht glücklich war. Ich bin kein Freund des Misstrauensantrages, weil ich nicht glaube, dass irgendjemand anderes dieses Projekt hätte anders oder besser machen können. Das Projekt an sich ist halt schlecht. Mir ist auch noch nicht klar, ob der Misstrauensantrag als Verweigerung der Entlastung zu verstehen ist oder ob das nur so ein "wir sind jetzt böse und deswegen stampfen wir auf den Boden, Konsequenzen hat das aber nicht"-Antrag ist.

    • 28.03.2018 22:23, bergischer Löwe

      Danke für den Hinweis.

  • 28.03.2018 19:09, Markus Drenger

    @ M.D. schön, dass sie die Governikus-Meldung gefunden haben, nachdem die SEC-Consult diese auf Probleme aufmerksam gemacht hat.
    Leider hat Governikus zwar ein Update bereitgestellt, dies wurde jedoch nicht in die beA-Software übernommen. Dort fand sich weiterhin die angreifbare, veraltete Softwarebibliothek.

    Der verlinkte Vortrag fand am 16. Januar statt, die Lücken hatte ich am 20.12. vertraulich gemeldet. Im Rahmen von responsible disclosure habe ich zu diesem Zeitpunkt natürlich keine kritischen Lücken offengelegt. Wie Sie vielleicht wissen, gibt es bis heute kein Update für die verwundbare Software.

    Auf diesen Kommentar antworten
    • 28.03.2018 22:31, bergischer Löwe

      Auch diese Ausführungen von Drenger sind bekannt, wenn man die Sache einwenig verfolgt hat - ich bleibe dabei M.D. überzeugt mich nicht, ich finde die Ausführungen von Markus Drenger nachvollziehbar und zutreffender. Die Welt hat sich weiter gedreht M.D., C-64 und YPS-Hefte sind passé.

    • 29.03.2018 23:53, tallinn

      Es ist ja nicht ausgeschlossen, dass in der gegenwärtigen Offline-Phase des beA an dem Beheben von Sicherheitsmängeln gearbeitet wird. Das würden im Moment selbst Sie nicht mitbekommen, weil das beA offline ist. Insofern finde ich die Bemerkung "gibt es bis heute kein Update für die verwundbare Software" etwas frech. Es ist Ihr Verdienst, dass das beA jetzt auch von Entwicklungsseite im Bereich IT-Sicherheit die Aufmerksamkeit bekommt, die es benötigt. Es gibt jetzt wohl keine Ausreden mehr. Von Ihnen würde ich erwarten, es zu begrüssen, dass das beA nicht eher wieder online geht, als bis alle Sicherheitsmängel gefixt sind.

  • 29.03.2018 09:09, lupo

    moment mal! yps-hefte sind passé??! ich glaub ich spinn!

    Auf diesen Kommentar antworten
    • 29.03.2018 11:10, Mys

      Auch wenns scherzhaft gemeint sein war, hier ein Hintergrund zur Yps: Seit ca. September 2017 gibt es sie nicht mehr. Der letzte Neuauflegungsversuch (es gab viele) als eine Art Männer-Nostalgie-Magazin war recht erfolgreich, allerdings waren die Auflagen eben von Ausgabe zu Ausgabe sinkend.

    • 29.03.2018 23:10, bergischer Löwe

      Jetzt hol ich meinen C-64 aus den Keller und gehe mit ihm ins internet, YPS hin oder her.

  • 29.03.2018 12:27, Ein Kammermitglied der RAK Sachsen

    Spannende Diskussion. Der Veranstaltungsabbruch passt ins Bild der auch ansonsten eher selbstgefällig auftretenden Kammer in Sachsen. Belehren statt unterstützen.... Man könnte meinen, dass "Selbstbedienung" treffender wäre als Selbstverwaltung.

    Auf diesen Kommentar antworten
    • 29.03.2018 15:46, ULLRICH DOBKE

      Ich glaub, da ist was dran!

    • 29.03.2018 23:14, bergischer Löwe

      Ach?

    • 16.04.2018 07:30, Marc E.

      Ach Sie hätten also lieber das Bundesverwaltungsgericht okkupiert und die Aussage des BVerwG-Präsidenten ignoriert, dass das Gebäude verlassen werden muss, ignoriert?? Sie wissen was Hausfriedensbruch ist? Es wurde ja so getan als wäre der Antrag in 5 Minuten abgehandelt gewesen. Wie kommt man auf diese Idee? Als wäre der Misstrauensantrag einfach durchgewunken werden. Das glauben die Leute doch selber nicht.

  • 29.03.2018 16:44, Horst

    Zu Beitrag vom 29.03.2018 08:40, M.D.

    Ich hoffe, Sie sind kein Jurist!?

    Und wenn doch, dann haben Sie möglicherweise bei den
    Grundrechtsvorlesungen geschlafen. Kann das sein?

    "Überwachung der Kommunikation unter rechtsstaatlichen Vorgaben ist geeignet, erforderlich und angemessen, um die Spreu vom Weizen zu trennen."

    Das erinnert mich irgendwie an Genossen Erich Mielke, den Minister des Ministeriums für Staatssicherheit in der DDR, der einmal sagte:

    Genossen, wir müssen alles wissen!

    Willkommen bei Stasi 10.0, Herr oder Frau M.D.!

    Auf diesen Kommentar antworten
    • 29.03.2018 23:13, bergischer Löwe

      Das schreit ja nache einem Gegenpamphlet. Ihr Auftritt bitte!

Neuer Kommentar
TopJOBS
Rechts­an­wäl­te (m/w/d) im Be­reich Real Es­ta­te

Allen & Overy LLP, Frank­furt/M. und 1 wei­te­re

Rechts­an­wäl­te w/m im Be­reich M&A | Pri­va­te Equi­ty | Ven­tu­re Ca­pi­tal

Heuking Kühn Lüer Wojtek, Stutt­gart

RECHTS­AN­WALT (M/W) IN EI­NEM UM­FANG­REI­CHEN PRO­ZESS­MAN­DAT

Menold Bezler Rechtsanwälte Partnerschaft mbB, Stutt­gart

Le­gal Pro­ject Ma­na­ger (m/w/d)

Clifford Chance, Düs­sel­dorf und 1 wei­te­re

QUA­LI­FIED EU­RO­PE­AN PA­TENT AT­TOR­NEYS WITH A DE­G­REE IN ELEC­TRO OR ME­CHA­NI­CAL EN­GINEE­RING

K&L Gates, Mün­chen

VOLL­JU­RIS­TEN (M/W/D) MIT DEM SCHWER­PUNKT SO­ZIAL­RECHT

Bundespsychotherapeutenkammer, Ber­lin

As­so­cia­te (m/w) für den Be­reich Real Es­ta­te

fieldfisher, Ham­burg

Voll­ju­rist / Syn­di­kus­an­walt (m/w)

Festool Group, Wend­lin­gen am Ne­c­kar

RECHTS­AN­WÄL­TIN / RECHTS­AN­WALT im Be­reich Pro­jects & Pu­b­lic Sec­tor, ins­be­son­de­re für öf­f­ent­li­ches Pla­nungs-, Bau- und Um­welt­recht

GSK Stockmann, Mün­chen

Rechts­an­walt, wis­sen­schaft­li­cher Mit­ar­bei­ter oder Re­fe­ren­dar (m/w)

Orrick, Herrington & Sutcliffe LLP, Düs­sel­dorf und 1 wei­te­re

Rechts­an­walt / Rechts­an­wäl­tin für Ar­beits­recht, insb. kol­lek­ti­ves Ar­beits­recht

APITZSCH SCHMIDT KLEBE, Frank­furt/M.

Tra­de­mark Para­le­gal / Mar­ken­sach­be­r­a­bei­tung (m/w)

Harmsen Utescher Rechtsanwalts– und Patentanwaltspartnerschaft mbB, Ham­burg

Rechts­an­walt (m/w/d) für den Be­reich Straf­recht

Melchers Rechtsanwälte, Hei­del­berg

Voll­ju­rist (m/w) mit Schwer­punkt Han­dels­recht / Ge­werb­li­cher Rechts­schutz

dennree Gruppe, Töp­en

Ju­ris­tin/Ju­rist für den Grund­satz­be­reich der Kran­ken­ver­si­che­rung

LVM Versicherung, Müns­ter

Rechts­an­walt (m/w) Cor­po­ra­te/M&A (mit/oh­ne Be­ruf­s­er­fah­rung)

Luther Rechtsanwaltsgesellschaft mbH, Ham­burg

ei­ne/n po­li­ti­sche/n Re­fe­rent/in (Ad­vo­ca­cy Ma­na­ger/in)

Digitale Gesellschaft, Ber­lin

Syn­di­kus­rechts­an­walt Ar­beits­recht (m/w)

FUNKE MEDIENGRUPPE, Es­sen

ei­ne Rechts­an­wäl­tin oder ei­nen Rechts­an­walt

Pöhlmann Früchtl Oppermann PartmbB, Mün­chen

Rechts­an­wäl­te (m/w) und Fach­an­wäl­te (m/w)

Orth Kluth, Düs­sel­dorf und 1 wei­te­re

As­so­cia­te (m/w/x) im Be­reich Ar­beits­recht

Freshfields Bruckhaus Deringer LLP, München, Mün­chen

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te Un­ter­neh­mens­nach­fol­ge

Hennerkes, Kirchdörfer & Lorz, Stutt­gart

Voll­ju­rist / Syn­di­kus­an­walt (m/w) Schwer­punkt Zi­vil- und Wirt­schafts­recht

Deutsche Leasing Gruppe, Bad Hom­burg v.d. Höhe

RECHTS­AN­WALT (M/W) IM IT-RECHT

Menold Bezler Rechtsanwälte Partnerschaft mbB, Stutt­gart

RECHTS­AN­WÄL­TE (M/W)

Menold Bezler Rechtsanwälte Partnerschaft mbB, Stutt­gart

Rechts­an­walt (m/w) mit dem Schwer­punkt Ka­pi­tal­markt­recht und De­ri­va­te

Mayer Brown LLP, Frank­furt/M.

Rechts­an­wäl­te (m/w/d)

Hopfgarten Rechtsanwälte, Wup­per­tal

Wis­sen­schaft­li­cher Mit­ar­bei­ter (w/m) im Be­reich Wett­be­werbs-, Mar­ken- und Ur­he­ber­recht

Görg, Köln

Rechts­an­walt im Be­reich Wirt­schafts­straf­recht (w/m)

VBB Rechtsanwälte, Es­sen

Le­gal Se­nior Con­sul­tant Da­ten­schutz (m/w)

Datenschutzexperte.de München, Mün­chen

Rechts­an­wäl­te (m/w/d) im Be­reich Ar­beits­recht

Allen & Overy LLP, Frank­furt/M. und 2 wei­te­re

Straf­ver­tei­di­ger/in

von Máriássy | Dr. von Stetten Rechtsanwälte, Mün­chen

Tran­sac­ti­on Sup­port La­wy­ers (m/f/x)

Freshfields Bruckhaus Deringer LLP, Ber­lin

Tran­sac­ti­on Sup­port La­wy­ers/ Wirt­schafts­ju­ris­ten (m/f/x)

Freshfields Bruckhaus Deringer LLP, Ber­lin

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen