Unsicheres Anwaltspostfach: EGVP-Client bleibt länger am Netz, IT-Experten for­dern freien beA-Pro­gramm­code

von Pia Lorenz

19.01.2018

Das beA bleibt weiter offline. Das EGVP soll nun bis Ende Mai weiterlaufen.  IT-Experten und Juristen fordern die BRAK derweil auf, den Programmcode unter einer Open-Source-Lizenz zu veröffentlichen. Motto: Public Money, Public Code.

Die Bund-Länder-Kommission (BLK) für Informationstechnik in der Justiz hat am Donnerstag beschlossen, das Elektronische Gerichts- und Verwaltungspostfach (EGVP) zumindest bis Ende Mai weiter laufen zu lassen. Wie das Anwaltsblatt online berichtet, fiel die Entscheidung in einer Sitzung der Arbeitsgruppe IT-Standards der BLK.

Damit können Anwälte weiterhin den elektronischen Rechtsverkehr nutzen, obwohl das besondere elektronische Anwaltspostfach (beA) vor Weihnachten wegen gravierender Sicherheitslücken vom Netz genommen wurde. Das EGVP, ein Standard, mit dem deutsche Gerichte und andere Behörden rechtsverbindlich Nachrichten übermitteln können, wird vor allem für Mahnbescheide genutzt, die elektronisch versendet werden.

IT-Experten wollen Offenlegung gegen "Security by Obscurity"

Mehrere Organisationen der Zivilgesellschaft, unter anderem der Chaos Computer Club (CCC), sowie Juristen fordern unterdessen mit einem am Freitag online gestellten offenen Brief von der verantwortlichen Bundesrechtsanwaltskammer (BRAK), den Programmcode unter einer Freie-Software- und Open-Source-Lizenz zu veröffentlichen, "um verloren gegangenes Vertrauen der Anwälte und Mandanten wiederherzustellen".

Die Unterzeichner bezeichnen den von der BRAK gewählten Ansatz der "Security by Obscurity" als gescheitert und kritisieren ihre  intransparente Kommunikation, seit das Ausmaß der Sicherheitslücken über Weihnachten bekannt wurde. Die Offenlegung des Programmcodes ermögliche es unabhängigen IT-Experten, potentielle Sicherheitslücken frühzeitig zu melden, damit diese behoben werden, so die Organisatoren der Initiative. Neben dem CCC, der die Sicherheitslücken vor Weihnachten aufdeckte, und der Free Software Foundation Europe (FSFE), einem gemeinnützigen Verein, der nach eigenen Angaben Menschen im selbstbestimmten Umgang mit Technik unterstützt, zählen zu den öffentlichen Unterzeichnern auch der Richter und Geschäftsführer der Gesellschaft für Freiheitsrechte, Dr. Ulf Buermeyer und der Berliner Verfassungsrichter Meinhard Starostik.

Freie Software garantiere die dringend nötige Herstellerunabhängigkeit, argumentiert die Initiative, die zum wiederholten Male fragt, warum nicht von Anfang an auf bereits verfügbare Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz verfügbar sind. Die BRAK hatte das beA-Projekt, das vom Unternehmen Atos komplett neu aufgesetzt wurde, nach ihrer ordentlichen Hauptversammlung am gestrigen Donnerstag erneut damit gerechtfertigt, dass der Gesetzgeber besondere Vorgaben wie den Zugang über eine Zwei-Faktor-Authentifizierung, Barrierefreiheit sowie unterschiedlich ausgestaltete Zugangsberechtigungen für Rechtsanwälte und für andere Personen gemacht habe.

Die BRAK teilte laut Spiegel Online am Freitag mit, sie werde "zu gegebener Zeit" prüfen, ob es zielführend sei, "den Quellcode der beA-Software zukünftig vollständig offen zu legen". Dabei werde man sich auch von Sicherheitsexperten beraten lassen.

Auch mit der Idee, "künftig ausschließlich Open-Source-Software einzusetzen", wolle sich die BRAK auseinandersetzen, ebenfalls "zu gegebener Zeit", meldet SPON. Demnach spiele bei den Überlegungen die Frage eine Rolle, "ob es sinnvoll ist oder gegebenenfalls sogar ein Sicherheitsrisiko darstellen kann, wenn die beA-Software in anderen Systemen zur Anwendung kommt".

Public Money, Public Code?

"Ganz gleich, ob die BRAK sich für eine komplette Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten", so die Einschätzung der IT-Experten. Sie arbeiten unter dem Claim "Public Money, Public Code".

Die rund 165.000 Anwälte in Deutschland zahlen seit 2015 jährlich einen gesonderten Beitrag zuzüglich zum Kammer-Beitrag. Laut der BRAK haben sie bislang insgesamt rund 32,5 Millionen Euro geleistet. Die BRAK habe davon an den technischen Dienstleister rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Systems gezahlt. Die weiteren Aufwendungen für die Realisierung des Systems betrügen seit Beginn des Projektes rund 5,5 Millionen Euro, so die Presseerklärung der BRAK. Die Anwälte sollen daher auch in 2018 für das beA zahlen. Über die Verwendung der bisher nicht eingesetzten 6,5 Millionen Euro machte die BRAK keine Angabe.

Das Postfach sollte ursprünglich bereits im Jahr 2016 online gehen. Zunächst aufgrund technischer Probleme, danach aufgrund mehrerer Klagen von Anwälten verzögerte sich der Launch. Erst Ende November 2016 ging es dann los, seitdem meldeten die Anwälte sich eher schleppend im System an. Vor Weihnachten nahm die BRAK das System vom Netz, nachdem man gravierende Sicherheitsmängel festgestellt – und dann noch selbst verschlimmert – hatte. Die Client Security ist unsicher, die behauptete Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, zumindest grundlegend gefährdet, da die BRAK offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat.

Seit dem 1. Januar 2018 müssen die Anwälte Eingänge im Postfach gegen sich gelten lassen. Das Bundesjustizministerium will an dieser sogenannten passiven Nutzungspflicht trotz Nichterfüllbarkeit nicht rütteln, die BRAK hat zugesichert, dass niemand Zugriff auf das System hat. Kritische Experten sowie ein externer Sachverständiger sollen das beA nun unter die Lupe nehmen. Danach wird entschieden, wie es weiter geht.

Zitiervorschlag

Pia Lorenz, Unsicheres Anwaltspostfach: EGVP-Client bleibt länger am Netz, IT-Experten fordern freien beA-Programmcode . In: Legal Tribune Online, 19.01.2018 , https://www.lto.de/persistent/a_id/26585/ (abgerufen am: 26.09.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 19.01.2018 14:38, FREIE ANWALTSCHAFT - FREIE WAHL DES KOMMUNIKATIONSWEGES !

    Vertrauen "wiederherstellen" !?
    Dass ich nicht lache !
    Zerstört ist zerstört...

    Auf diesen Kommentar antworten
    • 21.01.2018 18:20, Horst

      Das sehe ich auch so.

      Bei mir besteht überhaupt kein Vertrauen zum Internet.

  • 19.01.2018 15:09, bergischer löwe

    Die BRAK wird ihrer Verantwortung nicht gerecht und ist offensichtlich überfordert.

    Auf diesen Kommentar antworten
  • 19.01.2018 15:12, Informatiker

    Softwareentwicklung ist wie Hausbau.Und nun hat man bei der Schlüsselübergabe festgestellt, dass das Fundament nicht trägt, weil die Baufirma bei der Planung und den statischen Berechnungen geschlampt hat. So kommt mir die aktuelle Lage jedenfalls vor.

    Auf diesen Kommentar antworten
  • 19.01.2018 17:22, Bernhard Fiedler

    Ich würde gerne kurz auf unseren Diskussionsabend zum aktuellen Status und Ausblick für das beA am 25. Januar in Frankfurt hinweisen wollen. Es wird dazu ein Panel mit Markus Drenger (Chaos Darmstadt), Christian Bauer (Syndizi Specialist), Nicholas Boes (IT Security Spezialist) und Marcus Mollnau (RAK Berlin) moderiert von Markus Hartung (Bucerius CLP) geben. Weitere Infos gibt es hier: http://legaltech-frankfurt.de/bea/

    Auf diesen Kommentar antworten
  • 19.01.2018 17:53, Oberndörfer

    Ich weiß gar nicht, was es seitens der BRAK bei der Offenlegung der Software und Lizenzierung unter einer FOSS-Lizenz zu zögern gibt. Es wäre der offensichtlich richtige Weg.

    Das dies möglich ist, zeigt die AusweisApp2. Programmiert von der "Governikus GmbH & Co. KG - im Auftrag des Bundesministeriums des Innern ..." (https://www.ausweisapp.bund.de/).

    Quelloffen und cross-plattform unter der EUPL v1.2:

    https://github.com/Governikus/AusweisApp2

    Auf diesen Kommentar antworten
    • 19.01.2018 19:29, RA Heyland

      Ich bin kein Insider, aber dieses Verhalten wundert mich nicht:

      Ohne den beA-Flopp vor Weihnachten, könnte die BRAK jetzt auch gegenüber Kritikern auf Sicht die Notwendigkeit ihrer Existenz begründen.

      Die Offenlegung der Software-Details macht bekannt, dass und in welchem Ausmaß die für den täglichen Betrieb erforderlichen Komponenten nicht zukunftsfähig sind und dem Stand der Technik nicht entsprechen. Die ab Mai 2018 unter Mitwirkung der BRAK zustande gekommenen, schon lange bekannten datenschutzrechtlichen Veränderungen haben hier bisher offenbar auch keine Rolle gespielt.

      Das führt zu einem weiteren Super-GAU für eine als großer berufsständischer Datenschützer auftretender, wegen mangelnder Zukunftsfähigkeit ziemlich unter Beschuss stehende berufsständische Einrichtung. Zu nahe am ersten Flopp wirbelt dieses Desaster so viel Staub auf, dass eine auf die Ewigkeit angelegt gedachte monolithische Struktur wie die BRAK ganz sicher zu mit diesem Ewigkeitsprinzip unvereinbaren Änderungen gezwungen wird.

  • 20.01.2018 12:41, RA MARKO

    Lto sollte selbst einmal sein Zertifikat überprüfen bzw. erneuern !
    Es erscheint eine Warnung...

    Auf diesen Kommentar antworten
    • 20.01.2018 15:11, bergischer löwe

      Ist mir auch passiert!

  • 20.01.2018 20:22, RA T.

    Ganz ehrlich Kollegen,
    ich hatte ja zwischenzeitlich wirklich versucht, ich auf das beA einzulassen. Ich habe Kartenleser gekauft, beA-Karte für mich und die Mitarbeiter gekauft, Fortbildungen für mich und die Mitarbeiter gebucht. Jetzt zeigt sich, das ist alles vorläufig umsonst gewesen. Diesen Vertrauensverlust kann die BRAk bei mir nicht mehr gutmachen - das hat sich erledigt.

    Ich werde nun - wie bisher - alles per Post und Fax regeln. Wenn mal was ins beA kommt, dann wird das ausgedruckt und per Post und Fax geantwortet.

    Und bei jeder Kammerversammlung werde ich nun den Antrag stellen, über die Nutzung des beA und die Kostenbeteiligung abzustimmen. Glücklicherweise sehen das gute Kollegen von mir ähnlich.

    Also: Voll Tatenfreude in die nächsten Kammerversammlungen!

    Auf diesen Kommentar antworten
    • 22.01.2018 11:00, Wachsames Auge

      Keine Sorge, werter "RA T.":
      "Ins beA" wird definitiv NICHTS mehr "kommen" !
      Dieses MONSTER ist tot.
      Gottseidank.

      Einmal ganz abgesehen davon, dass das Ganze ein Fall für den Staatsanwalt und für den Europäischen Gerichtshof (zumindest geworden) ist...

      Empfehlung:
      Sie sollten angesichts Ihrer unglaublichen, ja offenbar schon fast ruinösen Anstrengungen schleunigst Entschädigungsansprüche anmelden oder besser geltend machen.

  • 20.01.2018 20:42, Carsten Dams

    Selten, selten hat man Anlass zu offener Schadenfreude. Schade denn es ist eines der befriedigendsten Gefühle überhaupt. Schön zu sehen wie die Kollegen-Verräter, Gängler, Industrie-Büttel, Wichtigmacher und... habe ich noch was ausgelassen damit es auch sicher Schmähkritik ist? Sonst würden mich ja die hirnlosen Funktionäre nicht anzeigen um noch ein paar berechtigte Negativ-Schlagzeilen zu bekommen. Wette? EUER Dreck (!) wird auch am 1.1.2019 noch nicht verpflichtend laufen!

    Auf diesen Kommentar antworten
    • 20.01.2018 22:25, Nurmalso

      § 5 Abs. 1 Nr. 6 TMG.

  • 20.01.2018 23:54, Graf van+Googel

    Aber wir werden weiter Millionen zahlen ... da bleibt nur abwählen.

    Auf diesen Kommentar antworten
    • 22.01.2018 10:51, Wachsames Auge

      Nein, werter Herr "Graf".
      ABSETZEN natürlich !

  • 22.01.2018 07:29, RA030

    Gibt es von der BRAK oder den RAKs eigentlich eine Erklärung, wie man das beA ins Verfahrensverzeichnis aufnehmen soll und wie eine korrekte Information ggü. dem Mandanten DSGVO-konform erfolgt?

    Auf diesen Kommentar antworten
  • 22.01.2018 09:06, bergischer löwe

    Diese Woche zu diesem Thema:
    #beAGate, #beAthon

    https://www.heise.de/newsticker/meldung/init-der-Wochenausblick-beA-und-das-WEF-3947397.html

    Auf diesen Kommentar antworten
  • 22.01.2018 13:44, martin

    @Horst: Vertrauen Sie eigentlich dem Telefonnetz? Vertrauen Sie dem Fax? Nutzen Sie mindestens eines der beiden für anwaltliche Tätigkeiten?

    Solange man "das Internet" mit einer sicheren Ende-zu-Ende-Verschlüsselung als reines Transportnetz nutzt, ist es deutlich sicherer als normales Telefon oder Fax. Siehe EGVP - wobei das auch mit Sicherheit nicht der Weisheit letzter Schluss ist.

    Das es beim beA genau die behauptete Ende-zu-Ende-Verschlüsselung nicht gibt, macht das beA zum Skandal. Aber das liegt - hier in der Tat ausnahmsweise - mal nicht am Internet.

    Auf diesen Kommentar antworten
    • 22.01.2018 18:55, Horst

      @martin: Nein, ich vertraue weder dem Telefonnetz noch der Faxverbindung.
      Aus diesem Grunde beschränken sich meine Telefonate auf Terminsvereinbarungen und haben ansonsten keinen mandatsbezogenen Inhalt.
      Das Fax nutze ich nur noch, wenn ich an ein Gericht ein EB abgebe. Ansonsten lasse ich es auch außer Betrieb.

      Zu Ihrer Anmerkung:

      "Solange man "das Internet" mit einer sicheren Ende-zu-Ende-Verschlüsselung als reines Transportnetz nutzt, ist es deutlich sicherer als normales Telefon oder Fax. Siehe EGVP - wobei das auch mit Sicherheit nicht der Weisheit letzter Schluss ist."

      Woher nehmen Sie diese Gewißheit?
      Wissen Sie sicher, was in Ihrem Rechner abläuft?
      Ich weiß es nicht.

    • 23.01.2018 13:35, Studentica

      @Horst: Ich gehe davon aus, dass Sie kein Sekretariat haben (Man schaut den Leuten nur vor den Kopf) und die Kanzlei im Wohnzimmer betreiben oder Eigentümer der Immobilie sind (Vermieter kann ja auch Nachts rein).

      Ja, so kann man auch "leben".

  • 22.01.2018 17:18, Patrick

    Ich bin hoch erfreut zu sehen, wie viele Kollegen in höchstem Maße technikfeindlich sind. Das wird es mir deutlich leichter machen, im Wettbewerb zu bestehen.

    Auf diesen Kommentar antworten
    • 22.01.2018 19:10, Horst

      Oder auch nicht.
      Hinten sticht die Biene!

      Ich werde nicht schadenfroh sein, sollten die Dateien auf Ihrem Rechner mal verschlüsselt oder von Kriminellen heruntergeladen worden sein. Die dann erforderlichen Bitcoins, die an den Unbekannten zu zahlen sind, damit er Ihre Daten nicht frei zugänglich ins Netz stellt, können dann ja von Ihnen leicht aufgebracht werden, da Sie ja den Marktvorteil (hatten).

      Viel Glück! Ich hoffe es reicht dann, damit die Bitcoins dann auch von Ihnen erworben werden können. Der Kurs soll ja etwas schwanken. Ich drücke Ihnen die Daumen!

    • 22.01.2018 20:20, RA Heyland

      Lieber Patrick, ich glaube nicht, dass die Kommentatoren technikfeindlich sind - ganz im Gegenteil und diesmal im Klartext:

      Wohlbestallte Standesvertreter zwangsbeglücken uns mit einer kostspieligen ITK-Lösung, mit der man ziemlich einfach den gesamten Geschäftsverkehr nicht nur mit der Gerichtsbarkeit ausspähen und somit anschließend korrumpieren kann. Das Ganze hat die sonst nicht erreichbare Optimierung des Datenschutzes im Rechtsverkehr und die von den sonst dazu nicht fähigen Berufsträgern völlig verpennte Digitalisierung des Anwaltsberufes zum Ziel. Die BRAK hat dafür nicht nur das ihr gesetzlich aufgezwungene Monopol, sondern auch das allein seligmachende Patentrezept und böse ist, wer dabei Schlechtes denkt.

      So muss man die Verlautbarungen zu diesem Thema aus der BRAK samt Umfeld im Klartext ja wohl verstehen. Wenn es dagegen Widerspruch gibt, finde nicht nur ich das ganz in Ordnung. Auf diese Weise kann man nämlich in der digitalen Welt mit Dienstleistungen höherer Art sicher nicht reüssieren.

      Ich habe beruflich viel unter anderem mit IT'lern zu tun. Wenn die mitbekommen, wie dank BRAK & Co mit ihren Informationen im Umgang mit staatlichen Stellen künftig umgegangen werden muss, wird es schnell kritisch. Ein zur Nutzung solcher ITK verpflichteter Anwalt ist für den betriebsinternen Datenschutz ein eklatantes Sicherheitsrisiko.

  • 22.01.2018 19:19, Patrick

    @Horst: Sie benutzen tatsächlich noch eine Schreibmaschine? Wie haben Sie die ans Internet angeschlossen bekommen?

    Auf diesen Kommentar antworten
    • 22.01.2018 21:16, Horst

      Lieber Patrick, es rührt mich Ihre Naivität. Einwenig bedauere ich Sie.

      Meine Schreibmaschine habe ich mit einer Schnur an das Telefonkabel getackert.
      Und, siehe da, es hat geklappt. Schwupp, da war ich dann im Internet.

      Nur für Sie mal ein etwas aufschlußreicher Link:

      https://www.youtube.com/watch?v=-hItt4cE0Pk

  • 27.01.2018 12:14, RECHTSANWALT GUNTHER MARKO

    Das ist der Supergau:
    http://www.golem.de/news/bundesrechtsanwaltskammer-anwaelte-sollen-bea-sofort-deinstallieren-1801-132421.amp.html?__twitter_impression=true

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Rechts­an­walt (m/w/d) für den Be­reich Öf­f­ent­li­ches Recht

MELCHERS Rechtsanwälte Partnerschaftsgesellschaft mbB, Hei­del­berg

RECHTS­AN­WALT (M/W) im Be­reich Cor­po­ra­te/M&A

GSK Stockmann, Mün­chen

Voll­ju­ris­ten (m/w) Li­ti­ga­ti­on

PERCONEX, Düs­sel­dorf und 2 wei­te­re

ei­ne(n) Rechts­an­wäl­tin / Rechts­an­walt

BETHGE.REIMANN.STARI, Ber­lin

Rechts­an­walt (w/m) im Be­reich Ge­sell­schafts­recht / M&A

Görg, Köln

Rechts­an­walt (m/w) im Be­reich Im­mo­bi­li­en­wirt­schafts­recht

Görg, Ham­burg

Rechts­an­walt (m/w) für den Be­reich Cor­po­ra­te

Bird & Bird LLP, Frank­furt/M.

Tran­sac­ti­on Sup­port La­wy­er (m/f/x)

Freshfields Bruckhaus Deringer LLP, Düs­sel­dorf und 2 wei­te­re

Voll­ju­rist (m/w) in der Rechts­ab­tei­lung

Peek & Cloppenburg, Düs­sel­dorf

Rechts­an­walt (m/w) Com­mer­cial in Voll- oder Teil­zeit

Luther Rechtsanwaltsgesellschaft mbH, Han­no­ver

VES­SEL RE­GI­S­T­RA­TI­ON MA­NA­GER (M/F)

OLDENDORFF CARRIERS GmbH & Co. KG, Lü­beck

RECHTS­AN­WALT (M/W/D) TAX MIT 2 BIS 4 JAH­REN BE­RUF­S­ER­FAH­RUNG

KIRKLAND & ELLIS INTERNATIONAL LLP, Mün­chen

Rechts­an­wäl­te (m/w/div.)

Oppenhoff & Partner, Köln

Rechts­an­wäl­te (m/w/d) mit be­son­de­rem In­ter­es­se an Wirt­schafts­straf­recht und straf­recht­li­cher Com­p­li­an­ce

Clifford Chance, Frank­furt/M.

Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht (Schwer­punkt: Li­fe Sci­en­ce & Trans­port)

Bird & Bird LLP, Mün­chen

Ju­rist / Syn­di­kus­rechts­an­walt (m/w) mit Fo­kus Ver­si­che­rungs­recht

Policen Direkt Versicherungsvermittlung GmbH, Frank­furt/M.

Ju­rist (m/w) Ge­sell­schafts- und allg. Wirt­schafts­recht

Peek & Cloppenburg, Düs­sel­dorf

Rechts­an­wäl­tin/Rechts­an­walt

Meincke Bienmüller Rechtsanwälte, Ber­lin

Ju­ris­ten (m/w) im Be­reich Im­mo­bi­li­en- und Bau­recht

Schollmeyer&Steidl, Mün­chen und 2 wei­te­re

Wirt­schafts­ju­rist (m/w/d) (Mas­ter of Laws)

CMS Hasche Sigle, Ber­lin

Tran­sac­ti­on Sup­port La­wy­er im Be­reich Kar­tell­recht (m/f/x)

Freshfields Bruckhaus Deringer LLP, Düs­sel­dorf

Rechts­an­walt (m/w/d) für den Be­reich Ge­sell­schafts­recht

Flick Gocke Schaumburg, Ber­lin

Rechts­an­walt (m/w) – Re­gu­lato­ry

Watson Farley & Williams LLP, Ham­burg

Rechts­an­walt (m/w/d) Wirt­schafts-/Steu­er­straf­recht

Flick Gocke Schaumburg, Ber­lin