Unsicheres Anwaltspostfach: EGVP-Client bleibt länger am Netz, IT-Experten for­dern freien beA-Pro­gramm­code

von Pia Lorenz

19.01.2018

Das beA bleibt weiter offline. Das EGVP soll nun bis Ende Mai weiterlaufen.  IT-Experten und Juristen fordern die BRAK derweil auf, den Programmcode unter einer Open-Source-Lizenz zu veröffentlichen. Motto: Public Money, Public Code.

Die Bund-Länder-Kommission (BLK) für Informationstechnik in der Justiz hat am Donnerstag beschlossen, das Elektronische Gerichts- und Verwaltungspostfach (EGVP) zumindest bis Ende Mai weiter laufen zu lassen. Wie das Anwaltsblatt online berichtet, fiel die Entscheidung in einer Sitzung der Arbeitsgruppe IT-Standards der BLK.

Damit können Anwälte weiterhin den elektronischen Rechtsverkehr nutzen, obwohl das besondere elektronische Anwaltspostfach (beA) vor Weihnachten wegen gravierender Sicherheitslücken vom Netz genommen wurde. Das EGVP, ein Standard, mit dem deutsche Gerichte und andere Behörden rechtsverbindlich Nachrichten übermitteln können, wird vor allem für Mahnbescheide genutzt, die elektronisch versendet werden.

IT-Experten wollen Offenlegung gegen "Security by Obscurity"

Mehrere Organisationen der Zivilgesellschaft, unter anderem der Chaos Computer Club (CCC), sowie Juristen fordern unterdessen mit einem am Freitag online gestellten offenen Brief von der verantwortlichen Bundesrechtsanwaltskammer (BRAK), den Programmcode unter einer Freie-Software- und Open-Source-Lizenz zu veröffentlichen, "um verloren gegangenes Vertrauen der Anwälte und Mandanten wiederherzustellen".

Die Unterzeichner bezeichnen den von der BRAK gewählten Ansatz der "Security by Obscurity" als gescheitert und kritisieren ihre  intransparente Kommunikation, seit das Ausmaß der Sicherheitslücken über Weihnachten bekannt wurde. Die Offenlegung des Programmcodes ermögliche es unabhängigen IT-Experten, potentielle Sicherheitslücken frühzeitig zu melden, damit diese behoben werden, so die Organisatoren der Initiative. Neben dem CCC, der die Sicherheitslücken vor Weihnachten aufdeckte, und der Free Software Foundation Europe (FSFE), einem gemeinnützigen Verein, der nach eigenen Angaben Menschen im selbstbestimmten Umgang mit Technik unterstützt, zählen zu den öffentlichen Unterzeichnern auch der Richter und Geschäftsführer der Gesellschaft für Freiheitsrechte, Dr. Ulf Buermeyer und der Berliner Verfassungsrichter Meinhard Starostik.

Freie Software garantiere die dringend nötige Herstellerunabhängigkeit, argumentiert die Initiative, die zum wiederholten Male fragt, warum nicht von Anfang an auf bereits verfügbare Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz verfügbar sind. Die BRAK hatte das beA-Projekt, das vom Unternehmen Atos komplett neu aufgesetzt wurde, nach ihrer ordentlichen Hauptversammlung am gestrigen Donnerstag erneut damit gerechtfertigt, dass der Gesetzgeber besondere Vorgaben wie den Zugang über eine Zwei-Faktor-Authentifizierung, Barrierefreiheit sowie unterschiedlich ausgestaltete Zugangsberechtigungen für Rechtsanwälte und für andere Personen gemacht habe.

Die BRAK teilte laut Spiegel Online am Freitag mit, sie werde "zu gegebener Zeit" prüfen, ob es zielführend sei, "den Quellcode der beA-Software zukünftig vollständig offen zu legen". Dabei werde man sich auch von Sicherheitsexperten beraten lassen.

Auch mit der Idee, "künftig ausschließlich Open-Source-Software einzusetzen", wolle sich die BRAK auseinandersetzen, ebenfalls "zu gegebener Zeit", meldet SPON. Demnach spiele bei den Überlegungen die Frage eine Rolle, "ob es sinnvoll ist oder gegebenenfalls sogar ein Sicherheitsrisiko darstellen kann, wenn die beA-Software in anderen Systemen zur Anwendung kommt".

Public Money, Public Code?

"Ganz gleich, ob die BRAK sich für eine komplette Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten", so die Einschätzung der IT-Experten. Sie arbeiten unter dem Claim "Public Money, Public Code".

Die rund 165.000 Anwälte in Deutschland zahlen seit 2015 jährlich einen gesonderten Beitrag zuzüglich zum Kammer-Beitrag. Laut der BRAK haben sie bislang insgesamt rund 32,5 Millionen Euro geleistet. Die BRAK habe davon an den technischen Dienstleister rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Systems gezahlt. Die weiteren Aufwendungen für die Realisierung des Systems betrügen seit Beginn des Projektes rund 5,5 Millionen Euro, so die Presseerklärung der BRAK. Die Anwälte sollen daher auch in 2018 für das beA zahlen. Über die Verwendung der bisher nicht eingesetzten 6,5 Millionen Euro machte die BRAK keine Angabe.

Das Postfach sollte ursprünglich bereits im Jahr 2016 online gehen. Zunächst aufgrund technischer Probleme, danach aufgrund mehrerer Klagen von Anwälten verzögerte sich der Launch. Erst Ende November 2016 ging es dann los, seitdem meldeten die Anwälte sich eher schleppend im System an. Vor Weihnachten nahm die BRAK das System vom Netz, nachdem man gravierende Sicherheitsmängel festgestellt – und dann noch selbst verschlimmert – hatte. Die Client Security ist unsicher, die behauptete Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, zumindest grundlegend gefährdet, da die BRAK offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat.

Seit dem 1. Januar 2018 müssen die Anwälte Eingänge im Postfach gegen sich gelten lassen. Das Bundesjustizministerium will an dieser sogenannten passiven Nutzungspflicht trotz Nichterfüllbarkeit nicht rütteln, die BRAK hat zugesichert, dass niemand Zugriff auf das System hat. Kritische Experten sowie ein externer Sachverständiger sollen das beA nun unter die Lupe nehmen. Danach wird entschieden, wie es weiter geht.

Zitiervorschlag

Pia Lorenz, Unsicheres Anwaltspostfach: EGVP-Client bleibt länger am Netz, IT-Experten fordern freien beA-Programmcode . In: Legal Tribune Online, 19.01.2018 , https://www.lto.de/persistent/a_id/26585/ (abgerufen am: 03.12.2021 )

Infos zum Zitiervorschlag