Experten diskutieren übers Anwaltspostfach: Ist das beA noch zu retten?

Geprüft hat der Chaos Computer Club die beA-Konstruktion. "Das machen wir in unserer Freizeit", betonte Markus Drenger vom CCC Darmstadt am Montag bei der Veranstaltung des Deutschen Anwaltvereins (DAV) in Berlin. "Das ist etwas anderes als ein umfassender Sicherheitscheck." Aber schon bei diesem Schnellcheck hat Drenger, der die Probleme kurz vor Weihnachten entdeckte, zahlreiche Sicherheitslücken gefunden. Zum Beispiel unsichere Dokumente und Probleme mit dem Webserver, die laut dem IT-Experten "jeder Erstsemester" finden kann. Offenbar habe man im Vorfeld kaum Sicherheitsprüfungen vorgenommen.

Auch für Spam und DoS-Attacken ist das beA anfällig. Angreifer könnten Kanzleien oder Gerichte mit massenhaften beA-Nachrichten lahmlegen, erklärte Drenger. Möglich wäre auch, dass sich Hacker als BRAK ausgeben und Informationen abfangen, ohne dass die Nutzer das bemerken.

Die Client Security ist unsicher, die angebliche Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, zumindest grundlegend gefährdet. Die für das System verantwortliche Bundesrechtsanwaltskammer (BRAK) hat offenbar Zugang zu allen privaten Schlüsseln und damit zu den eigentlich vertraulichen Nachrichten der Rechtsanwälte.

Anders als die BRAK: BNotK hat auf Hinweise des CCC reagiert

Drenger kritisierte am Montag, dass sich die BRAK nicht auf diverse Angriffsszenarien oder mögliche Probleme vorbereitet habe. "Man geht eben davon aus, das findet alles in einer sicheren Umgebung statt, wird von vertrauensvollen Leuten betrieben und es gibt da niemanden, der etwas Böses will." 

Hinzu kommt: Das beA ist völlig veraltet – so wird etwa Windows 10 nicht unterstützt. Das ergibt sich jedenfalls aus den bisher vorliegenden Dokumenten der BRAK. Möglich wäre natürlich auch, dass diese Dokumente veraltet sind, so Drenger. BRAK-Vertreter, die das aufklären könnten, waren allerdings nicht vor Ort, man wolle sich nicht weitergehend äußern, als dies in den Mitteilungen der vergangenen Woche geschehen sei, ließ Präsident Ekkehart Schäfer ausrichten. 

Die vielen Sicherheitsprobleme ließen sich "wohl kaum innerhalb einer Woche patchen", betont Drenger. Das werde Wochen oder Monate dauern. 

Der CCC hat sich verpflichtet, Sicherheitslücken zunächst an die BRAK zu melden, damit diese reagieren kann. Das ist nicht unbedingt selbstverständlich. Schließlich gibt es auch Hacker, die solche Informationen direkt an die Presse geben oder im Darknet an Kriminelle verkaufen. Drenger rät deshalb dringend dazu, solche Meldungen als Chance zu begreifen. Die BRAK habe allerdings teilweise nicht oder deutlich verspätet auf CCC-Hinweise reagiert – anders als etwa die Bundesnotarkammer (BNotK), die der CCC ebenfalls auf Probleme beim besonderen elektronischen Notarpostfach (BeN) hingewiesen habe und die mit Updates auf die Hinweise reagiert habe.   

Ausschuss-Vorsitzender ERV: "Bei E-Mails sind wir nicht so kritisch"

Der DAV forderte mehr Transparenz von Seiten der BRAK und ihrer Dienstleister, eine dauerhafte Unterstützung durch einen technischen Fachbeirat, eine regelmäßige unabhängige Begutachtung und die Einrichtung eines Kanzleipostfachs, das es ermöglicht, dass nicht nur einzelne Anwälte, sondern auch Kanzleikollegen gemeinsam auf das Postfach zugreifen können.

Martin Schafhausen, der die DAV-Position erläuterte, dass es derzeit keine passive Nutzungspflicht für die Anwälte gebe, mahnte dazu, sicherer Kommunikation überhaupt einen höheren Stellenwert einzuräumen: "Keiner von uns würde seinem Mandanten eine Postkarte schicken – bei Emails sind wir da nicht so kritisch", so der Vorsitzende des Ausschusses Elektronischer Rechtsverkehr des DAV.

Auch Ralph Vonderstein erinnerte daran, dass die meisten Anwälte Kommunikation unverschlüsselt nutzten. Der Leiter des Geschäftsbereichs Legal Software bei Wolters Kluwer, zu der auch LTO gehört, wies darauf hin, dass mit den Nutzern professioneller Kanzlei-Software der Großteil der Anwälte die unsichere Client Security gar nicht nutzen müssten. Vonderstein geht aber davon aus, dass man das beA retten könne. Jetzt brauche es bei der BRAK einen Verantwortlichen für das Projekt: "der sich verantwortlich fühlt, das nach außen hin vertritt und frei ist in dem, was er tut". Und es brauche die Kultur, eine sich entwickelnde Software zu bauen.

Mit Prof. Dr. Peter Bräutigam vom Geschäftsführenden Ausschuss der ARGE IT-Recht wies ein weiteres Mitglied der DAV-Führungsriege darauf hin, dass es letztlich im Interesse der Anwälte selbst liege, dass das beA bald läuft. "Es ist unsere BRAK . Es ist unser Projekt. Es ist unser beA. Wir reichen der BRAK die Hand", betonte der Münchner IT-Rechtler.

IT-Rechtlerin: "Kann auch sein, dass das beA nicht zu reparieren ist"

Weniger optimistisch äußerte sich Rechtsanwältin Nina Diercks. Bisher gehe es nur um dezentrale Kommunikation, also um die Daten einzelner Kanzleien. "Über das beA soll aber die gesamte Korrespondenz der deutschen Anwaltschaft laufen. Wer könnte daran Interesse haben?" Geheimdienste etwa oder auch Kriminelle, erklärte die IT- und Datenschutzrechtlerin.  

Einig waren sich deshalb alle, dass es nun umfangreiche Tests geben muss. Mindestens einen sogenannten Whitebox-Test, so CCC-Mitglied Drenger. Dabei überprüfen unabhängige Experten den gesamten Code. Erst wenn die BRAK umfangreiche Tests vornehme und veröffentliche, lasse sich also die entscheidende Frage beantworten: Ist das beA noch zu retten?

Von dem für Freitag geplanten sog. beAthon der BRAK versprechen sich die Experten jedenfalls nicht viel. "Das ist eine Nachmittagsveranstaltung", sagte Drenger. Diercks bezeichnete die vierstündige Veranstaltung, bei der es sich nicht um einen Hackathon handeln wird, als Presse-Event. Für den DAV-Präsidenten Ulrich Schellenberg könnte es immerhin „der erste Schritt für einen Marathon" sein.  

Diercks warnte davor, sich vorschnell festzulegen: "Es muss auch möglich sein, dass das Ergebnis lautet: Dieses Ding ist nicht zu reparieren." Dann müsse es eben noch ein Jahr lang ohne gehen und das beA neu aufgesetzt werden.

BMJV: Was ist fehlerhaft und wie kann man die Fehler beheben?

Ob sich das System reparieren lässt und wie die BRAK nun konkret vorgehen will, konnte die Veranstaltung nicht klären - auch weil niemand von der BRAK anwesend war. Vom Bundesministerium der Justiz und für Verbraucherschutz saßen zwar drei Vertreter im Publikum; zur Frage, wie es nun mit der Rechtsaufsicht über die BRAK aussieht, will sich auch das Ministerium aber derzeit nicht äußern. 

Ministerialdirektorin Marie Luise Graf-Schlicker sagte, der wichtigste Schritt sei nun, aufzuklären, was fehlerhaft sei und welche Schritte unternommen werden müssten, damit das beA schnellstmöglich entsprechend den gesetzlichen Vorgaben an den Start gehen könne.

Wer Schuld hat an den zahlreichen Pannen, ist bisher nicht endgültig zu beurteilen. Diercks forderte, auch das aufzuklären: "Wenn jetzt keine Analyse stattfindet, wie all diese Fehler zustande gekommen sind, dann werden sich diese Fehler reproduzieren."

Das Postfach sollte ursprünglich bereits im Jahr 2016 online gehen. Der Start verzögerte sich zunächst wegen technischer Probleme, dann aufgrund mehrerer Klagen. Erst Ende November 2016 ging es los, die Anwälte meldeten sich jedoch eher schleppend im System an. Kurz vor Weihnachten nahm die BRAK dieses vom Netz, nachdem man gravierende Sicherheitsmängel festgestellt hatte. Vorerst soll das Elektronische Gerichts- und Verwaltungspostfach (EGVP) zumindest bis Ende Mai weiterlaufen, das beschloss die Bund-Länder-Kommission (BLK) für Informationstechnik in der Justiz am vergangenen Freitag.

Weitgehend ausgeklammert wurde am Montag auch die Frage der Kosten: Die rund 165.000 Anwälte in Deutschland zahlen seit 2015 jährlich einen gesonderten Beitrag zuzüglich zum Kammer-Beitrag. Laut der BRAK haben sie bislang insgesamt rund 32,5 Millionen Euro geleistet. Die KBRAK will die Umlage auch 2018 abrufen, sie liegt derzeit bei 58 Euro pro Jahr und Anwalt. Anträge mehrerer regionaler Kammern, die das für nicht vermittelbar halten, waren nicht erfolgreich. Die BRAK erklärte, die Kosten fielen "unter anderem für die Entwicklung des beA-Systems, den Betriebsaufwand der Rechenzentren und den Support durch einen Service Desk verwendet" und damit unabhängig davon an, ob das Postfach online ist oder nicht.