Gutachten zum unsicheren Anwaltspostfach: Ohne Ver­trauen geht es nicht

von Jörn Erbguth

21.06.2018

Ein Gutachten bestätigt bekannte und zeigt neue Sicherheitslücken beim beA, das Sicherheitskonzept ist noch lückenhaft. Zum Neustart soll es aber sicher genug werden. Schwächen wie fehlende E2EE-Verschlüsselung und Client-Security bleiben bestehen.

Das Gutachten, das die für Umsetzung und Betrieb des besonderen elektronischen Anwaltspostfachs (beA) verantwortliche Bundesrechtsanwaltskammer (BRAK) am Mittwochabend auf ihrer Seite veröffentlichte, umfasst 92 Seiten. Es ist für die Präsidentenkonferenz und für die Öffentlichkeit bestimmt. Wie LTO berichtete, hatte die BRAK nach der Vorstellung einer ersten Version des Gutachtens Secunet gebeten, dies um Erläuterungen zu ergänzen.

Das Gutachten der Firma Secunet listet insgesamt 53 Schwachstellen auf, die in die Risiko-Kategorien "betriebsverhindernd" (Kategorie A), "betriebsbehindernd" (Kategorie B) und "sonstige Schwachstelle" (Kategorie C) eingestuft wurden. Die Schwachstellen der ersten beiden Kategorien werden im Detail beschrieben, die sonstigen Schwachstellen nur als Liste. Auch wenn Sicherheitsexperten sich weitere Details wünschen, um die getroffenen Bewertungen im Einzelnen nachvollziehen zu können, ist das nach dem bisherigen Kommunikationsverhalten der BRAK, die für ihre Intransparenz massiv kritisiert wurde, ein großer und positiver Schritt nach vorne in Punkto Transparenz. Es wäre gut, wenn künftig festgestellte Probleme genauso berichtet werden.

Der Stand des Gutachtens ist der 28. Mai 2018. Ein Teil der gravierenden Sicherheitsprobleme waren zu diesem Zeitpunkt bereits behoben, die meisten jedoch noch nicht. In einem 10-seitigen Begleitschreiben zum Gutachten, das die BRAK ebenfalls auf ihrer Seite veröffentlicht hat, lädt Präsident Schäfer zu einer außerordentlichen Präsidentensitzung am 27. Juni ein und schlägt vor, vor einer Wiederinbetriebnahme alle "betriebsverhindernden" und die meisten "betriebsbehindernden" Schwachstellen zu lösen. Der beA-Client soll ab dem 4. Juli verfügbar sein, der Betrieb ab dem 3. September wiederaufgenommen werden.

Was geprüft wurde – und was nicht

Secunet hat intensiv und wohl auch in angemessener Tiefe geprüft. Trotzdem war die Prüfung stichprobenhaft und es muss wie bei praktisch jeder anderen Software auch mit weiteren Sicherheitsproblemen gerechnet werden. Bei der Prüfung hat das IT-Unternehmen einen Schwerpunkt darauf gelegt, dass die Kommunikation weder ausgelesen (Vertraulichkeit) noch manipuliert (Integrität) werden kann. Angriffe, die zu einem Ausfall des beA führen würden, wurden nur am Rande betrachtet.

Nicht Teil des Gutachtens waren Fragen jenseits der Sicherheit. So wurden Fragen nach der Benutzerfreundlichkeit nicht behandelt. Auch ob die Digitalisierung des bloßen Nachrichtenversands der richtige Schritt ist, wurde nicht in Frage gestellt.

Immer noch da: veraltete Bibliotheken

Bereits Markus Drenger vom CCC Darmstadt, der kurz vor Weihnachten die BRAK über Sicherheitslücken des Systems informiert hatte, bemängelte den Einsatz einiger deutlich veralteter Software-Bibliotheken.

Veraltete Softwarebibliotheken enthalten Sicherheitsprobleme, die in neueren Versionen behoben sind. Einige der Schwachstellen des Anwaltspostfachs sind so gravierend, dass dadurch die Übernahme des Anwaltsrechners durch externe Angreifer möglich ist. Das ist der Super-Gau unter allen vorstellbaren Schwachstellen.

Veraltete Bibliotheken zu identifizieren, ist quasi eine Fingerübung bei jedem Security-Audit. Es ist daher nicht nachvollziehbar, wieso die BRAK das beA trotzdem überhaupt in Betrieb nahm. Ob die das System im Jahr 2015 begutachtende Firma SEC Consult diese Probleme nicht erkannt hat oder ob die verantwortliche BRAK und das ausführende französische IT-Unternehmen Atos sie ignoriert haben, ist bis heute nicht zu beurteilen – die BRAK gibt das Gutachten mit Hinweis auf entgegenstehende Vereinbarungen nicht heraus.

Die von Markus Drenger bemängelten veralteten Bibliotheken wurden laut dem aktuellen Secunet-Gutachten inzwischen aktualisiert. Negativ ist aber anzumerken, dass auch am 28. Mai 2018 noch Bibliotheken aus den Jahren 2011 und 2012 mit längst bekannten erheblichen Sicherheitsproblemen eingebaut waren.

Angriffe auf die Nachrichten & Anhänge mit Schadcode

Die größte Sorge der Anwälte ist die Vertraulichkeit der Daten, die sie über das beA versenden; darunter hochsensible Mandantendaten, die zudem der anwaltlichen Verschwiegenheitspflicht unterliegen.

Das Gutachten bestätigt, dass eine Reihe von Schwachstellen zur Folge haben, dass Nachrichten ganz oder in Teilen nicht mehr vertraulich sind oder gar manipuliert werden können.

Ausnutzen könnten diese Schwachstellen laut Secunet jedoch nur Täter, die als Mitarbeiter Zugang zu den Server-Systemen des beA haben oder sich durch einen Angriff verschaffen. Das speziell abgesicherte Hoch-Sicherheits-Modul HSM schützt vor dieser Art von Angriffen nicht. Eine echte Ende-zu-Ende-Verschlüsselung allerdings auch nicht.

Ein weiteres Problem ist, dass das beA-System derzeit Anhänge öffnet und ausführt, wenn der Nutzer auf "Anzeigen" klickt. Problematisch ist das, da nicht ausgeschlossen werden kann, dass über das beA auch Malware verschickt wird. Diese kann ein Virenscanner vorab nicht erkennen, weil die Anhänge im System verschlüsselt sind. Daher ist beim beA das direkte Öffnen einiger problematischer Dateitypen deaktiviert (Blacklist).

Secunet schlägt aufgrund der Vielfalt von Dateitypen dagegen vor, auf eine Whitelist umzustellen,  das Öffnen von Anhängen also nur dann per Klick zu ermöglichen, wenn bekannt ist, dass sich dieser Dateityp nicht zur Ausführung von Schadcode eignet.

Keine E2EE-Verschlüsselung, Vertrauen als Sicherheitskonzept

Wenig überraschend kommt auch Secunet zum Ergebnis, dass das System, das entgegen den ursprünglichen Aussagen der BRAK nicht Ende-zu-Ende-verschlüsselt (E2EE) ist, keinen durchgängigen kryptographischen Schutz der Nachrichten bietet.

Vielmehr wird auf eine lückenlose Implementierung des HSM sowie darauf vertraut, dass die Generalschlüssel sicher verwahrt sind. Hätte ein Dritter eine Kopie dieser digitalen Generalschlüssel, könnte er jedoch alle Nachrichten entschlüsseln, ohne dass er dazu einen Zugriff auf das speziell gesicherte HSM benötigen würde. Die nötige Sicherheit lässt sich also ohne Ende-zu-Ende-Verschlüsselung derzeit nur im Zusammenspiel von technischen und organisatorischen Maßnahmen erreichen. Secunet bemängelt daher besonders in diesem Kontext, dass ein Sicherheitskonzept inklusive Krypto- und Schlüsselmanagement nur in Teilen vorlag.

Die BRAK hat das von ihr gewählte Konzept einer Ende-zu-Mitte-zu-Ende-Verschlüsselung immer wieder mit gesetzlichen Anforderungen an das beA-System begründet. Sie bleibt dabei auch in ihrem Schreiben an die Kammerpräsidenten, das sie am gestrigen Mittwoch veröffentlichte. Dabei geht es speziell um den Zugriff auf Nachrichten durch vom Postfachinhaber bestimmte Vertreter sowie die Möglichkeit, Kanzleipostfächer einzurichten.

Tatsächlich hindern diese Anforderungen eine echte Ende-zu-Ende-Verschlüsselung nicht. Beim Versand der Nachricht bekannte Vertreter können direkt mit adressiert werden. Ggf. nachträglich bestimmte Vertreter, Abwickler oder Zustellungsbevollmächtigte haben gemäß § 25 Abs. 3 der Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV) nur einen auf die Übersicht der eingegangenen Nachrichten beschränkten Zugang zu den Postfächern. Diese Metadaten können von der Ende-zu-Ende-Verschlüsselung ausgenommen werden. Unter anderem auf der Veranstaltung beA+ des EDV-Gerichtstags haben Experten verschiedene Alternativen diskutiert, die es ermöglichen würden, dass ein Vertreter Nachrichten im beA-Postfach lesen kann – mit einer echten Ende-zu-Ende-Verschlüsselung.

Auch Secunet fordert mehr Offenheit von der BRAK

Als ein Risiko betrachtet Secunet auch den in JavaScript im Browser laufenden Client. Dieser Code liegt nicht speziell gesichert auf dem beA-Webserver. Wer als Mitarbeiter der BRAK ein Schreibrecht auf diesem Server hat oder wer als Angreifer diesen Server hackt, kann damit den JavaScript-Code manipulieren.

Eine solche Manipulation ermöglicht es, den Schutz des HSM zu umgehen und auf alle Nachrichten zuzugreifen. Außerdem könnte ein böswilliger Dritter so – was das Gutachten nicht explizit schreibt – Nachrichten manipulieren. Diese Angriffsmöglichkeit würde auch bestehen, wenn die BRAK eine echte E2EE implementiert hätte.

Zur Behebung schlägt Secunet eine Reihe von Gegenmaßnahmen vor. Eine davon ist die Bereitstellung eines Fat-Clients, der nicht im Browser läuft. Dieser würde dann ohne die derzeitige Architektur der Verbindung zur Client-Security über einen lokalen Webserver auskommen, die der Chaos Computer Club kritisiert hat. 

Eine andere Gegenmaßnahme ist die Offenlegung von Schnittstellen zwischen den beA-Komponenten. Das würde es ermöglichen, unabhängige Open-Source-Implementierungen für die beA-Client-Security zu entwickeln. Auch die von der BRAK beauftragte Secunet bestätigt also, dass es eine positive Wirkung auf die Sicherheit des beA hätte, wenn die BRAK mehr Offenheit wagen würde.

Noch viel zu tun bis zum Vertrauen in das System

Das Gutachten deckt eine Reihe von teils gravierenden Sicherheitsmängeln auf. Dies ist bei Software aller Art leider nicht ungewöhnlich. Die gute Nachricht daran ist, dass die schwerwiegenden Sicherheitsmängel bis zur Wiederinbetriebnahme Anfang September behoben werden sollen.

Erwartungsgemäß nicht völlig ausgeräumt werden konnten Bedenken bzgl. der Sicherheitsarchitektur. Ein Nachweis, dass die Generalschlüssel nicht unbefugt weitergegeben wurden, lässt sich naturgemäß nur schwer erbringen. Dies gilt umso mehr, als das Sicherheitskonzept noch lückenhaft ist.

Insgesamt, das zeigt das Gutachten, haben sich die BRAK und Atos noch einiges vorgenommen, bis das beA so sicher online gehen kann, dass die Anwälte Vertrauen in das System und seine Betreiber setzen können. 

Wir leben in einer Zeit, in der der Datenschutz zunehmend auf das Verhältnis zu privaten Institutionen beschränkt wird. Staatlichen Stellen dagegen werden immer umfangreichere Überwachungsmöglichkeiten eingeräumt. So mag die Forderung einiger Anwälte nach garantiert überwachungsfreier Kommunikation fast ein wenig abgehoben erscheinen.

Aber es geht um die Daten und Informationen der Menschen, deren Interessen sie vertreten und zu deren Geheimhaltung und Schutz sie verpflichtet sind. Das können höchstpersönliche Informationen sein, vom ärztlichen Attest über sexuelle Vorlieben über das Arbeitszeugnis bis hin zur strafgerichtlichen Verurteilung. Oder Geschäftsgeheimnisse, deren Bekanntwerden Millionenschäden verursachen kann. Der Kampf der Anwälte, die mit der Gesellschaft für Freiheitsrechte vor dem Anwaltsgerichtshof (AGH) in Berlin eine echte Ende-zu-Ende-Verschlüsselung erreichen wollen, sollte daher nicht als Kampf einer Berufsgruppe um recht spezielle Privilegien gesehen werden. Vielmehr sollte er exemplarisch für viele andere Berufsgruppen sein, die ein ebenso großes Interesse an vertraulicher Kommunikation geltend machen können.

Der Autor Jörn Erbguth ist Legal-Tech-Berater zu Blockchain und Smart Contracts in Genf. Er ist Diplom-Informatiker und Diplom-Jurist, lehrt an der Geneva School of Diplomacy und gehört dem Vorstand des EDV-Gerichtstags an. 

Zitiervorschlag

Jörn Erbguth, Gutachten zum unsicheren Anwaltspostfach: Ohne Vertrauen geht es nicht . In: Legal Tribune Online, 21.06.2018 , https://www.lto.de/persistent/a_id/29299/ (abgerufen am: 26.10.2021 )

Infos zum Zitiervorschlag