Gutachten zum unsicheren Anwaltspostfach: Ohne Ver­trauen geht es nicht

von Jörn Erbguth

21.06.2018

Ein Gutachten bestätigt bekannte und zeigt neue Sicherheitslücken beim beA, das Sicherheitskonzept ist noch lückenhaft. Zum Neustart soll es aber sicher genug werden. Schwächen wie fehlende E2EE-Verschlüsselung und Client-Security bleiben bestehen.

Das Gutachten, das die für Umsetzung und Betrieb des besonderen elektronischen Anwaltspostfachs (beA) verantwortliche Bundesrechtsanwaltskammer (BRAK) am Mittwochabend auf ihrer Seite veröffentlichte, umfasst 92 Seiten. Es ist für die Präsidentenkonferenz und für die Öffentlichkeit bestimmt. Wie LTO berichtete, hatte die BRAK nach der Vorstellung einer ersten Version des Gutachtens Secunet gebeten, dies um Erläuterungen zu ergänzen.

Das Gutachten der Firma Secunet listet insgesamt 53 Schwachstellen auf, die in die Risiko-Kategorien "betriebsverhindernd" (Kategorie A), "betriebsbehindernd" (Kategorie B) und "sonstige Schwachstelle" (Kategorie C) eingestuft wurden. Die Schwachstellen der ersten beiden Kategorien werden im Detail beschrieben, die sonstigen Schwachstellen nur als Liste. Auch wenn Sicherheitsexperten sich weitere Details wünschen, um die getroffenen Bewertungen im Einzelnen nachvollziehen zu können, ist das nach dem bisherigen Kommunikationsverhalten der BRAK, die für ihre Intransparenz massiv kritisiert wurde, ein großer und positiver Schritt nach vorne in Punkto Transparenz. Es wäre gut, wenn künftig festgestellte Probleme genauso berichtet werden.

Der Stand des Gutachtens ist der 28. Mai 2018. Ein Teil der gravierenden Sicherheitsprobleme waren zu diesem Zeitpunkt bereits behoben, die meisten jedoch noch nicht. In einem 10-seitigen Begleitschreiben zum Gutachten, das die BRAK ebenfalls auf ihrer Seite veröffentlicht hat, lädt Präsident Schäfer zu einer außerordentlichen Präsidentensitzung am 27. Juni ein und schlägt vor, vor einer Wiederinbetriebnahme alle "betriebsverhindernden" und die meisten "betriebsbehindernden" Schwachstellen zu lösen. Der beA-Client soll ab dem 4. Juli verfügbar sein, der Betrieb ab dem 3. September wiederaufgenommen werden.

Was geprüft wurde – und was nicht

Secunet hat intensiv und wohl auch in angemessener Tiefe geprüft. Trotzdem war die Prüfung stichprobenhaft und es muss wie bei praktisch jeder anderen Software auch mit weiteren Sicherheitsproblemen gerechnet werden. Bei der Prüfung hat das IT-Unternehmen einen Schwerpunkt darauf gelegt, dass die Kommunikation weder ausgelesen (Vertraulichkeit) noch manipuliert (Integrität) werden kann. Angriffe, die zu einem Ausfall des beA führen würden, wurden nur am Rande betrachtet.

Nicht Teil des Gutachtens waren Fragen jenseits der Sicherheit. So wurden Fragen nach der Benutzerfreundlichkeit nicht behandelt. Auch ob die Digitalisierung des bloßen Nachrichtenversands der richtige Schritt ist, wurde nicht in Frage gestellt.

Immer noch da: veraltete Bibliotheken

Bereits Markus Drenger vom CCC Darmstadt, der kurz vor Weihnachten die BRAK über Sicherheitslücken des Systems informiert hatte, bemängelte den Einsatz einiger deutlich veralteter Software-Bibliotheken.

Veraltete Softwarebibliotheken enthalten Sicherheitsprobleme, die in neueren Versionen behoben sind. Einige der Schwachstellen des Anwaltspostfachs sind so gravierend, dass dadurch die Übernahme des Anwaltsrechners durch externe Angreifer möglich ist. Das ist der Super-Gau unter allen vorstellbaren Schwachstellen.

Veraltete Bibliotheken zu identifizieren, ist quasi eine Fingerübung bei jedem Security-Audit. Es ist daher nicht nachvollziehbar, wieso die BRAK das beA trotzdem überhaupt in Betrieb nahm. Ob die das System im Jahr 2015 begutachtende Firma SEC Consult diese Probleme nicht erkannt hat oder ob die verantwortliche BRAK und das ausführende französische IT-Unternehmen Atos sie ignoriert haben, ist bis heute nicht zu beurteilen – die BRAK gibt das Gutachten mit Hinweis auf entgegenstehende Vereinbarungen nicht heraus.

Die von Markus Drenger bemängelten veralteten Bibliotheken wurden laut dem aktuellen Secunet-Gutachten inzwischen aktualisiert. Negativ ist aber anzumerken, dass auch am 28. Mai 2018 noch Bibliotheken aus den Jahren 2011 und 2012 mit längst bekannten erheblichen Sicherheitsproblemen eingebaut waren.

Angriffe auf die Nachrichten & Anhänge mit Schadcode

Die größte Sorge der Anwälte ist die Vertraulichkeit der Daten, die sie über das beA versenden; darunter hochsensible Mandantendaten, die zudem der anwaltlichen Verschwiegenheitspflicht unterliegen.

Das Gutachten bestätigt, dass eine Reihe von Schwachstellen zur Folge haben, dass Nachrichten ganz oder in Teilen nicht mehr vertraulich sind oder gar manipuliert werden können.

Ausnutzen könnten diese Schwachstellen laut Secunet jedoch nur Täter, die als Mitarbeiter Zugang zu den Server-Systemen des beA haben oder sich durch einen Angriff verschaffen. Das speziell abgesicherte Hoch-Sicherheits-Modul HSM schützt vor dieser Art von Angriffen nicht. Eine echte Ende-zu-Ende-Verschlüsselung allerdings auch nicht.

Ein weiteres Problem ist, dass das beA-System derzeit Anhänge öffnet und ausführt, wenn der Nutzer auf "Anzeigen" klickt. Problematisch ist das, da nicht ausgeschlossen werden kann, dass über das beA auch Malware verschickt wird. Diese kann ein Virenscanner vorab nicht erkennen, weil die Anhänge im System verschlüsselt sind. Daher ist beim beA das direkte Öffnen einiger problematischer Dateitypen deaktiviert (Blacklist).

Secunet schlägt aufgrund der Vielfalt von Dateitypen dagegen vor, auf eine Whitelist umzustellen,  das Öffnen von Anhängen also nur dann per Klick zu ermöglichen, wenn bekannt ist, dass sich dieser Dateityp nicht zur Ausführung von Schadcode eignet.

Keine E2EE-Verschlüsselung, Vertrauen als Sicherheitskonzept

Wenig überraschend kommt auch Secunet zum Ergebnis, dass das System, das entgegen den ursprünglichen Aussagen der BRAK nicht Ende-zu-Ende-verschlüsselt (E2EE) ist, keinen durchgängigen kryptographischen Schutz der Nachrichten bietet.

Vielmehr wird auf eine lückenlose Implementierung des HSM sowie darauf vertraut, dass die Generalschlüssel sicher verwahrt sind. Hätte ein Dritter eine Kopie dieser digitalen Generalschlüssel, könnte er jedoch alle Nachrichten entschlüsseln, ohne dass er dazu einen Zugriff auf das speziell gesicherte HSM benötigen würde. Die nötige Sicherheit lässt sich also ohne Ende-zu-Ende-Verschlüsselung derzeit nur im Zusammenspiel von technischen und organisatorischen Maßnahmen erreichen. Secunet bemängelt daher besonders in diesem Kontext, dass ein Sicherheitskonzept inklusive Krypto- und Schlüsselmanagement nur in Teilen vorlag.

Die BRAK hat das von ihr gewählte Konzept einer Ende-zu-Mitte-zu-Ende-Verschlüsselung immer wieder mit gesetzlichen Anforderungen an das beA-System begründet. Sie bleibt dabei auch in ihrem Schreiben an die Kammerpräsidenten, das sie am gestrigen Mittwoch veröffentlichte. Dabei geht es speziell um den Zugriff auf Nachrichten durch vom Postfachinhaber bestimmte Vertreter sowie die Möglichkeit, Kanzleipostfächer einzurichten.

Tatsächlich hindern diese Anforderungen eine echte Ende-zu-Ende-Verschlüsselung nicht. Beim Versand der Nachricht bekannte Vertreter können direkt mit adressiert werden. Ggf. nachträglich bestimmte Vertreter, Abwickler oder Zustellungsbevollmächtigte haben gemäß § 25 Abs. 3 der Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV) nur einen auf die Übersicht der eingegangenen Nachrichten beschränkten Zugang zu den Postfächern. Diese Metadaten können von der Ende-zu-Ende-Verschlüsselung ausgenommen werden. Unter anderem auf der Veranstaltung beA+ des EDV-Gerichtstags haben Experten verschiedene Alternativen diskutiert, die es ermöglichen würden, dass ein Vertreter Nachrichten im beA-Postfach lesen kann – mit einer echten Ende-zu-Ende-Verschlüsselung.

Auch Secunet fordert mehr Offenheit von der BRAK

Als ein Risiko betrachtet Secunet auch den in JavaScript im Browser laufenden Client. Dieser Code liegt nicht speziell gesichert auf dem beA-Webserver. Wer als Mitarbeiter der BRAK ein Schreibrecht auf diesem Server hat oder wer als Angreifer diesen Server hackt, kann damit den JavaScript-Code manipulieren.

Eine solche Manipulation ermöglicht es, den Schutz des HSM zu umgehen und auf alle Nachrichten zuzugreifen. Außerdem könnte ein böswilliger Dritter so – was das Gutachten nicht explizit schreibt – Nachrichten manipulieren. Diese Angriffsmöglichkeit würde auch bestehen, wenn die BRAK eine echte E2EE implementiert hätte.

Zur Behebung schlägt Secunet eine Reihe von Gegenmaßnahmen vor. Eine davon ist die Bereitstellung eines Fat-Clients, der nicht im Browser läuft. Dieser würde dann ohne die derzeitige Architektur der Verbindung zur Client-Security über einen lokalen Webserver auskommen, die der Chaos Computer Club kritisiert hat. 

Eine andere Gegenmaßnahme ist die Offenlegung von Schnittstellen zwischen den beA-Komponenten. Das würde es ermöglichen, unabhängige Open-Source-Implementierungen für die beA-Client-Security zu entwickeln. Auch die von der BRAK beauftragte Secunet bestätigt also, dass es eine positive Wirkung auf die Sicherheit des beA hätte, wenn die BRAK mehr Offenheit wagen würde.

Noch viel zu tun bis zum Vertrauen in das System

Das Gutachten deckt eine Reihe von teils gravierenden Sicherheitsmängeln auf. Dies ist bei Software aller Art leider nicht ungewöhnlich. Die gute Nachricht daran ist, dass die schwerwiegenden Sicherheitsmängel bis zur Wiederinbetriebnahme Anfang September behoben werden sollen.

Erwartungsgemäß nicht völlig ausgeräumt werden konnten Bedenken bzgl. der Sicherheitsarchitektur. Ein Nachweis, dass die Generalschlüssel nicht unbefugt weitergegeben wurden, lässt sich naturgemäß nur schwer erbringen. Dies gilt umso mehr, als das Sicherheitskonzept noch lückenhaft ist.

Insgesamt, das zeigt das Gutachten, haben sich die BRAK und Atos noch einiges vorgenommen, bis das beA so sicher online gehen kann, dass die Anwälte Vertrauen in das System und seine Betreiber setzen können. 

Wir leben in einer Zeit, in der der Datenschutz zunehmend auf das Verhältnis zu privaten Institutionen beschränkt wird. Staatlichen Stellen dagegen werden immer umfangreichere Überwachungsmöglichkeiten eingeräumt. So mag die Forderung einiger Anwälte nach garantiert überwachungsfreier Kommunikation fast ein wenig abgehoben erscheinen.

Aber es geht um die Daten und Informationen der Menschen, deren Interessen sie vertreten und zu deren Geheimhaltung und Schutz sie verpflichtet sind. Das können höchstpersönliche Informationen sein, vom ärztlichen Attest über sexuelle Vorlieben über das Arbeitszeugnis bis hin zur strafgerichtlichen Verurteilung. Oder Geschäftsgeheimnisse, deren Bekanntwerden Millionenschäden verursachen kann. Der Kampf der Anwälte, die mit der Gesellschaft für Freiheitsrechte vor dem Anwaltsgerichtshof (AGH) in Berlin eine echte Ende-zu-Ende-Verschlüsselung erreichen wollen, sollte daher nicht als Kampf einer Berufsgruppe um recht spezielle Privilegien gesehen werden. Vielmehr sollte er exemplarisch für viele andere Berufsgruppen sein, die ein ebenso großes Interesse an vertraulicher Kommunikation geltend machen können.

Der Autor Jörn Erbguth ist Legal-Tech-Berater zu Blockchain und Smart Contracts in Genf. Er ist Diplom-Informatiker und Diplom-Jurist, lehrt an der Geneva School of Diplomacy und gehört dem Vorstand des EDV-Gerichtstags an. 

Zitiervorschlag

Jörn Erbguth, Gutachten zum unsicheren Anwaltspostfach: Ohne Vertrauen geht es nicht . In: Legal Tribune Online, 21.06.2018 , https://www.lto.de/persistent/a_id/29299/ (abgerufen am: 22.07.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 21.06.2018 15:38, Rechtsanwalt Gunther Marko

    Wieso denn bitte "Vertrauen in das System", wenn schon jegliches Vertrauen in dessen Personen Verantwortliche bzw. Betreiber und deren angebliche "Gutachter" zerstört ist ?
    Für viele normal gebliebene Kollegen noch dazu IRREPARABEL zerstört !
    Wie ignorant, abgehoben oder gar kriminell muss man eigentlich sein, um das seit geraumer Zeit ständig zu leugnen oder unter den Teppich zu kehren und weiter Gelder zu verschwenden oder gar zu veruntreuen ?

    Ganz zu schweigen freilich davon, dass dieses "System" zwangsweise genutzt werden soll.
    Schon allein dieser Zwang ist VOLLKOMMEN INAKZEPTABEL !
    Damit erübrigt sich natürlich von vorneherein jede Diskussion über "Sicherheit", "Vertrauen" oder gar "Wiederinbetriebnahme".

    Herr, erbarme Dich !

    Auf diesen Kommentar antworten
    • 21.06.2018 16:57, M.D.

      Ihrem Postboten, der nahe am Mindestlohn verdient, vertrauen Sie auch. Dabei ist zu beachten, dass jeder Ihrer Briefe im Hauptpostamt durchleuchtet und gescannt wird. Bevor das mechanisch möglich war, gab es dafür in jedem Hauptpostamt ein Hinterzimmer, indem die Briefe geöffnet wurden. Aber das ist natürlich alles egal. Das beA muss selbstverständlich so sicher sein, wie die Post unserer Kanzlerin. Wegen dem unendlichen Vertrauen, das wir den Behörden entgegenbringen...

    • 21.06.2018 16:58, ULLRICH DOBKE

      Ich schließe mich Ihnen voll an, aber:
      Keine Gnade diesen Tätern! Sie führen das Unternehmen BRAK und müssen nicht nur voll in Verantwortung, sondern ggfls. auch voll in Haft genommen werden. Es ist doch zivil-, verwaltungs-rechtlich und aber auch disziplinarrechtlich und zu guter Letzt vielleicht gar strafrechtlich von größter Brisanz, was da abging und vielleicht auch derzeit noch abgeht! Die BRAK ist doch kein Kleingärtner- oder Kaninchenzuchtverein, da geht es oft rechtlich sogar klarer zu. Warten wir weiter zu oder entwickelt die Anwaltschaft mit Unterstützung ihres größten Vereins, des DAV, endlich deutliche Aktivitäten?

    • 21.06.2018 19:09, @"M.D."

      Sie haben nichts, aber auch gar nichts verstanden.
      Das nun aber auch noch in's Lächerliche zu ziehen, haut dem Faß allerdings den Boden aus !
      Nur weiter so...

    • 21.06.2018 19:23, Besten Dank, verehrter Herr Kollege Dobke !

      Sie sprechen mir aus der Seele.

      Gunther Marko, Donnerstagabend, 21. Juni 2018 (Sommeranfang)

    • 22.06.2018 09:05, M.D.

      "21.06.2018 19:09, @"M.D."
      Sie haben nichts, aber auch gar nichts verstanden.
      Das nun aber auch noch in's Lächerliche zu ziehen, haut dem Faß allerdings den Boden aus !
      Nur weiter so..."

      Im Gegensatz zu Ihnen habe ich neben Jura auch mal Informatik studiert und mir den Vortrag von Foschepoth zur Überwachung auf Youtube anschaut. Was haben Sie getan, außer Empörung über Ihren gefühlten Vertrauensverlust zu äußern?

      Fakt ist, es gibt bei der Post nichts, worauf man vertrauen kann. Das gab es noch nie. Weil man das schon immer wusste, brachte man früher Lacksiegel auf Briefen an.

      Die gesamte Diskussion ist lächerlich, weil sie an der Realität vorbeigeht.

      Während Sie diese Ausführung lesen, kann die NSA sehen, was Sie auf ihrem Bildschirm haben und wenn Sie nett in die Webcam lächeln, können Sie diesen Eindruck auch noch positiv unterstützen. So viel zum Thema Sicherheit.

    • 22.06.2018 11:47, bergischer Löwe

      Das Lacksiegel lebe hoch!

  • 21.06.2018 17:07, Dr. Heinz+Kracht

    Fragen über Fragen......

    Auf diesen Kommentar antworten
  • 21.06.2018 17:28, Arne Rathjen+RA

    Der letzte Schrei sind Staatshacker,
    die KI einsetzen. So etwas wie den Go-
    Rechner von Google. Dann ist der beA-Server in ein paar Tagen komplett gläsern....wenn schon ein paar Hobbyhacker das System knacken konnten, dann sollte man es auf freiwilliger Basis laufen lassen - als
    Honeypot.

    Auf diesen Kommentar antworten
  • 21.06.2018 19:20, Jörn Erbguth

    Das Bundesverwaltungsgericht mag den Zwang zur Mitwirkung an der bewiesenen Komplettüberwachung des Internetverkehrs beim deutschen Hauptinternetknoten DE-CIX nicht einmal inhaltlich überprüfen. Und ich habe leider nicht sehr viele Anwält*innen gelesen, die dies kritisiert haben.
    Aber beim beA ist die Tatsache, dass man einem Provider vertrauen können muss, "völlig inakzeptabel". Sicher, die BRAK muss sich dieses Vertrauen zurückgewinnen. Sicher es gibt bessere Architekturen. Aber ohne Vertrauen in irgend jemanden geht es auch beim besten System nicht.

    Auf diesen Kommentar antworten
    • 21.06.2018 19:40, @"Jörn Erbguth":

      Falsch.
      Selbst das "beste System" (soweit das nicht ohnehin der individuellen, fallbezogenen Bewertung eines jeden Nutzers vorbehalten bleiben muss), welches zwangsweise genutzt werden soll, noch dazu im Bereich höchstvertraulicher Kommunikation, verdient von vorneherein NULL Vertrauen !
      "Komplettüberwachung" hin oder her !
      Vielleicht kapieren Sie das noch rechtzeitig, bevor alles zu spät ist.
      Ich habe bei Ihnen da allerdings starke Bedenken.-

      Aber die guten Kräfte werden gewinnen.
      Und dann dürfen Sie und alle übrigen Verfechter dieses groben Unfuges, dieser kriminellen Machenschaften, sich warm anziehen.
      Warten Sie es nur ab !

    • 21.06.2018 21:12, RA Heyland

      Herr Erbguth, als im öffentlichen Recht ein wenig versierter Anwalt erstaunt es mich nicht, was das BVerwG zu DE-CIX entschieden hat. Das hat sehr viel mit dem seit Anbeginn gepflegten Selbstverständnis dieses Gerichts und der dazugehörigen Untergerichte zu tun. Es heisst nicht umsonst, das BVerwG sei die Hure der Verwaltung. Änderungen haben in dieser Hinsicht nur das BVerfG sowie bei nicht rein deutschen Materien die EU-Gerichte erzwungen. Deshalb wundert der Fachmann sich über die Schweigsamkeit der Fachleute nicht, nur der Laie. Dem DE-CIX-Problem kommt man schon eher bei, wenn man einen anderen Zweig der Gerichtsbarkeit damit befasst.

      Auf der Seite der Verwaltung helfen hier nur noch die Datenschutzbeauftragten. Die werden aber nach meinen Erfahrungen erst tätig, wenn die BRAK dafür gesorgt hat, dass das Kind endgültig in den Brunnen gefallen und dabei umgekommen ist. Verbandspolitisch müsste hier der DAV sehr entschieden auftreten - das ist aber schwierig bei einem Verein, der quasi Tür an Tür mit der BRAK lebt und dessen verbandspolitische Akteure dies ehrenamtlich tuende, im Hauptberuf als Anwälte mit ganz anderen Themen befasste Anwälte sind.

    • 21.06.2018 23:48, Jörn Erbguth

      Die DSGVO klammer den Datenschutz gegenüber dem Staat größtenteils aus. Von daher sehe ich da wenig Ansätze. Schließlich ist parallel mit der Anwendung der DSGVO-Regeln auch die Fluggastdatenspeicherung in Kraft getreten. Wir haben eine Totalüberwachungsbefugnis für unsere Geheimdienste, die wir bei anderen Ländern als skandalös bezeichnen. Österreich hält uns da gerade ein wenig den Spiegel vor.
      Der Staat überwacht die Kommunikation zwischen Mandant*in und Anwält*in auf allen Kanälen. Systeme mit Ende-zu-Ende-Verschlüsselung werden durch staatliches Hacking ("Quellen-TKÜ") überwacht oder gleich durch Einstufung als öffentlicher Telekommunikationsdienst zum Einrichten einer Überwachungsschnittstelle gezwungen. Aber bei der Kommunikation mit den staatlichen Gerichten fürchten wir die Überwachung. Es ehrt die Anwät*innen, dass sie das Berufsgeheimnis verteidigen. Aber ist die BRAK da die richtige Gegnerin? Sollte nicht zu allererst für eine überwachungsfreie Mandant*innen*kommunikation gekämpft werden.
      Man befürchtet, dass am Briefkasten des Gerichts gelauscht wird, interessiert sich aber kaum für das Lauschen am Kanzlei- oder Privatbriefkasten. Das verstehe ich nicht.

    • 22.06.2018 00:41, RA Heyland

      Die DSGVO klammert den Staat nur da aus, wo es um rein hoheitliche Tätigkeiten geht, bei denen es keine Drittanbieter gibt. Totalüberwachung von Kommunikation gibt es nicht, sondern die unterschiedlich ausgeprägte Überwachung relativ einfach abgreifbarer Kommunikationswege. Anwälte stört nicht, dass es unterschiedliche Formen und Wege der Überwachung gibt, sondern dass der Staat für bestimmte Verfahren mit ihnen nur per elektronischer Kommunikation verkehren will und die dazu mit der Vorhaltung individueller elektronischer Postfächer beauftragte berufsständische Körperschaft etwas anderes tut. Letztere schreibt den Zwangsnutzern zusätzlich vor, wie Kommunikation zum Vorteil diverser Partner der Körperschaft gestaltet wird, setzt sich über datenschutzrechtlich strafbewehrte Pflichten der Zwangsnutzer hinweg und verkompliziert grundlos die Organisation des Kanzleibetriebs. Bisher kann man das Mandatsgeheimnis - den Datenschutz - selbst gewährleisten, indem man selbst, per Bote, Post oder elektronisch per Fax Unterlagen übermittelt. Künftig geht das nur noch elektronisch über ein System, das noch nicht einmal im Ansatz den Schutz bietet, den das bisherige System hat, sondern offenbar der anlasslosen Schnüffelei Tür und Tor öffnet, die Anwälte schon immer bekämpft haben, wenn sie dies konkret tun konnten.

    • 25.06.2018 23:16, Fritz

      Glaube nicht, dass es an diesem Zwang irgendeinen Zweifel geben kann. Das ist kein Rechtsroman, sondern die brutale Rechtswirklichkeit. Da geht es um das juristische Aequivalent von Bomben. Mehr oder weniger. Sorry. Die meisten Anwaelte werden das Problem aber lediglich gar nicht kennen. Am deutschen Wesen soll die Welt genesen? Deutschland kann sich einen Ausstieg aus der Ueberwachung gar nicht leisten.

  • 21.06.2018 19:41, ULLRICH DOBKE

    Vertrauen ? von wem, an wen?

    Auf diesen Kommentar antworten
    • 22.06.2018 09:00, Rechtsanwalt Gunther Marko

      Wenn dieses Monster nicht unverzüglich und definitiv gestoppt wird, dann besteht die Besorgnis, dass demnächst in der "BRAO" auch noch vorgeschrieben wird, wem oder welchem Kommunikationsweg zu "vertrauen" ist oder nicht, verehrter Herr Kollege Dobke. Ein Alptraum !

      Ich habe allerdings nicht meinen Beruf ergriffen, um mich einem derartigen Diktat und einer derartigen Exekutive zu unterwerfen !
      Jedenfalls nicht hierzulande !

      GUTE KRÄFTE - VEREINIGT EUCH !

  • 21.06.2018 20:27, RA Michael Renz

    @Ullrich Dobke + Jörn Erbguth
    Es ist ne Binsenweisheit:
    - 100% Sicherheit gibts nicht
    - mit 0% Vertrauen funktioniert nichts
    Leider neigen wir alle dazu 100% Sicherheit zu verlangen und 0% Vertrauen entgegen zu bringen. Das Verhalten der BRAK und die „Leistungsfähigkeit“ von ATOS hat daran ein gerüttelt Maß an Mitschuld. Ob sich diese Situation überhaupt noch ändern lässt und zu einer „unbefangenen“ Ausgangssituation zurückgefunden werden kann, ist m.E. mehr als fraglich. Das durch die Zwangsnutzung beförderte „Ohnmachtsgefühl“ der betroffen Anwaltschaft ist da zudem maximal hinderlich.
    Die „Fronten“ sind schon so verhärtet, dass ein sinnvoller gemeinsamer Weg kaum noch erreichbar scheint.

    Ich denke, es wäre die Aufgabe der BRAK durch einen offenen personellen und sachlichen Schnitt, den Weg zu einem künftig konstruktiven Umgang miteinander zu öffen.

    Ich denke weiter, dass die Nutzungspflicht dem Thema mehr schadet, als nutzt. Wäre ein gutes, hinreichend sicheres und bedienungsfreundliche beA erstmal etabliert, würde sich die breite Nutzung schon allein der wirtschaftlichen Vorteile wegen einstellen.

    Hinreichende Sicherheit und ein Mindestmaß an Vertrauen ist aber auch dann nötig und evtl. auch wieder möglich.

    Auf diesen Kommentar antworten
    • 21.06.2018 20:49, Trau' schau wem...

      Möge die "BRAK" in gewohntem Stile, nämlich im Benehmen mit der (noch) amtierenden, aktuellen BJM'in einen 31b in die "BRAO" einfügen, wonach allen Berufsträgern auch noch vorgeschrieben wird, zu wem oder was bzw. zu welchem Kommunikationssystem sie Vertrauen haben dürfen oder müssen...

    • 25.06.2018 23:20, Fritz

      Vertrauen ist gut, Kontrolle ist besser. Und dass von Vertrauen gesprochen wird, spricht doch eher dafuer, dass man es nicht haben sollte. Der Wolf und die sieben Geislein.

  • 21.06.2018 21:03, Praktiker

    Jetzt regen sich alle über die Lücken auf. Morgen früh schicken sie wieder - wie gewohnt- unverschlüsselte Faxe per VoIP und Email.

    Auch wenn es nicht perfekt ist: besser als ein Brief (Schutz durch eine Lage Papier) oder Mail und Fax ist es allemal

    Auf diesen Kommentar antworten
    • 21.06.2018 23:34, bergischer Löwe

      ... gleichwohl ist und bleibt es aber meine, bzw. die Entscheidung meines Mandanten und nicht die der BRAK oder sonstwen!

    • 22.06.2018 13:48, Anwalt

      Die Entscheidung bleibt ja beim Versand. Beim Empfang konnte man noch nie wählen welchen Weg der Sender wählt. Wenn mir der Gegner eine Postkarte schreibt ist das auch ok

  • 22.06.2018 12:28, Santana

    Bisher wird ein Riesen-Gewese darum gemacht, daß gemeinschaftliche Büro's und Sozietäten mit Berufen, welche nicht berufsrechtlich zur Verschwiegenheit verpflichtet sind, unzulässig sind. Bei dem Betrieb der zentralen Sicherheitsstruktur durch Dienstleister ATOS reicht eine vertragliche Verschwiegenheitsverpflichtung aber aus? Diese Wertung kann ich nicht nachvollziehen.

    Weiter gefällt mir an einem fehlenden Sicherheitskonzept der offenbar routinemäßige Austausch der HSM-Module nicht (evtl. 3-Jahres-Zyklus?). Was geschieht mit dem ausgemusterten Gerät, wer hat vor dem Shreddern zugriff?

    Wer prüft vor einer Inbetriebnahme, ob die Beanstandungen korrekt repariert sind? Und wo bleibt der Test?

    Nach der DSGVO bin ich verpflichtet, Daten nach dem Stand der Technik zu sichern. Meinen DV-Dienstleister muß ich dazu vertraglich verpflichten. Etwas Entsprechendes kann ich beim bea bisher nicht erkennen. Im Gegenteil sind nach wie vor Bibliotheken der Jahre 2011 und2012 mit bekannten Risiken verwandt. besteht das Risiko, daß durch von Malware betroffene EDV nur eines von 165.000 Kollegen das bea kompromittiert wird - das ist schon der Hammer!

    Und Voraussetzung soll Vertrauen in einen Laden sein, der den legendären Patch aus 12/2017 verantwortet (Stichwort selbstgebautes Zertifikat)? Eher nein ...

    Auf diesen Kommentar antworten
    • 22.06.2018 13:38, ULLRICH DOBKE

      RECHT SO !

    • 22.06.2018 23:15, RA Heyland

      Sei sind nicht nur verpflichtet, Ihren Auftragsdatenverarbeiter auf die Einhaltung der DSGVO-Vorgaben festzulegen, sondern müssen sich auch vergewissern, dass er das überhaupt kann. Da muss noch einiges von der BRAK kommen, damit man als normaler Anwalt objektiv zu dieser Überzeugung kommen kann, ohne deswegen angreifbar zu sein - der BRAK-Präsident teilt ja sogar selbst mit, dass da noch Nachholbedarf besteht.

  • 22.06.2018 14:00, ULLRICH DOBKE

    Genau, VERTAUEN ist das Zauberwort, nicht nur in der/die Politik, auch hier! Das läßt sich leicht herstellen, wenn die Pressestelle etwas zu den (Nicht-)Ermittlungen gegen die BRAK sagt. Wenn sie meint, da gäbe es nichts, dann stellt sich die Frage, wer wendet sich an den Generalstaatsanwalt und beschwert sich über die Untätigkeit der sachlich und örtlich zuständigen StA. Vielleicht gibt es Beziehungen zur Presse, Formulierung als Medienartikel, -anfrage, offener Brief?

    Auf diesen Kommentar antworten
  • 22.06.2018 14:03, Frankfurter Bub und Rechtsanwalt

    Liebe Leute,
    der Ton macht die Musik, bitte freundlich und gelassen bleiben.
    Ansonsten wäre es doch vielleicht hilfreich, den Fokus auf Grundsätzliches zu legen.
    Wenn meine Kanzlei etwas verschickt, egal ob per Post, Fax oder Mail, dann muß der, der es verbotenerweise mitlesen will, wissen, wann und mit welchem Transportmittel die Information verschickt wird. Das bedeutet, hoher Aufwand und hohe Personalintensität; grundsätzlich machbar, macht aber keiner ohne triftigen Grund. Das für auch nur 10 % aller Anwälte zu machen, dürfte auch einen Geheimdienst überfordern.
    Mit dem bea in seiner jetzigen Form ermögliche wir aber die flächendeckende Überwachung aller Anwaltspost und das gezielte suchen nach was auch immer jedem halbwegs versierten EDV Profi, in wessen Auftrag er auch immer arbeiten möge.
    Könnte mir jetzt mal bitte einer erklären, warum das legal sein soll ?

    Auf diesen Kommentar antworten
    • 22.06.2018 15:27, RA Heyland

      Legal ist es genau genommen nicht, aber legitim - vor allem wenn die Bundesländer dem bayrischen Beispiel folgend die Polizeigesetze aktualisieren. In Hessen und NRW gibt es schon entsprechende Gesetzentwürfe, in den anderen Bundesländern sind entsprechende Vorhaben in Arbeit. Die Innenminister wollen damit offiziell ein kürzlich ergangenes BVerfG-Urteil umsetzen, aus dem sie entnehmen, dass die Länder dazu befugt sind.

    • 23.06.2018 07:32, RA

      Sie sind aber sehr erhaben.
      Ohne schräge Töne geht's halt manchmal nicht !

  • 22.06.2018 22:16, DWW

    Schon allein die Fassung des Begleitschreibens von Herrn Schäfer zum Bea-Gutachten ist haarsträubend. Offensichtlich zielt das Begleitschreiben mit den zusammengestellten Positiv-Zitaten darauf ab, dass möglichst kaum jemand mehr das Gutachten wirklich lesen soll. Dabei besagt es klar und deutlich, das Gegenteil von dem, was der noch amtierende Kammerpräsident mit seinem Begleitschreiben suggerieren möchte.
    Dabei muss man eigentlich nur wenige Seiten des Originalgutachtens lesen, um zu wissen, dass das Gutachten für die Software geradezu vernichtend ist.
    Dann wird auch sofort klar, warum so ein umfangreiches "Begleitschreiben" überhaupt nötig war.

    Ich zitieren nur mal beispielhaft von Seite 56 des Secunet-Gutachtens, wo sich wohl nur Herrn Schäfer nicht die Nackenhaare sträuben dürften:

    Zitat Anfang:

    Die XML Spezifikation erlaubt den Download und das Ausführen
    von externen (z.B. aus dem Internet) Programmen. Hat der Entwickler diesen Sachverhalt während der Entwicklung nicht berücksichtigt, ist es einem Angreifer potentiell möglich, beim Laden einer manipulierten XML-Datei die beA - Anwendung zu
    übernehmen.
    Hier ist es die beA - Anwendung, die XML - Objekte deserialisiert und von einem authentisierten Nutzer dazu gebracht werden kann, Schadcode auf dem Server der beA - Anwendung auszuführen. Dies stellt eine hohe Bedrohung der Integrität der
    beA-Anwendung dar, was sich mittelbar auch auf die Vertraulichkeit von Nachrichten auswirken kann, die unmittelbar allerdings aufgrund ihrer durch die HSM gesicherten Verschlüsselung nicht aufgedeckt werden können. Wenn der Angreifer aber in die Verteilung von Postfachschlüsseln an Absender oder die Beantragung von Postfachzertifikaten bei der BNotK eingreifen kann, besteht in Verbindung mit der in
    Abschnitt 5.4.2 oder der in Abschnitt 5.5.1 beschriebenen Schwachstelle die Gefahr, dass er Nachrichten mitliest. Es können außerdem unmittelbar Kommunikationsbeziehungen aufgeklärt werden (Partner, Zeitpunkte). Die Bedrohung für die Systemi
    ntegrität und – verfügbarkeit ist hoch, die für die Vertraulichkeit der Nachrichten unmittelbar niedrig (in Verbindung mit den oben referenzierten Schwachstellen wäre sie allerdings hoch. Die Ausnutzbarkeit wird als leicht eingeschätzt."

    - Zitat Ende -

    Es kann nur dringend empfohlen werden, das Originalgutachten zu lesen,um das Begleitschreiben von Herrn Schäfer als völlige "Augenwischerei" zu entlarven.
    Ich weiß nicht, warum der sowas macht, aber es erinnert mich nun schon ein wenig an einen Honoratioren beim Untergang der DDR, der nur an seinen eigenen Propagandapparat glauben wollte und nichts anderem mehr zugänglich war...

    Auf diesen Kommentar antworten
    • 22.06.2018 23:50, RA Heyland

      Von der BRAK wurde ein externes SV-Gutachten verlangt, dass das beA samt Software im Sinne der rechtlichen und sachlichen Anforderungen in Ordnung ist. Ohne diese Feststellungen sollte nicht über die Wiederinbetriebnahme entschieden werden.

      In dem Gutachten steht ganz eindeutig, dass die technischen Anforderungen nicht erfüllt sind. Die anderen Anforderungen werden weder in dem Gutachten noch im Begleitschreiben erwähnt. Wollen wir hoffen, dass die regionalen Kammerpräsidenten sich nicht auf dieses Vorgehen einlassen.

    • 23.06.2018 07:28, @"DWW"

      Treffend !
      Vielen Dank !

  • 23.06.2018 14:19, Frankfurter Bub+und+Rechtsanwalt

    Lieber RA,
    klingt cool, aber erhaben bin ich bestimmt nicht ! Ich geben Ihnen recht, manchmal müssen schräge Töne sein, aber schräg muß ja nicht beleidigend sein.
    Einer meiner Lieblingssprüche, immer lachend und mit zwei zwinkernden Augen losgelassen lautet, dem haben sie doch ins Gehirn geschi..... und vergessen zu ziehen ! Ist noch nie böse angekommen, hat immer einen Lacher ausgelöst und dann alle Beteiligten zum nachdenken angeregt, mich eingeschlossen, denn auch ich habe die Weisheit nicht mit Löffeln gefuttert.
    Allerdings würde ich bei dem Thema bea soweit gehen, dass ich meinen Lieblingsspruch bestenfalls mit einem angedeutetem Lächeln und nur mit einem zwinklernden Auge den Verantwortlichen unter die Nase reiben würde.
    Liebe Grüße

    Auf diesen Kommentar antworten
    • 24.06.2018 19:04, RA

      Falsch, werter "Bub".
      Hoffentlich sind Sie lernfähig.
      Sie verwechseln "beleidigen" mit Klartext reden bzw. Wahrnehmung berechtigter Interessen.
      So wie es in den Wald schallt, hallt es heraus !

  • 23.06.2018 15:24, RA Michael Renz

    Wenn ich die Kommentare hier lese, dann vermisse ich bei einigen Hinweisen die Erkenntnis, dass es sich bei beA um eine von der BRAK (freiwillig oder unfreiwillig - sei dahingestellt) übernommene gesetzliche Pflicht handelt.

    Es ist daher beileibe nicht "ins Belieben" der BRAK gestellt, das System an den Start gehen zu lassen. Die Hauptversammlung kann sich einzig und allein davon Überzeugung verschaffen, ob die festgestellten Risiken
    * die Erfüllung der gesetzlichen Pflicht verhindern
    - dann darf nicht ans Netz,
    - ansonsten muss beA ans Netz und
    * wir MÜSSEN passiv nutzen - auch das ist (jedenfalls zwischenzeitlich) nicht mehr die Erfindung der BRAK sondern des Gesetzgebers.

    Ich will hier nicht missverstanden werden!!
    - BRAK und ATOS haben das Ding verbockt - und zwar komplett.
    Aber Herr des Verfahrens sind die beiden (schon lange) nicht (mehr). Vielmehr sind die von ihrem eigenen Unvermögen und der gesetzlichen Pflicht getrieben und haben sich in eine höchst unkomfortable Lage manövriert.

    Die Berufsverbände und wir alle müssten uns eigentlich dafür einsetzen, die passive Nutzungspflicht wegzubekommen und den Weg dazu zu öffnen, dass konstruktiv an einem funktionierenden beA weitergearbeitet werden kann - im eigenen wohlverstandenen Interesse.

    Dass das mit ATOS und der bisherigen BRAK-Führung gelingen kann, darf allerdings bezweifelt werden. Beide meinen bis heute offenbar, dass auf die Stimmen der Anwaltschaft nicht geachtet werden muss - jedenfalls ist nichts ersichtlich, was in diese Richtung deutet.

    Auf diesen Kommentar antworten
    • 24.06.2018 17:35, RA Heyland

      Laut BRAO muss die BRAK mit dem beA eine Standard-ISP-Leistung anbieten. Sie tut es nicht, weil das ihr Entrée als Mitspieler im entstehenden elektronischen Rechtsverkehr (ERV) sein soll. Die zur Problemlösung zwangsweise beschaffte üppige Kriegskasse hat sie mit den für den Staat auf diesem Gebiet schon führend tätigen Dienstleister ohne verwertbares Ergebnis ausgegeben. Das Secunet-Gutachten beweist erneut, dass echte Besserung nicht in Sicht ist.

      Die Verantwortlichen des Kammersystem verstehen sich hier als sich ihre Regeln selbst gebende Aufsichtsbehörde, die ihre Angelegenheiten nach den klassischen Regeln der Eingriffsverwaltung ordnet und davon ausgeht, dass sie damit im Ergebnis immer durchkommt. Bisher kommen von der BRAK nur Ideen, wie man durch Anwälte und deren Kommunikationspartnern zur Mehrung der eigenen Bedeutung (?) bedient wird. Die BRAK kann deshalb nicht der beim ERV notwendige ISP und Dienstleister für Anwälte sein.

      Anwälte müssen dafür sorgen, dass die Verwaltung den ERV im Umgang mit den Bürgern grundrechtskonform und sicher gestaltet. Das Kammersystem führt bisher vor, dass es dabei nur hinderlich ist - als Anwalt kann man deshalb die BRAK-Linie somit eher nicht unterstützen.

  • 23.06.2018 15:49, Picker

    Die passive Nutzungspflicht ab September ist nicht zu verantworten

    Auf diesen Kommentar antworten
    • 25.06.2018 23:31, Fritz

      Das Unternehmen ist bereits verbrannt. BRAK und Co hatten eine faire Chance und die haben sie verspielt, wenn es sie ueberhaupt etwas anging. Womit fing das Interesse der BRAK an dem beA eigentlich an?

      Die Aktivitaeten der BRAK waren bestenfalls eine sachlich nicht begruendete Folgerung aus einer bestimmten Methusalemtechnikarchitektur, fuer die es bei Lichte betrachtet nach heutigen Masstaeben und heutiger Hardware keinen vernuenftigen Grund gab. Was im Interrmediaer an erhaltenswertem steckt, kann auch in einen Client fuer den direklten Verkehr mit dem Empfaenger einer Nachricht ueber das allgemeine Internet ohne den Intermediaer.

  • 23.06.2018 16:31, DWW

    Das Gesetz kann aber die tatsächlichen Umstände seiner Umsetzbarkeit bzw. den Tatbestand nicht einfach "herstellen".
    Etwas mehr Aufmerksamkeit könnte die BMJ dem Vorgang aber schon schenken, da mit einem erfolgreich ausgenutzten Datenleck in einem nicht integren Bea, das nur "nach Plan" mit allen "Bugs" auf politisch gesetzgeberischen Befehl released wird, mit dem Wissen, dass es bei den Endkunden reifen soll und dabei mit an Sicherheit grenzender Wahrscheinlichkeit ein bundesweites Sicherheitsproblem für Wirtschaft und Wählerschaft verursacht - von dessen massiven Sicherheits- und Anwendungsproblemen das Ministerium schon seit Ende des letzten Jahres wusste - auch ihr politisches Schicksal verknüpft sein könnte.

    Auf diesen Kommentar antworten
  • 24.06.2018 11:25, santana

    Nicht zuletzt: Kann ich nun meine bestehende Hard- und Software nutzen oder muss ich einen separaten Computer mit einem veralteten System für die Kommunikation übers beA anschaffen, welcher komplett vom Rest getrennt ist?

    Tolle Arbeitserleichterung ....

    Auf diesen Kommentar antworten
    • 24.06.2018 15:51, RA Heyland

      Lieber Herr Kollege, Sie haben völlig recht. Zum Glück müssen Sie laut BRAO das beA nur passiv nutzen. Digital signierte Schriftsätze kann man auch auf anderen Wegen einreichen und der Staat kann nicht vorschreiben, für solche Kommunikationen mit ihm nur einen bestimmten Weg zu nutzen - der ERV muss also Alternativen zum beA anbieten.

      Um intern keinen Ärger mit den eingebauten Sicherheitsmängeln des beA zu bekommen, "opfert" man einen PC mit einem zur Client-Security des beA kompatiblen Betriebssystem zum Leeren des Postfachs und holt dann über das interne Netzwerk die dort auf der Festplatte abgelegten Daten zur wirklichen Bearbeitung ab. Der beA-PC muss per Firewall so isoliert werden, dass die über das beA kommenden Gefahren dabei nicht mit importiert werden. So ist der von der heutigen elektronischen Kommunikation à la BRAK herrührende Flurschaden praktisch eingrenzbar.

    • 24.06.2018 19:21, Berufsträger

      @"RA Heyland":
      Sie wollen doch nicht ernsthaft annehmen, dass man sich eines separaten PCs bedienen soll, um dieses Monster zu nutzen !?
      Lächerlicher geht's nimmer !
      Wann tritt hier endlich ein Staatsanwalt in Erscheinung !!??

    • 24.06.2018 19:44, Jörn Erbguth

      @Berufsträger:
      Mit der bisherigen Version wäre es in der Tat angebracht gewesen, einen eigenen PC oder besser noch eine Virtuelle Machine auf einem PC zu nutzen. Nach den angekündigten Korrukturen dürfte das beA auf Ihrem Rechner sicherer sein, als viele andere Programme, die Sie ebenfalls dort nutzen.
      Virtualisierung ist natürlich immer eine gute Idee - zum Beispiel auch für das Surfen im Netz.
      Ich höre immer "Staatsanwalt". Steht die fahrlässige Verteilung unsicherer Software an Anwälte unter Strafe? Die andere Frage ist natürlich, ob die Staatsanwaltschaften da mangels Unabhängigkeit überhaupt ermitteln würden. Ich bin ganz unabhängig vom beAgate der Meinung, dass Deutschland eine unabhängige Staatsanwaltschaft braucht, die auch regierungsnahe Kriminalität ermittelt. (https://www.change.org/p/parlament-einf%C3%BChrung-einer-unabh%C3%A4ngigen-staatswanwaltschaft-in-deutschland?recruiter=24880619&utm_source=share_petition&utm_medium=copylink&utm_campaign=psf_combo_share_initial&utm_term=triggered)

    • 24.06.2018 22:00, RA Heyland

      Richtig ist, dass die im Gutachten angesprochenen Korrekturen einige der brennenden Probleme lösen können. Dazu müssen sie aber sämtlich richtig und vollständig umgesetzt sein und das wird laut BRAK-Ankündigung bis zum 04.07.2018 auf jeden Fall nichts. Ab dann sollen wir die teilweise überarbeitete Client Security installieren, um im September passiven nutzen zu können.

      Ich kann mich gut an das von mir mitverantwortete internationale Großprojekt mit internetbasierten Datenbanken erinnern, in dem auch gewisse sofort behebbare Software-Probleme auftraten. Der erste Versuch fand sofort statt, das Ergebnis war jedoch nach mehreren solchen Anläufen und einem gewaltigen Hin und Her wenig später die Neuprogrammierung der Anwendung. Anders waren noch größere Probleme mit dem Auftraggeber nicht mehr abzuwenden - für die Programmierer war das der Super-GAU mit entsprechenden Folgen.

      Mein SysAd freut sich, wenn er VM hört - das ist erst einmal ziemlicher Aufwand bei der Installation und geht auch nicht ohne Pflege. Ich bin kein Informatiker und kann mir Experimente à la BRAK in meinem operativen System finanziell nicht leisten. Solange die BRAK kein die geprüfte Behebung aller beA-Software-Probleme und die Betriebssicherheit des Systems bescheinigendes seriöses Gutachten liefert, gibt es bei mir die beA-Abfrage nicht ohne einen nur mit dem beA kommunizierenden extra PC und brauche ich eine Alternative für die sichere Kommunikation mit Behörden. Das ist bis auf weiteres die gangbare, sicherste und bezahlbare Alternative zur Vollnutzung des beA mit seiner nicht unter Last richtig ausgetesteten, halbgaren Software mit den so professionell arbeitenden Systemadministratoren, dass sie mit faulen Zertifikaten erst die Sicherheit der EDV ihrer Kunden gefährden und anschließend ihr System Knall auf Fall bis auf weiteres abklemmen.

      Kammernotable für dieses Desaster auch strafrechtlich zur Verantwortung zu ziehen, hat als Drohung vielleicht eine abschreckende Wirkung. In Wirklichkeit verfolgt die deutsche Justiz Ehrenamtler ernsthaft nur dann, wenn es um grobe Fahrlässigkeit geht und ob die bisher bekannten Fakten das tragen, kann man als Außenstehender schlecht beurteilen.

    • 25.06.2018 08:37, @RAHeyland:

      "Richtig" ist, dass das "beA" tot ist.
      Da wird auch aller "Kadavergehorsam" hinfällig, zumindest, was dieses Thema angeht.
      Das Problem ist allerdings die strafrechtliche Relevanz dieser ungeheuerlichen Geldverschwendung, die vernünftigerweise nur noch als vorsätzlich zu bezeichnen ist.

    • 25.06.2018 23:39, DWW

      Das, was RA Heyland sagt, wäre in der Tat prima:

      "...zur Client-Security des beA kompatiblen Betriebssystem zum Leeren des Postfachs und holt dann über das interne Netzwerk die dort auf der Festplatte abgelegten Daten zur wirklichen Bearbeitung ab. Der beA-PC muss per Firewall so isoliert werden, dass die über das beA kommenden Gefahren dabei nicht mit importiert werden."

      Aber allein dieser Aspekt beinhaltet schon drei Sicherheitsprobleme, die klassische Virenkanäle darstellen und deren Absicherung der Quadratur des Kreises gleichkommt:

      1. über das interne Netzwerk
      2. eines Betriebssystems, auf das Bea aufgesetzt ist
      3. per Firewall isoliert

    • 26.06.2018 23:01, RA Heyland

      Lieber DWW, man kann die vom Betreiber gelieferte Client Security nicht guten Gewissens im hauseigenen System nutzen, wie wir zuletzt im Dezember 2017 erlebt haben. Da hilft nur die ähnlich wie ein externer FTP-Server aufgezogene Variante, die wenigstens vor der Nachlässigkeit der beA-Betreiber schützt. Wer seine eigene EDV nicht selbst ordentlich sichert, braucht sowieso keinen Schutz.

  • 25.06.2018 09:55, Jörn Erbguth

    Einen Nachtrag zur kryptographischen Sicherung möchte ich noch machen:
    Es gibt vier Punkte an denen die kryptographische Sicherheit der Nachrichten konkret bedroht ist. Es sind dies:
    a) Die Existenz von Master-Keys
    "Die gesamte kryptographische Sicherung der Vertraulichkeit der Nachrichten im beA-System basiert auf der Geheimhaltung eines Satzes von Arbeitsschlüsseln, sogenannter Master-Schlüssel, die in den HSM gespeichert sind und dort verwendet werden, um Nachrichtenschlüssel oder private Postfachschlüssel zu ver- und entschlüsseln, was auch für die Umverschlüsselung genutzt wird." (S. 78)
    "Vor diesem Hintergrund besteht zudem die Möglichkeit, dass der Auftraggeber im Rahmen von Beschlagnahmen von Postfächern gezwungen werden könnte, Nachrichten offenzulegen." (5.5.3, S. 86)
    b) Die fehlende Detailbeschreibung der verwendeten Verschlüsselungsalgorithmen. Secunet konnte dort im Detail also gar nicht prüfen, ob die Verschlüsselung sicher ist:
    "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden. Angaben über die verwendeten Algorithmen und ihre Parametrisierung wurden zum Teil nur summarisch gemacht. Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom beA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen.
    Angaben zum Schlüsselmanagement (Erzeugung, Verwendung, Wechsel, Vernichtung) verteilten sich auf eine Vielzahl von Dokumenten, ohne dabei in der Summe vollständig zu sein" (S. 90)
    c) Die Verwendung schwacher Zufallsgeneratoren für die Generierung der Keys:
    "Die Verwendung von java.util.Random in Zusammenhang mit kryptographischen Funktionen ist ein schwerwiegendes Problem, da schwache Zufallszahlen eine Vielzahl von Angriffen ermöglichen, die schlussendlich die Sicherheit der kryptographischen Funktionen aushebeln." (4.5.2 S. 66)
    d) "Ein Innentäter oder ein erfolgreicher Angreifer der beA-Anwendung kann also auch Zertifikatsanträge mit eigenen Schlüsseln erstellen und an die BNotK zur Zertifikatsausstellung senden. Das von der BNotK daraufhin erstellte Zertifikat kann der Angreifer dann zusammen mit den eigenen Schlüsseln für weitere Angriffe nutzen." (5.5.1 S.83)
    In seinem Anschreiben spricht Herr Schäfer die Punkte konkret an:
    Beim Punkt a) (5.5.3) müsse man der BRAK einfach vertrauen. Weitere technische Sicherheitsmaßnahmen wie sie von Secunet vorgeschlagen würden, würden von der BRAK geprüft, sind aber voraussichtlich sehr teuer. Ob dadurch dann ein Angreifer, der die privaten Schlüssel aktuell schon hat, keinen Zugriff mehr hat, ist mir zudem unklar.
    Beim Punkt b) dem fehlenden durchgängigen Konzept verspricht Herr Schäfer ebenfalls Nachbesserung. Ob dieser Prozess bis zur Wiederinbetriebnahme abgeschlossen sein wird und ob auf Basis der dann vorliegenden Dokumentation eine neue Prüfung erfolgt, schreibt er allerdings nicht.
    Der Punkt c) (4.5.2) könnte darauf zurückzuführen sein, dass ein Testcode im Code verblieben ist und solle geklärt werden.
    Der Punkt d) (5.5.1) wird behoben. Ob bestehende Zertifikate deshalb neu ausgestellt oder auch nur nachträglich abgeglichen werden, schreibt er allerdings nicht.
    Das bedeutet, dass auch beim HSM nicht die technischen Standards eingehalten worden sind. Das Problem daran ist, dass eine Behebung dieser Sicherheitslücken streng genommen nicht ausreicht, da das System bereits kompromittiert sein könnte. Es müsste neu aufgesetzt werden - einschließlich der generierten Postfach- und Kartenschlüssel. Das ist ein Riesenaufwand und bis September nicht machbar.

    Auf diesen Kommentar antworten
    • 25.06.2018 10:03, ULLRICH DOBKE

      Die Regierung muß weg und das die Anwaltschaft belastende Gesetz aufgehoben werden. Wer denn von der Justiz angebotene Kommunikationswege freiwillig auf sein Risiko nutzen will mag das tun. Wo ist das Problem, Gutes setzt sich durch, noch zudem, wenn es kostengünstig ist. Das zeigte sich doch beim Telefax !!! Aber dieser Schmarren?

    • 25.06.2018 10:10, Jörn Erbguth

      @Ullrich Dobke
      Die Regierung würde ich wegen des beA nicht stürzen - so wichtig sind Anwälte dann doch nicht. Sehen Sie sich an, was da aktuell in der EU auf deutschen Druck bzgl. Link-Steuer (Leistungsschutzrecht) und Vorabzensur (Upload-Filter) läuft, das wären für mich dann schon eher Gründe.
      Das Fax hat sich durchgesetzt - aber gut ist das nicht. Oder würden Sie ernsthaft behaupten, dass dieser langsame, unsichere und schwer leserliche Übertragungsweg "gut" ist. Lediglich die Fiktion der Sicherheit hält das Fax am Leben. Es ist für mich eher ein Zeichen, dass sich Gutes eben nicht von alleine durchsetzt. Es fehlt die kritische Masse. Die kritische Masse durch Zwang zu erhalten aber für die Nutzer*innen keinen Mehrwert zu liefern, funktioniert allerdings auch nicht.

    • 25.06.2018 12:25, @"Jörn Erbguth":

      Aber SIE scheinen es offensichtlich sehr "wichtig" zu haben, werter "Jörn Erbguth" !
      Sie dürften mit all Ihrem Gehabe und noch dazu mit Ihrer Niederlassung in Genf sicherlich kein betroffener Berufsträger in Deutschland sein !
      Gottseidank gibt es auch andere Meinungen zu bewährten Kommunikationseinrichtungen wie dem FAX !
      "Mehrwert" hin oder her !

      Empfehlung (in aller Güte, versteht sich):
      Halten Sie sich besser etwas zurück oder versetzen Sie sich gefälligst in die mißliche Lage der seriösen Berufsträger, die es satt haben, von diesem Monster und seinen unseeligen Schöpfern weiter behelligt und abkassiert und "beaufsichtigt" zu werden !

  • 25.06.2018 15:07, Jörn Erbguth

    Sehr geehrter Anonymus. Es bleibt Ihnen natürlich unbenommen, anonym zu posten - ob Sie Berufsträger*in sind oder nicht und wo Sie Ihren gewöhnlichen Aufenthalt haben, kann ich da natürlich nicht sagen. Als Nichtberufsträger außerhalb des Geltungsbereichs der meisten deutschen Gesetze erlaube ich mir einen ein wenig neutraleren Blick jenseits der unmittelbaren Betroffenheit auf die Geschehnisse zu werfen. Indes haben Sie es ja unmittelbar in der Hand Ihre Selbstverwaltung auf Linie zu bringen. Auch wenn ich nicht glaube, dass die Mehrzahl der deutschen Anwält*innen das Eigenlob der BRAK teilt, so scheint es den meisten aber auch nicht so wichtig zu sein, für eine Änderung bei ihrer Standesvertretung zu sorgen: Ich zitiere Herrn Schäfer: "Ich bin erfreut, dass sich die große Mehrheit der Präsidentinnen und Präsidenten hinter das gesamte Präsidium stellt und unsere Arbeit nicht nur schätzt, sondern auch unterstützt"

    Auf diesen Kommentar antworten
    • 25.06.2018 15:18, Berufsträger

      Sie haben offenbar immer das letzte Wort.
      Allerdings bleiben Sie einseitig.
      Ein Schmuckstück ist das nicht gerade für das schöne Genf.
      Nur weiter so !

    • 26.06.2018 23:17, RA Heyland

      Vielen Dank für Ihre sachlichen Hinweise, Herr Erbguth. Die Reaktionen einiger Kollegen zeigen, dass sie nur teilweise verstehen, welche Probleme in der Technik des beA stecken und daher in die eine oder die andere Richtung überreagieren, wenn sie damit konfrontiert werden. Das gilt ganz besonders für Kammerpräsidenten, die nicht verstehen wollen, was Herr Schäfer & Co auch weiterhin anrichten und wie bisher schon den Dingen ihren freien Lauf lassen.

  • 29.06.2018 19:23, [rw]

    Einen Punkt verstehe ich in der ganzen Diskussion nicht: Welchen Zweck verfolgt die Vertraulichkeit der Kommunikation? Das beA dient doch in erster Linie der Kommunikation zwischen Rechtsanwälten und Gerichten (so jedenfalls die Reichweite der Nutzungspflicht). Der Staat kennt die Inhalte der Kommunikation sowieso, deswegen braucht man sie vor ihm nicht zu schützen.

    Und auch die Authentizität halte ich für kaum problematisch. Bisher wird die Authentizität einer Unterschrift nur geprüft, wenn der vermeintliche Unterzeichner im Nachhinein bestreitet, einen Schriftsatz unterschrieben zu haben, und in allen anderen Fällen wird eine handschriftliche Unterschrift ohne nähere Prüfung anerkannt. Das funktioniert jedenfalls nach meinem Eindruck hinreichend gut.

    Ist es tatsächlich problematisch, dass das beA die Authentizität und Vertraulichkeit nicht so weit verbessert, wie es nach dem Stand der Technik möglich wäre, sondern nur ein kleines bisschen?

    Auf diesen Kommentar antworten
    • 29.06.2018 20:56, RA Heyland

      Es geht darum, dass der Empfänger sicher sein kann, wer der Absender ist und dass die Nachricht auf dem Weg zwischen Absender und Empfänger nicht unbefugt mitgelesen oder im Fall des Verlustes unbefugt verwertet werden kann. Den Staat gehen die Inhalte dieser Kommunikation nichts an, weil die Kommunikation in einem Verfahren ausgetauscht wird, in dem es u.a. auch um die Nachkontrolle dessen geht, was seine diversen Organe zu verantworten haben und dort erst ankommen soll, wenn ein unabhängiger Richter davon Kenntnis hatte. Das beA der BRAK verbessert weder die Vertraulichkeit noch die Authentizität von Kommunikation, sondern eliminiert zur Zeit noch vorhandenen Schutz durch die physische Übermittlung. Warum sollen Anwälte der BRAK zubilligen, dass sie sich auf diese Weise in die Beziehung Anwalt - Mandant einmischt und nur unter Zwang damit beginnt, davon so wenig wie möglich Abstand zu nehmen?

    • 21.07.2018 12:38, Gunther Marko

      Es geht ausschliesslich darum, dass ich mir den Kommunikationsweg nicht aufzwingen lasse.
      Ich darf insbesondere als Berufsträger selbstverständlich SELBST entscheiden, welchem Kommunikationsweg ich Vertrauen schenken möchte oder nicht.
      Alles andere ist vollkommen nebensächlich.
      ENDLICH MAL KAPIERT !?

    • 21.07.2018 15:06, RA Heyland

      Der Staat macht sich heute die Regeln selbst, wie er mit den ihn alimentierenden Subjekten verkehrt, die aus seiner Perspektive Objekte klaglos zu erduldendem administrativem Wirken sind:

      - Mit dem Finanzamt können Sie bei der Abgabe von Steuererklärungen nur noch elektronisch verkehren und wenn das nicht klappt, sind Sie beweispflichtig, warum das nicht an Ihnen liegt.

      - Andere Behörden der Leistungsverwaltung eifern diesem Beispiel intensiv nach etwa bei der Vergabe öffentlicher Aufträge und Gelder, der Beantragung von Dokumenten, Sozialleistungen u.a.m..

      In diesen Systemen können Sie zwischen beA oder De-Mail wählen, wenn Sie nicht wie bei den Steuern zur Online-Eingabe in eine per Internet zugängliche Maske auf einem Ihnen unbekannten Server gezwungen sind und dankbar sein müssen, wenn zum Abschluss ein Übertragungsprotokoll kommt.

      Wenn Sie das nicht akzeptieren, müssen Sie das BVerfG davon überzeugen, warum Sie im Recht sind - je eher, desto besser. Ob jemand, der wie zuletzt die Rundfunkgebührenpflicht aus übergeordnetem öffentlichem Interesse abnickt, beim ERV im Grundsatz sehr viel anders entscheidet, darf bezweifelt werden.

    • 22.07.2018 10:55, Gunther Marko

      Sie haben es offenkundig nicht kapiert, werter RA Heyland.
      Ihre Vergleiche hinken noch dazu.

      Anwaltliche Kommunikation und Verschwiegenheit sind höchst eigener Natur und erfolgen im überwiegenden Interesse der Mandantschaft.
      Einem Berufsträger, jedenfalls meiner Person zur Ausübung seines Berufes die Wahl des Kommunikationsweges abzuschneiden und ein Monster vorzuschreiben, dessen Schöpfern und dem selbst gegenüber kein Vertrauen entgegengebracht wird oder gar entgegengebracht werden darf, ist keinem Mandanten vermittelbar !

      Wenn Sie meinen, dies im Zuge eines Kadavergehorsams unterster Schublade mit derartigen, neben der Sache liegenden Vergleichen dennoch vermitteln zu wollen, so ist das ausschliesslich IHR EIGENES Problem.
      Allerdings ist das Hochverrat an der Mandantschaft !

      Ich führe mit Ihnen hierzu keine weitere Korrespondenz.

Neuer Kommentar
TopJOBS
Le­gal Pro­ject Ma­na­ger (m/w/d)

Clifford Chance, Düs­sel­dorf und 1 wei­te­re

As­so­cia­tes (m/w/d) im Im­mo­bi­li­en­recht

DLA Piper UK LLP, Frank­furt/M. und 2 wei­te­re

Rechts­an­wäl­te (m/w) Cor­po­ra­te

Noerr LLP, Ber­lin und 7 wei­te­re

Rechts­an­walt (m/w/d) mit Schwer­punkt für den Be­reich Mar­ken- und Wett­be­werbs­recht / für den Be­reich IT- und Da­ten­schutz­recht

CBH Rechtsanwälte, Köln

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w/d) im Be­reich Ar­beits­recht

Melchers Rechtsanwälte, Hei­del­berg

Mit­ar­bei­ter (m/w) Qua­li­ty & Risk Ma­na­ge­ment – Da­ten­schutz

KPMG, Ber­lin

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­wäl­te (m/w)

DLA Piper UK LLP, Köln

Rechts­an­walt (m/w/d) für den Be­reich Bau- und Im­mo­bi­li­en­recht, ins­be­son­de­re im ge­werb­li­chen Miet­recht

Melchers Rechtsanwälte, Hei­del­berg

WIRT­SCHAFTS­JU­RIST (W/M)

Hella Aglaia, Ber­lin

Rechts­an­walt (m/w/d) für den Be­reich Straf­recht

Melchers Rechtsanwälte, Hei­del­berg

Rechts­an­wäl­te w/m im Be­reich M&A | Pri­va­te Equi­ty | Ven­tu­re Ca­pi­tal

Heuking Kühn Lüer Wojtek, Stutt­gart

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te

Kliemt.Arbeitsrecht, Düs­sel­dorf und 3 wei­te­re

Rechts­an­walt (m/w) Schnitt­s­tel­le Steu­er­recht - Ge­sell­schafts­recht

P + P Pöllath + Partners, Mün­chen

Rechts­an­walt / Rechts­an­wäl­tin für Ar­beits­recht, insb. kol­lek­ti­ves Ar­beits­recht

APITZSCH SCHMIDT KLEBE, Frank­furt/M.

Rechts­an­wäl­tin/Rechts­an­walt im Fach­be­reich Da­ten­schutz

REDEKER SELLNER DAHS, Ber­lin

As­so­cia­te (w/m) M&A

Taylor Wessing, Ham­burg

Rechts­an­walt (m/w) Ge­werb­li­cher Rechts­schutz - IP (mit/oh­ne Be­ruf­s­er­fah­rung)

Luther Rechtsanwaltsgesellschaft mbH, Köln

RECHTS­AN­WALT (m/w) im Be­reich Cor­po­ra­te/Trans­ak­ti­on

GSK Stockmann, Ber­lin

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te Un­ter­neh­mens­nach­fol­ge

Hennerkes, Kirchdörfer & Lorz, Stutt­gart

Be­auf­trag­ter für Ver­ga­be­ver­fah­ren / Voll­ju­rist Öf­f­ent­li­ches Recht (d/m/w)

VDI/VDE Innovation + Technik GmbH, Ber­lin

RECHTS­AN­WÄL­TE (M/W/D) im Be­reich Li­ti­ga­ti­on & Dis­pu­te Re­so­lu­ti­on

Clifford Chance, Mün­chen

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial Con­tracts (Schwer­punkt: Au­to­mo­ti­ve)

Bird & Bird LLP, Frank­furt/M.

Voll­ju­ris­ten (m/w) Li­ti­ga­ti­on

PERCONEX, Düs­sel­dorf und 2 wei­te­re

Rechts­an­wäl­te w/m Ver­ga­be­recht

Heuking Kühn Lüer Wojtek, Frank­furt/M.

RECHTS­AN­WALT (M/W/D) im Be­reich GE­SELL­SCHAFTS­RECHT / M&A

FPS Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten mbB, Düs­sel­dorf

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

As­so­cia­te (w/m) M&A

Taylor Wessing, Düs­sel­dorf