beA-Dienstleister Atos erklärt Problem für gelöst: "Sicher­heit und Inte­grität sind wie­der­her­ge­s­tellt"

"Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig" - mit diesem Fazit endet eine Pressemeldung, die der mit der Entwicklung des beA beauftragte Dienstleister Atos am Freitagmorgen veröffentlicht hat.

Atos bezieht sich in der Pressemeldung allerdings nur auf die Sicherheitslücke in der Kommunikation zwischen beA-Client und Browser: "Die Client-Anwendung erstellt bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet. Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht. Die Funktionstüchtigkeit und die Sicherheit der Lösung soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden." 

Zu den weiteren Sicherheitslücken, u.a. eine fehlende Ende-zu-Ende-Verschlüsselung oder veraltete Software-Komponenten, nimmt Atos keine Stellung. Die Teilnahme am sogenannten beAthon, bei dem die Bundesrechtsanwaltskammer (BRAK) am Freitag mit externen Experten über Lösungen der bekannt gewordenen Probleme sprechen möchte, hatte Atos kurzfristig abgesagt. Offensichtlich erachtet der Dienstleister die Veranstaltung nicht mehr für notwendig. Man habe der BRAK das Update geliefert. "Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen."

Gleichzeitig schiebt Atos die Verantwortung für eventuelle weitere Sicherheitsprobleme der Anwaltskammer zu: "Die Entscheidung über die erneute Inbetriebnahme des Systems liegt bei der BRAK. Die Rechte an dem Quellcode liegen ebenfalls bei der BRAK beziehungsweise bei den Herstellern der genutzten Standardsoftware-Komponenten."

BRAK lehnt IFG-Antrag ab: Verschwiegenheitsverpflichtung und Geschäftsgeheimnisse

Tags zuvor hatte die BRAK einen Antrag nach dem Informationsfreiheitsgesetz (IFG), die Verträge mit Atos offen zu legen, abgelehnt. Sie beruft sich dabei auf eine Verschwiegenheitsverpflichtung nach § 14 Abs. 3 der Vergabe- und Vertragsordnung für Leistungen (VOL/A). Danach seien "die Angebote des Verfahrens samt Anlagen auch nach Abschluss des Vergabeverfahrens vertraulich zu behandeln."

Die Vertragsinhalte stellten zudem "Betriebs- und Geschäftsgeheimnisse im Sinne von § 6 Satz 2 IFG dar." Atos habe "seinen Geheimhaltungswillen ausdrücklich geäußert, u.a. enthalten beide Verträge Verschwiegenheitsklauseln. [...] Wettbewerber, die ebenfalls Lösungen im Bereich des elektronischen Rechtsverkehrs anbieten oder zukünftig anbieten wollen, könnten diese Informationen bei deren Offenlegung für ihre Zwecke nutzen und Atos so wirtschaftlich erheblichen Schaden zufügen. Das beA ist ein sicheres, Ende-zu-Ende verschlüsseltes System, dessen Entwicklung und Betrieb exklusives Wissen von Atos enthält."

Im selben Schreiben betont die BRAK, dass im Rahmen eines Bewerbungsverfahrens mehrere Anbieter aufgerufen worden seien, ein Angebot zur Entwicklung des beA abzugeben, von denen schließlich Atos den Zuschlag bekommen habe.

"beA+": Community arbeitet an sicheren Alternativmodellen

Während die BRAK nicht müde wird, die fehlende Ende-zu-Ende-Verschlüsselung als aufgrund der gesetzlichen Anforderungen alternativlos darzustellen, arbeiten Freiwillige an ebensolchen Alternativen. Der Journalist und Hacker Hanno Böck skizziert im IT-Fachmagazin Golem, wie eine Vertreterfunktion mit Ende-zu-Ende-Verschlüsselung umsetzbar wäre. Der EDV-Gerichtstag veranstaltet im März ein Symposium zur konzeptionellen Weiterentwicklung des beA.

Und auch an anderer Stelle sorgt die Community für Transparenz, die die zuständigen Stellen vermeiden wollen: Auf dem Entwicklerportal Github hat der IT-Berater Enrico Weigelt ein Archiv der EGVP-Störungsmeldungen seit 2013 zur Verfügung gestellt. Mit ihnen können Rechtsanwälte, die durch eine Störung des Elektronischen Gerichts- und Verwaltungspostfach (EGVP) z.B eine Frist versäumt haben, einen Antrag auf Wiedereinsetzung untermauern. Auf der EGVP-Webseite selber sind nur die jeweils drei jüngsten Störungsmeldungen verfügbar.