Das Anwaltspostfach bleibt erst mal offline. Was heißt das, so kurz vor Beginn der Nutzungspflicht? Wer und was ist gefährdet? Es brodelt nicht nur in der Anwaltschaft: Auch regionale Anwaltskammern haben genug von der Salamitaktik der BRAK.
Vier Tage vor Beginn der Nutzungspflicht, sechs Tage nach dem, was die Twitter-Community #BeAGate nennt: Beim Jahreskongress des Chaos Computer Clubs 34C3 in Leipzig beschäftigt man sich mit dem besonderen elektronischen Anwaltspostfach (beA), längst berichten nicht mehr nur juristische und IT-Fach-Magazine über die "schwere Panne".
Am Mittwoch erklärte die verantwortliche Bundesrechtsanwaltskammer (BRAK) per Pressemitteilung, dass das Anwaltspostfach offline bleibt, bis der Dienstleister Atos "die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat". Weitere öffentliche Erklärungen gibt es von der BRAK nicht.
Dabei gäbe es viel zu sagen. Darüber, was sie falsch gemacht hat. Weshalb sie so lange nicht erkannte, welch tiefgreifendes Problem in der Sicherheitsarchitektur des beA angelegt wurde. Warum sie immer noch mauerte, als sie es längst wusste. Und darüber, wie es jetzt weiter gehen soll.
Das wüssten nicht nur die Anwälte gern. Auch bei den regionalen Anwaltskammern brodelt es, von "desolater Informationspolitik" der BRAK ist die Rede.
Keine Nutzungspflicht ohne Nutzungsmöglichkeit?
Derzeit ist die beA-Plattform – wie auch sämtliche bei den Kammern geführten Anwaltsverzeichnisse - offline. Weil, wer nichts macht, auch nichts falsch machen kann, können weder beim Zugang zum System noch bei dessen Benutzung also aktuell Sicherheitsrisiken entstehen. Wer nicht am vergangenen Freitag das zusätzliche Zertifikat heruntergeladen hat, muss also nichts tun.
Wenn niemand sich im beA einloggen und damit auch niemand Nachrichten versenden oder empfangen kann, können die Rechtsanwälte aber auch ihrer ab dem 1. Januar bestehenden passiven Nutzungspflicht nicht nachkommen. Ein Berliner Anwalt hat nach eigenen Angaben am Mittwoch beim Bundesverfassungsgericht (BVerfG) beantragt, per einstweiliger Anordnung die passive Nutzungspflicht für das beA auszusetzen, "bis das System verlässlich zur Verfügung steht und die BRAK nachgewiesen hat, dass die dem System zugrungeliegende Technik – insbesondere die Verschlüsselungstechnik – dem Stand der Technik im Jahr 2018 entspricht". Das BVerfG bestätigte am Donnerstag den Eingang eines Antrags in Bezug auf das beA (Az. 1 BvQ 74/17).
Der Deutsche Anwaltverein (DAV) forderte am Mittwoch in einer ungewöhnlich scharf formulierten Erklärung, die BRAK solle öffentlich erklären, dass das beA bis zu seiner Freischaltung auf keinem Wege, auch nicht von Gerichten und anderen Kommunikationspartnern, erreichbar ist.
Auf Nachfrage von LTO bestätigte die BRAK das: "Wir können ausschließen, dass Gerichte oder andere Kommunikationspartner momentan Dokumente auf diesem Wege zustellen können". Man habe am Mittwoch im Realtest festgestellt, dass die Sender eine Fehlermeldung erhielten und darauf hingewiesen würden, dass keine Zustellung erfolgt ist.
Sie teilte weiter mit, das Gespräch mit dem Bundesjustizministerium aufgenommen zu haben, um eine generelle Regelung für die passive Nutzungspflicht für die Dauer bis zur erneuten Freischaltung der beA-Plattform zu finden. Laut einem Schreiben vom 27. Dezember, das LTO vorliegt, hat sie dem BMJV allerdings lediglich mitgeteilt, "dass die Anwälte ihre Nutzungspflicht, solange beA vom Netz ist, nicht erfüllen können. Es können auch keinerlei Nachrichten in das beA der Anwälte gesandt oder von dort abgeholt werden. Gerichte sind daher auch nicht in der Lage, in diesem Zeitraum Nachrichten an Anwälte zu senden."
Beim BMJV beschränkte man sich bis zur Veröffentlichung dieses Artikels noch auf den Hinweis, dass man nur die Rechtsaufsicht über die BRAK ausübe und sich daher zum Anwaltspostfach derzeit nicht äußern wolle.
2/3: Sicherheitsrisiko Zertifikat: Deinstallation beseitigt die Gefahr
Ein Sicherheitsrisiko besteht hingegen weiterhin für Anwälte, die am Freitag der Aufforderung der BRAK gefolgt sind, ein neues Zertifikat herunterzuladen. Mit diesem Zertifikat, bei dessen Installation bereits in jedem Browser auf bestehende Sicherheitsrisiken hingewiesen wurde, können Angriffe nicht nur auf das beA erfolgen, sondern auch auf andere Seiten. Egal ob Google, Facebook, oder Online-Banking – ein Angreifer könnte Passwörter ausspionieren, Daten manipulieren und vieles mehr. Seit Mittwoch rät auch die BRAK den Anwälten dringend dazu, das Zertifikat zu deinstallieren, eine Anleitung dazu hat sie zwischenzeitlich bereitgestellt. Das IT-Magazin Golem.de bietet einen Test an, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben.
Dazu, wie viele Anwälte betroffen sind, liegen der BRAK nach eigenen Angaben noch keine exakten Zahlen vor. "Aufgrund des Zeitpunkts am Freitag vor Weihnachten und der uns vorliegenden Serverprotokolle gehen wir momentan aber von einer sehr niedrigen Zahl aus", heißt es in ihren schriftlichen Antworten auf Anfragen von LTO. Dabei verschweigt sie, dass sie am 22. Dezember mittags die regionalen Kammern dringend dazu aufforderte, die Information über das nötige Zertifikat noch vor Weihnachten an die Anwälte zu verteilen, was viele Kammern auch noch taten. Die Information hingegen, dass das Zertifikat gefährlich ist und wieder deinstalliert werden muss, erhielten die Kammern erst am 27. Dezember.
Markus Drenger nimmt an, dass die Betroffenen überwiegend in kleinen Kanzleien zu finden sind. "Keine Kanzlei mit einer eigenen IT-Abteilung oder einem fachkundigen IT-Dienstleister hätte dieses Zertifikat heruntergeladen", erklärte das Mitglied vom Chaos Computer Club Darmstadt mit Blick auf die massiven Sicherheitswarnungen schon beim Download. Das Zertifikat ist gefährlich. Wer es aber wieder deinstalliert, verbannt damit auch die* Bedrohungen von seinem Rechner und den Internetverbindungen, die er nutzt.
Sicherheitsrisiko im beA: Lösung kann Monate dauern
Die grundlegende Sicherheitslücke, mit der das beA behaftet ist, wird damit aber nicht einmal angerührt. Die BRAK hat sich nach eigenen Angaben gegen Zwischenlösungen, aber noch nicht final für einen Lösungsweg entschlossen: "Aktuell prüfen wir unterschiedliche Varianten für die Problemlösung", heißt es auf Anfrage von LTO. Im Grundsatz unterschieden sich diese darin, dass "entweder der Zugang zu beA über ein vollständig und umfassend sicheres Zertifikat aufgebaut oder aber ein Umbau von beA vorgenommen wird, sodass ein ebenso sicherer Zugang ohne Zertifikat möglich wird".
Zum gegenwärtigen Zeitpunkt müsse man, so die BRAK, davon ausgehen, "dass bis zum 1. Januar keine hinreichende Lösung umgesetzt werden kann, die sowohl den Fortbestand der Sicherheit der beA Webanwendungen wie auch die Sicherheit der individuellen Client Security eines jeden Anwalts garantieren kann".
CCC-Mitglied Drenger schätzte bei einem Vortrag zum Anwaltspostfach in Leipzig am Donnerstag, dass die Sicherheitslücken nicht innerhalb von drei bis vier Monaten zu beheben seien. Nach seiner Einschätzung muss der gesamte Client neu geschrieben werden. Im Gespräch mit LTO sagte der IT-Sicherheitsexperte, der das beA geprüft und die Zertifizierungsstelle auf die Sicherheitslücken aufmerksam gemacht hat, es gehe um ein immenses Sicherheitsproblem, das tief in der Architektur der Software verankert ist. Drenger hält das gesamte IT-Projekt beA für "unprofessionell - sowohl entwickelt als auch getestet". Bei seinem Vortrag zum Anwaltspostfach in Leipzig am Donnerstag sagte er, die Sicherheitslücken hätte jeder mit IT-Know-how "auf Erstsemester-Niveau" finden können.
Er bezieht sich auf die Verschlüsselung. Jedem Anwaltspostfach ist dazu ein Schlüsselpaar zugewiesen. Ein Schlüssel ist öffentlich, einer privat. Jeder Nutzer muss, damit die Sicherheit gewährleistet ist, über einen individuellen privaten Schlüssel verfügen, den nur er kennt. Beim beA aber sind die privaten Schlüssel aller Nutzer identisch und öffentlich zugänglich – laut Drenger ein Verstoß gegen alle gängigen IT-Sicherheitsstandards.
Das am Freitag von der BRAK empfohlene Vorgehen, ein neues Zertifikat zu installieren, hätte diese Sicherheitslücke auch nicht geschlossen, sondern sie lediglich kaschiert. Die privaten Schlüssel blieben weiter identisch und öffentlich zugänglich.
*Kleine Änderung auf Leserhinweis, 29.12.2017, 10:45 h.
3/3: Jetzt soll ein unabhängiger Fachbeirat her
Nun sind Zweifel an der gebetsmühlenartig wiederholten Behauptung der BRAK, das Anwaltspostfach sei besonders sicher und durch eine Ende-zu-Ende-Verschlüsselung geschützt, nicht neu. Branchenkenner weisen seit Jahren darauf hin, dass bei einer echten Ende-zu-Ende-Verschlüsselung nur ein Empfänger den Schlüssel hat, um die Nachricht zu dekodieren. Dort liegt allerdings auch eine berufsrechtlich bedingte Besonderheit des beA, die in gängigen IT-Sicherheitsstandards nicht berücksichtigt wird: Es muss gesichert sein, dass auch ein Vertreter des Postfachinhabers die Nachricht empfangen, also entschlüsseln kann. Diese Anforderung machte eine Umschlüsselung erst nötig, deren Umsetzung nun zu der Sicherheitslücke geführt hat.
CCC-Mitglied Drenger hält mit seiner Kritik am ausführenden französischen IT-Unternehmen Atos nicht hinter dem Berg: "Ich würde der Bundesrechtsanwaltskammer raten, sich einen neuen Dienstleister zu suchen – oder jedenfalls eine externe Beratung mit einer entsprechenden Fachkompetenz".
Letztere Forderung erhebt der DAV seit Jahren und wiederholte sie auch am Mittwoch. Auch aus IT-Kreisen wird ein solcher unabhängiger Fachbeirat der BRAK hinter den Kulissen seit Jahren ans Herz gelegt. Möglicherweise hätte er verhindern können, dass ein proprietäres System geschaffen und im stillen Kämmerlein für sicher erklärt wird, ohne es der Öffentlichkeit zum Testen zugänglich zu machen. Bisher waren diese Ratschläge stets ungehört verhallt. Nun aber erklärte die BRAK gegenüber LTO, bei der Entscheidung, wie es nun weiter gehen soll, auch externe Experten als Gutachter hinzuziehen zu wollen.
Den Anwälten reicht es
Noch mehr aber als in Sachen Technik wird die BRAK in Sachen Kommunikation aus dem stillen Kämmerlein kommen müssen. Der DAV forderte am Mittwoch öffentlich mehr Transparenz von der BRAK. Ihre Mitteilungen hätten für Verunsicherung in der Anwaltschaft gesorgt, heißt es in seiner Erklärung. Der Anwaltverein beklage "den Vertrauensverlust der Anwaltschaft in das beA, der die Akzeptanz dieses Kommunikationsmittels weiter gefährdet".
Ein Blick in die sozialen Medien lässt daran zweifeln, dass es in der Anwaltschaft überhaupt noch Vertrauen und Akzeptanz gibt, die gefährdet werden könnten. Die Geduld der Anwälte scheint überstrapaziert, von gezielter Desinformation ist dort die Rede. Man überlegt laut, welche Schadensersatzansprüche man geltend machen wird – schließlich zahlen die Anwälte seit Jahren erhöhte Mitgliedsbeiträge für das System, haben besonders in größeren Einheiten schon erhebliche Anschaffungskosten gezahlt und natürlich Manpower in Anmeldung, Verständnis und Inbetriebnahme des Postfachs investiert.
Die Anwaltskammer (RAK) Thüringen hat in der Mail, mit der sie am 27. Dezember darüber informierte, dass sie das Zertifikat wieder deinstallieren sollten, ihre Mitglieder gebeten, sich, "sollte Ihnen ein Schaden entstanden sein, direkt an die Bundesrechtsanwaltskammer zu wenden. Die Rechtsanwaltskammer Thüringen ist weder für die Installation oder die Errichtung noch den Betrieb des beA verantwortlich".
Jan Helge Kestel, der Präsident der Thüringer Kammer, macht seiner Wut aber auch direkt gegenüber der BRAK Luft. In einem Brandbrief, der LTO vorliegt, bezeichnet er den gesamten Vorgang rund um das herunterzuladende Zertifikat als "ungeheuerlich und inakzeptabel". Die Kommunikation der BRAK, die die Kammern noch vor Weihnachten zur Veröffentlichung der Aufforderung zum Download des Zertifikats drängte, danach aber erst am 27. darüber informierte, dass man die Anwälte zum Download eines Sicherheitsrisikos aufgefordert hatte, sei "deutlich zu kritisieren".
Kammer-Präsident: desolate Informationspolitik der BRAK
Auch das Schreiben an die Kammern vom 27. Dezember, das LTO vorliegt, enthält kaum mehr Erklärungen oder Details, als auch die Öffentlichkeit zu diesem Zeitpunkt von der BRAK bekam. Das Schreiben bestätigt aber, dass die BRAK am Donnerstag, den 21. Dezember erfuhr, dass das System eine erhebliche Sicherheitslücke aufweist.
Für ihre Kommunikation danach gibt es bisher weder Erklärungen noch ausdrückliche Richtigstellungen: Weshalb sie die Anwälte darüber nicht spätestens am Freitagmorgen informierte, sondern mit einem angeblich abgelaufenen Zertifikat stattdessen eine Anweisung begründete, die alles noch schlimmer machte. Es gibt keine Erklärung dafür, weshalb der Download eines neuen Zertifikats für nötig erklärt wurde, obwohl in allen Browsern davor gewarnt wurde. Noch immer sagt niemand, warum die BRAK nicht zumindest bei der Abschaltung des beA erklärte, dass es um massive Sicherheitslücken ging, und keineswegs um "vereinzelte Verbindungsprobleme". Und noch immer gibt es auch keine Begründung dafür, dass die Anwälte noch über mehrere Tage die Anleitung zu dem gefährlichen Download auf der Webseite der BRAK fanden und auch die Kammern erst am 27. Dezember informiert wurden. Und niemand weiß, wer all diese Entscheidungen traf.
Jan Helge Kestel von der RAK Thüringen, nach eigenen Angaben ein Anhänger und Befürworter des Anwaltspostfachs, fühlt sich laut seinem Schreiben an die BRAK "aufgrund der desolaten Informationspolitik nicht mehr dazu in der Lage, vor Ort gegenüber dem beA eine positive Grundstimmung aufrechtzuerhalten oder zu schaffen und der wohl größer werdenden Zahl von Zweiflern entgegen zu treten". Sein Schreiben endet mit den Worten "Ich hoffe – nein, eigentlich erwarte ich -, dass es nicht bis zur Präsidentenkonferenz benötigt, um klare und nachvollziehbare Antworten auf die jetzt aufgeworfenen Fragen und Probleme zu erhalten".
Pia Lorenz und Christian Dülpers, Desaster beim Anwaltspostfach: Ist das beA noch zu retten? . In: Legal Tribune Online, 28.12.2017 , https://www.lto.de/persistent/a_id/26209/ (abgerufen am: 29.03.2024 )
Infos zum Zitiervorschlag