Anwaltspostfach weiterhin offline: Noch mehr Sicher­heits­lü­cken, keine Rege­lung der Nut­zungspf­licht

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sieht keinen gesetzgeberischen Handlungsbedarf in Bezug auf das besondere elektronische Anwaltspostfach (beA). Das teilte eine Sprecherin des Ministeriums am Donnerstag gegenüber LTO mit. "Das Ministerium ist mit der Bundesrechtsanwaltskammer in Kontakt und drängt darauf, dass das besondere elektronische Anwaltspostfach schnellstmöglich wieder zur Verfügung gestellt wird", hieß es von dort aus weiter.

In einem Schreiben, das LTO vorliegt, fragt das BMJV die Bundesrechtsanwaltskammer (BRAK) nach Verlauf und Ursache der aktuellen Krise und einem Datum für die Wieder-Inbetriebnahme des Systems, aber auch nach dem zukünftigen Krisenmanagement im Fall technischer Störungen des Postfachs.

Das beA war am Tag vor Weihnachten offline geschaltet worden, nachdem die verantwortliche BRAK zunächst eine Sicherheitslücke entdeckt und im Anschluss daran  bei dem Versuch, diese zu beseitigen, mit einem unsicheren Zertifikat noch eine weitere Sicherheitslücke hinzugefügt hatte. Am Tag nach Weihnachten erklärte die BRAK, das System zunächst nicht wieder in Betrieb zu nehmen.

In der Anwaltschaft rumort es seitdem. Auch nach jahrelanger Entwicklungsarbeit steht ein System, das eigentlich am 1. Januar 2016 fertiggestellt sein sollte, nicht zur Verfügung, für das die Anwälte eine Sonderumlage zahlen. Zudem sind sie seit dem 1. Januar 2018 verpflichtet, im beA eingehende Nachrichten gegen sich gelten zu lassen, können diese Verpflichtung aber mangels Zugriffs auf das offline geschaltete System gar nicht erfüllen. Auch die mangelhafte Kommunikation der BRAK, die die Anwälte teilweise falsch, zu spät und scheibchenweise jeweils nur über das informierte, was Medien ohnehin bereits aufgedeckt hatten, führte zu Empörung.

Eine Entschuldigung der BRAK vom Dienstag konnte diese offenbar eher nicht lindern, Anwälte fordern mittlerweile öffentlich, personelle Konsequenzen bei der BRAK aus dem zu ziehen, was die Netzgemeinde das "beAGate" nennt. Nun mehren sich die Anzeichen dafür, dass das Anwaltspostfach noch mehr technische Mängel aufweist, als bisher bereits bekannt wurde.

IT-Fachmagazin: Betreiber der Serverinfrastruktur kann mitlesen

In einer Mail vom Mittwochabend beharrte die BRAK auf Anfrage von LTO darauf, dass die über das beA versendeten Nachrichten verschlüsselt sind: "Es gibt keine Möglichkeit für die BRAK oder einen unserer Dienstleister, Nachrichten zu entschlüsseln." Dem widerspricht nun das IT-Fachmagazin Golem: "Die Idee einer Ende-zu-Ende-Verschlüsselung ist, dass man dem Betreiber der Serverinfrastruktur nicht vertrauen muss. Beim beA hat dieser aber gleich mehrere Möglichkeiten, die Sicherheit des Systems zu kompromittieren und Nachrichten mitzulesen", heißt es in einem am Donnerstagmorgen erschienenen Artikel. 

Das Anwaltspostfach habe eine Funktion, die die gesamte Sicherheit der Ende-zu-Ende-Verschlüsselung aushebele, nämlich die "Umschlüsselung" der Nachrichten auf dem Server. Sie ist notwendig, um einem Vertreter Zugriff auf die Nachrichten geben zu können - und wird von der BRAK als unkritisch angesehen.

Neben der Umschlüsselung gibt es laut Golem aber ein noch viel fundamentaleres Problem: Die Nutzer kommunizieren mit der beA-Anwendung generell über ein Webinterface. Das aber vertrage sich überhaupt nicht mit einer Ende-zu-Ende-Verschlüsselung. Das IT-Magazin resümiert deshalb, es sei offensichtlich, "dass bei der Konstruktion von beA grundlegende Missverständnisse über den Sinn und Zweck einer Ende-zu-Ende-Verschlüsselung vorlagen." Tatsächlich zeichnet sich eine solche gerade dadurch aus, dass nur die Kommunikationspartner, also die jeweiligen Endpunkte der Kommunikation, die Nachricht entschlüsseln können.

Noch mehr Sicherheitslücken – trotz eines Sicherheitsaudits

Das Fachmagazin berichtet von weiteren Sicherheitslücken: Das beA sei anfällig für sogenannte Cross-Site-Scripting-Angriffe, bei denen Angreifer die Adresse der Webseite bei Eingabe im Browser durch schädlichen Code ergänzen. An dieser Lücke sei vor allem bemerkenswert, "wie trivial sie zu finden war." Die Entwicklerfirma habe zudem veraltete Libraries – vorgefertigte Programmcodes für bestimmte Funktionen – benutzt, von denen bereits bekannt ist, dass sie Sicherheitslücken aufweisen. Eine Reihe weiterer kleiner Probleme lassen laut Golem "zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von beA mit der Sicherheit genommen hat."

Es berichtet auch, dass die BRAK Markus Drenger vom Chaos Computer Club Darmstadt mitgeteilt habe, dass im Jahr 2015 ein Sicherheitsaudit durchgeführt worden sei. Den Audit-Report der – nach Einschätzung des Fachmagazins gut beleumundeten - Firma SEC Consult könne man Drenger, der kurz vor Weihnachten die Sicherheitslücke im beA aufgedeckt hatte, aber nicht zur Verfügung stellen, hieß es demnach von der BRAK; dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos. Eine bereits vor mehreren Tagen gestellte Anfrage von LTO zu diesem Vorgang ließ die BRAK bislang unbeantwortet.

Ein solche Weigerung würde allerdings zu dem häufig intransparenten Auftreten der BRAK passen, die sich selbst für nicht an das Informationsfreiheitsgesetz (IFG) gebunden hält. Noch Anfang des Jahres 2017 hatte sie – letztlich erfolglos – sogar versucht, gesetzlich festschreiben zu lassen, dass sie keine Auskünfte nach dem IFG erteilen muss. Anders entschied im Juni 2017 das OVG Berlin-Brandenburg: Die BRAK unterliege umfassend der Informationspflicht nach dem Gesetz; eine Berufung ließ das Gericht nicht zu.

Was das BMJV wissen will; und was es nicht tun wird

Zumindest das BMJV wird die BRAK aber informieren müssen. Sie untersteht dessen Rechtsaufsicht. Einige der Fragen, die der Leiter der u.a. für das Berufsrecht der Rechtsanwälte, Patentanwälte und Notare zuständigen Unterabteilung RB in der Abteilung Rechtspflege dem bei der BRAK für das beA zuständigen Vizepräsidenten Dr. Martin Abend schon mit Schreiben vom 29. Dezember stellte, sind zwischenzeitlich bereits beantwortet.

Offen ist weiter, wie die Sicherheitsprobleme gelöst und ob die Systeme auch rückwirkend überprüft werden. Auch ist noch unklar, wann das beA wieder online gehen wird. Laut CCC-Mitglied Drenger ist das nicht in drei bis vier Monaten machbar, BRAK-Präsident Ekkehart Schäfer erklärt bislang nur, dass das beA sicherlich nicht im Januar wieder zur Verfügung stehen werde. Mehr Neues gibt es vielleicht am 9. Januar. Dann will die BRAK bei einer von drei Kammern initiierten außerordentlichen Sitzung der Präsidenten der regionalen Anwaltskammern nach eigenen Angaben über den Sachverhalt aufklären und den Stand der Problemlösung vorstellen.

Interessant wird die Antwort der BRAK auf die Frage aus dem BMJV, wie das Krisenmanagement des beA-Systems bei technischen Störungen organisiert ist. Nach eigenen Angaben will die BRAK neben von Atos beauftragten externen Experten auch eigene externe und unabhängige Expertise einholen. In einer Mail an LTO heißt es, sie befinde sich im Dialog mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber, ob dieses die Begutachtung vornehmen wird oder ob die BRAK mit einem durch das BSI empfohlenen Experten zusammenarbeitet. Primär konzentriere man sich darauf, das beA möglichst schnell und vollständig sicher wieder in Betrieb zu nehmen. "Welche Schritte für ein begleitendes Qualitätsmanagement im laufenden Betrieb erforderlich sein werden, wird die BRAK an gegebener Stelle entscheiden."

Nicht zu hoffen braucht die BRAK offenbar, mit dem BMJV "eine generelle Regelung für die passive Nutzungspflicht für die Dauer bis zur erneuten Freischaltung der beA-Plattform zu finden". Nach Weihnachten hatte die BRAK gegenüber LTO mitgeteilt, dazu das Gespräch mit dem BMJV aufgenommen zu haben, nachdem die Anwälte mangels Zugriff auf das Postfach diese Plicht nicht erfüllen könnten. Das Ministerium, das sich dazu in seinem Schreiben nicht äußert, stellte auf Nachfrage von LTO aber klar, dass es keinen gesetzgeberischen Handlungsbedarf sieht. Seit dem 1. Januar sind alle rund 165.000 Rechts- und Syndikusanwälte in Deutschland nach § 31a Bundesrechtsanwaltsordnung verpflichtet, im beA eingegangene Schriftstücke gegen sich gelten zu lassen.