Reaktionen auf BRAK-Erklärung nach der beA-Sondersitzung: "Sch­licht falsch oder zumin­dest irre­füh­rend"

von Pia Lorenz und Christian Dülpers

10.01.2018

Die Reaktionen auf die Pläne der BRAK zum Re-Start des beA fallen bestenfalls gemischt aus. Während der DAV sie als ersten Schritt in die richtige Richtung sieht, gibt es von technischer Seite massive Kritik an den Aussagen der BRAK.

Am Tag nach der Sonder-Präsidentenkonferenz der Bundesrechtsanwaltskammer (BRAK) zum besonderen elektronischen Anwaltspostfach (beA) hat die digitalaffine Rechtsszene ein neues Lieblingswort: #beAthon. So nennt die für die Umsetzung des Anwaltspostfachs verantwortliche BRAK ihren am Dienstagabend bekannt gegebenen Plan, verschiedene, auch institutionell nicht gebundene kritische Experten in den Prozess zur Klärung sicherheitsrelevanter Fragen einzubinden.

Es war eines der Ergebnisse der Sitzung der regionalen Kammerpräsidenten, die am Dienstag bis in die Abenstunden dauerte: Seit dem heutigen Mittwoch stehta das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) wieder zur Verfügung, das mit dem beA kurz vor Weihnachten bis auf Weiteres abgeschaltet worden war. Auch Bestellungen von beA-Karten über das Portal der Bundesnotarkammer (BNotK) sollen nach Angaben der BRAK heute wieder möglich sein. Außerdem bestätigte die BRAK ihre zuvor gemachte Zusage, das derzeit offline gestellte System durch einen externen, unabhängigen Experten begutachten zu lassen, der vom Bundesamt für Sicherheit der Informationstechnik (BSI) empfohlenen werden soll. Die Ergebnisse sollen öffentlich gemacht werden. Bei der Entwicklung und Wieder-Inbetriebnahme solle Sicherheit vor Schnelligkeit gehen.

Diese Pläne begrüßte am Mittwoch der Präsident des Deutschen Anwaltvereins (DAV) gegenüber LTO als ersten Schritt in die richtige Richtung. Ansonsten fallen die Reaktionen auf die inhaltlich eher dünne Erklärung nach der kurzfristig anberaumten Krisensitzung vom Dienstag aber bestenfalls durchwachsen aus. Vor allem Technik-Experten erklären im Netz gleich mehrere Aussagen, die BRAK-Präsident Ekkehart Schäfer auch am Dienstagabend wiederholte, für sachlich falsch.

Das beA war am Tag vor Weihnachten offline geschaltet worden, nachdem die verantwortliche BRAK zunächst eine Sicherheitslücke entdeckt und im Anschluss daran bei dem Versuch, diese zu beseitigen, mit einem unsicheren Zertifikat noch eine weitere Sicherheitslücke hinzugefügt hatte. Am Tag nach Weihnachten erklärte die BRAK, das System zunächst nicht wieder in Betrieb zu nehmen. Seitdem mehren sich die Berichte über weitere Sicherheitslücken, ein Termin für die Wieder-Inbetriebnahme scheint in weite Ferne zu rücken.

DAV-Präsident: Auch den Sicherheitsaudit-Report öffentlich zugänglich machen

Für den Präsidenten des Deutschen Anwaltvereins zeigt die Mitteilung der BRAK vom Dienstag, "dass es in Sachen beA jetzt zumindest in die richtige Richtung geht". Nur mit externen, unabhängigen Fachleuten, deren Einschaltung der DAV schon seit Langem fordert, könne das Vertrauen in die Sicherheit des Systems wieder hergestellt werden, so Ulrich Schellenberg gegenüber LTO.

Ausreichend sei eine einmalige Hinzuziehung eines Experten aber nicht: "Wir haben schon früher eine regelmäßige Auditierung und Zertifizierung  vorgeschlagen, wie sie andernorts üblich ist". Er wiederholte die DAV-Forderung, das Projekt beA langfristig von einem Fachbeirat unterstützen zu lassen.

Dass das Ergebnis der Begutachtung veröffentlich werden soll, begrüßte der Rechtsanwalt und Notar und schlug gegenüber LTO auch gleich vor, das Sicherheitsaudit aus dem Jahr 2015 der Öffentlichkeit zugänglich zu machen: "Diese Transparenz sollte der Standard sein!"

Die BRAK hatte sich nach nicht dementierten Berichten im Jahr 2017* trotz Anfragen des Chaos-Computer-Club-Mitglieds (CCC-Mitglied) Markus Drenger - der kurz vor Weihnachten 2017 auch auf die Sicherheitsdefizite des Systems aufmerksam machte – geweigert, einen Sicherheitsaudit-Report der Firma SEC Consult aus dem Jahr 2015* herauszugeben. Das Argument: es handele sich um Betriebsgeheimnisse des Dienstleisters Atos. Dazu passt, dass die BRAK sich bis Mitte 2017 selbst für nicht an das Informationsfreiheitsgesetz (IFG) gebunden hielt. Noch Anfang des Jahres 2017 hatte sie – letztlich erfolglos – versucht, gesetzlich festschreiben zu lassen, dass sie keine Auskünfte nach dem IFG erteilen muss. Anders entschied im Juni 2017 das OVG Berlin-Brandenburg: Die BRAK unterliege umfassend der Informationspflicht nach dem Gesetz.

IT-Rechtlerin: BRAK-Aussagen schlicht falsch oder zumindest irreführend

Zu den "kritischen Experten", die sich in den vergangenen Tagen an der Diskussion um das beA beteiligten, kann man auch Nina Diercks zählen. Die Rechtsanwältin und beim unabhängigegen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich)* hat sich in einem detaillierten offenen Brief an die BRAK gewandt.

Dass BRAK-Präsident Schäfer auch nach den Erkenntnissen der vergangenen Wochen am Dienstagabend an einigen Aussagen festgehalten hat, kann sie kaum nachvollziehen. Schäfer hatte noch einmal betont: "Die Datensicherheit im beA-System war und ist jederzeit gegeben. Kein Dokument, das über das beA versendet wurde, war öffentlich, die Kommunikation war und ist stets vertraulich." Für Diercks ist "der erste Satz schlicht falsch und der zweite Satz ist wenigstens irreführend".

Schließlich geht es nicht darum, ob das System bereits korrumpiert wurde, sondern darum, ob Sicherheitslücken bestehen, die Angriffe befürchten lassen, erklärte die Anwältin gegenüber LTO. Die IT-Sicherheit des Systems stehe in Frage und damit, ob dieses nach dem Stand der Technik bestmöglich geschützt worden sei. "Das ist zu verneinen, wenn etwa Java-Bibliotheken, also Hilfsmodule zur Programmierung, genutzt werden, die seit 2015 nicht mehr gepflegt werden und die bekannte Sicherheitslücken aufweisen". Und das ist nur eines von zahlreichen Sicherheitsproblemen, die zwischenzeitlich bekannt sind.

Auf Anfrage von LTO wies Diercks weiter darauf hin, dass CCC-Mitglied "Drenger und seine Mitstreiter bislang – um ein analoges Bild zu wählen – den Wagen nur von außen betrachtet haben und erkennen konnten, dass Rücklichter nicht funktionieren und die Radaufhängung in einem bedenklichen Zustand ist. Es gab noch gar keine Möglichkeit, unter die Motorhaube zu sehen". Sie hält es für mehr als wahrscheinlich, dass es im System nicht besser aussieht. "Bei diesem Zustand des beA kann jedenfalls nicht davon gesprochen werden, dass es 'jederzeit sicher war und ist'". Derartige Aussagen, die sich in den technischen Erläuterungen der BRAK zu beA zuhauf fänden, hält sie für "grundsätzlich verstörend": IT-Systeme seien nie absolut sicher vor Manipulationen. Sie könnten nur bestmöglich nach dem Stand der Technik geschützt werden.

Die IT-Rechtlerin hofft weiter auf Antworten auf all ihre offenen Fragen, die neben der Technik auch die Verträge mit dem Dienstleister Atos betreffen. Auf Anfrage von LTO zum "beAthon"-Angebot der BRAK erklärte sie: "Grundsätzlich stehe ich natürlich als kritische Expertin zur Verfügung – sowie ich meine Expertise auch jedem anderen bei Bedarf zur Verfügung stelle."

IT-Berater: "Totalschaden und nicht mehr zu retten"

Einer der kritischen Experten, die sich in den vergangenen Wochen zu Wort meldeten, ist auch Enrico Weigelt. Und auch für ihn sind einige Aussagen, an denen die BRAK weiterhin festhält, schlicht nicht nachvollziehbar. Die wiederholte Auffassung, dass nur eine proprietäre Lösung alle Anforderungen des elektronischen Rechtsverkehrs erfüllen könne, hält der Entwickler und IT-Berater für "Unfug". Er schlägt vor, auf das Standard-Mailprotokoll SMTP aufzusetzen und notwendige Funktionen wie eine Zustellungsverfolgung zu ergänzen.

Mit Blick darauf, dass die BRAK stets behauptet hatte, das beA sei Ende-zu-Ende-verschlüsselt, sagte er, wenn die BRAK an einer umfassenden Vertreter-Funktion festhalte, dann könne sie keine Ende-zu-Ende-Verschlüsselung bekommen: "Das ist ein Zielkonflikt. Entweder eine Mail ist vertraulich oder sie ist es eben nicht."

Der Entwickler und IT-Berater war an der Entwicklung des elektronischen Notarpostfachs (BeN) beteiligt. Weigelt arbeitete damals für einen Dienstleister der Bundesnotarkammer. Die Anforderungen seien sehr ähnlich gewesen, sagte er gegenüber LTO. "Und ein Teil der Probleme, an denen das beA heute leidet, lagen schon damals auf dem Tisch." Es habe dann Lösungsvorschläge gegeben.

So habe sein Konzept vorgesehen, dass die privaten Schlüssel der Anwender nicht zentral verteilt werden, sondern auf dem lokalen Rechner generiert werden. Statt einer Web-Anwendung, die derzeit als mit einer Ende-zu-Ende-Verschlüsselung schlicht inkompatibel kritisiert wird, sah Weigerts Konzept einen lokalen Mail-Client vor. Später arbeitete Weigelt für andere Arbeitgeber an ähnlichen Projekten, unter anderem Webmail-Anwendungen für große Provider.

Für ihn ist "das beA ein Totalschaden und nicht mehr zu retten." Wenn man es reparieren wolle, müsse man 6 bis 12 Monate einplanen. Ebenso lange würde es dauern, das Postfachsystem neu zu bauen - "aber mit guten Leuten, die etwas vom Fach verstehen." 

Voraussetzung wäre seines Erachtens der Einsatz freier Software. Diese habe außerdem den Vorteil, dass die Sicherheit des beA dann laufend von der Community geprüft werden könne und Probleme frühzeitig erkannt würden.

Geringe tatsächliche Änderungen am 11. Januar, 9:30h.

Zitiervorschlag

Pia Lorenz und Christian Dülpers, Reaktionen auf BRAK-Erklärung nach der beA-Sondersitzung: "Schlicht falsch oder zumindest irreführend" . In: Legal Tribune Online, 10.01.2018 , https://www.lto.de/persistent/a_id/26405/ (abgerufen am: 03.12.2021 )

Infos zum Zitiervorschlag