Schrift:
Ansicht Home:
Netzwelt

Chaos um beA

Die Postfach-Pleite

Ab Januar müssen alle Anwälte ein spezielles Postfach nutzen. Doch kurz bevor das System zur Pflicht wird, gibt es ein Softwareproblem. Das hat ernsthafte Folgen für Zehntausende Juristen.

BRAK

Website zum beA

Von und
Mittwoch, 27.12.2017   19:15 Uhr

"Digital. Einfach. Sicher." Mit diesem Slogan preist die Bundesrechtsanwaltskammer (Brak) die Vorteile des "besonderen elektronischen Anwaltspostfachs" (beA) an. Seit gut einem Jahr nutzen viele Anwälte das System bereits, um digitale Nachrichten zu empfangen. Es dient zur Kommunikation zum Beispiel mit anderen Anwälten, Gerichten oder Behörden. Wer per beA mit einem Anwalt kommuniziert, darf sich rechtlich gesehen darauf verlassen, dass der Adressat die Nachricht zur Kenntnis nimmt.

Zum 1. Januar 2018 sollte es für alle Anwälte in Deutschland nun zur Pflicht werden, per beA erreichbar zu sein, man spricht von der Pflicht zur "passiven Nutzung". Doch im Moment sieht es nicht so aus, als ob diese Zeitvorgabe einzuhalten ist. Voraussichtlich ist zum Jahreswechsel sogar überhaupt kein Anwalt mehr per beA zu erreichen. Denn seit kurz vor Weihnachten ist das ganze System vom Netz - und so wie es aussieht, wird es das wegen eines Softwareproblems auch noch länger bleiben.

Screenshot der Brak zum beA

Die Brak wolle beA solange vom Netz lassen, bis alle Sicherheitsfragen gelöst seien, heißt es jedenfalls als Antwort auf eine SPIEGEL-Anfrage, ebenso: "Die Brak hat Kontakt zum Bundesjustizministerium aufgenommen und befindet sich in Gesprächen zur passiven Nutzungspflicht. Was die ab 1. Januar 2018 eintretende passive Nutzungspflicht der Anwälte betrifft, bedeutet dies, dass diese Nutzungspflicht, solange beA vom Netz ist, nicht erfüllt werden kann."

"Es können auch keinerlei Nachrichten in das beA der Anwälte gesandt oder von dort abgeholt werden", skizziert die Brak die Folgen einer solchen Situation weiter. "Gerichte sind daher auch nicht in der Lage, in diesem Zeitraum Nachrichten an Anwälte zu senden." Man kann also sagen: Laut der jüngsten Einschätzung der Brak wird beA wohl erst einmal brachliegen.

Eine bedenkliche Empfehlung

Wie ist es so weit gekommen, dass das System derzeit gar nicht mehr verfügbar ist, so kurz vor dem Inkrafttreten der passiven Nutzungspflicht?

Der jüngste Ärger begann mit einer Entdeckung von Markus Drenger, einem Hacker beim Darmstädter Ableger des Chaos Computer Clubs. Er berichtet uns auf dem Hackerkongress 34C3, dass ihm einige Sicherheitsprobleme des Systems aufgefallen seien: So bemerkte er zum Beispiel, dass der private Schlüssel zu einem beA-Zertifikat öffentlich war.

"Wir haben eine Liste erstellt und erst versucht, die Brak zu kontaktieren", sagt Drenger. "Dann haben wir den zuständigen Stellen Bescheid gegeben, etwa dem BSI und der T-Systems, die das Zertifikat signiert hatte." Das Zertifikat wurde nach dem Hinweis von Drenger zurückgezogen, wie es in solchen Fällen üblich ist.

Die Brak reagierte auf diese Situation mit einer Anleitung, die sie als PDF ins Netz stellte: Sie forderte ihre Mitglieder damit auf, händisch ein neues Zertifikat zu installieren. Nur: Auch bei diesem Zertifikat war der Schlüssel öffentlich, wie das Tech-Magazin "Golem" entdeckte.

Und überhaupt war es keine gute Idee der Brak, ihren Mitgliedern die Installation zu empfehlen: "Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren", warnte "Golem". "Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen." Das Tech-Magazin empfahl daher allen Anwälten, die das Zertifikat schon installiert hatten, es umgehend wieder zu entfernen.

Bitte wieder deinstallieren

Diesem Tipp schließt sich mittlerweile auch die Brak selbst an. Auf ihrer beA-Infoseite heißt es jetzt, man rate dringend zur Deinstallation, "um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen".

Auf die SPIEGEL-Anfrage hin heißt es von der Brak, der technologische Dienstleister arbeite mit Hochdruck daran, eine Lösung für das entstandene Problem zu finden: "Aktuell müssen wir davon ausgehen, dass eine solche Lösung nicht zum 1. Januar gefunden wird und die beA-Plattform daher länger offline sein wird."

IT-Experte Drenger hält das für absehbar: "Es geht hier nicht um einen Bug, den man mal eben schnell fixen kann", sagt er. "Das Problem liegt im Design der Software-Architektur. Das lässt sich nicht kurzfristig beheben."

Er könne sich nicht vorstellen, sagt Drenger, dass die Verantwortlichen nicht gewusst haben, dass sie gegen bestimmte Sicherheitsrichtlinien verstoßen: "Wenn man das nicht weiß, sollte man nicht solche Software bauen." Er meint: "Die sollten das komplett neu entwickeln und dabei an bestehende Technologien anknüpfen. E-Mail-Verschlüsselung ist ja keine neue Sache."

Nur ein Zugangsproblem?

Die Brak betont in ihrer Stellungnahme derweil, dass die beA-Webanwendungen aus ihrer Sicht "zu keinem Zeitpunkt eine Schwachstelle" aufgewiesen hätten: "Da die Ende-zu-Ende-Verschlüsselung von dem aufgetretenen Problem nicht betroffen ist, konnte beA immer die Sicherheit und die Datensicherheit gewährleisten. Kein Schriftstück konnte von Unbefugten gelesen oder kopiert werden." Aufgetreten sei "ein Zugangsproblem, das in letzter Konsequenz die Sicherheit der Client Security des einzelnen Anwalts einschränken könnte".

Hacker Drenger kommentiert das mit: "Das kann man so nicht sagen. Auch wenn vielleicht die Nachrichtenübermittlung selbst nicht betroffen ist, so bietet doch das System ein Einfallstor für andere Angriffe."

Für die Brak ist das Hin und Her um die Softwaresicherheit in jedem Fall eine peinliche Angelegenheit, ebenso für den Hersteller der beA-Software, die Firma Atos. Von ihr hieß es auf SPIEGEL-Anfrage am Mittwoch nur, das Unternehmen gebe keine öffentliche Stellungnahme zu dem Thema ab. Man solle sich an die Brak wenden. Die schrieb in ihren Antworten nun auch, dass sie, was die Lösung des Problems angeht, "keine halben Sachen akzeptieren" wolle.

insgesamt 53 Beiträge
Velociped 27.12.2017
1. Verkorste Architektur
Nicht nur der Client, auch der Server hat eine merkwürdige Architektur. Auf der einen Seite gibt es da eine "Ende-zu-Ende" Verschlüsselung, die dann aber nicht wirklich eingehalten wird, da es auf dem Server ein Modul [...]
Nicht nur der Client, auch der Server hat eine merkwürdige Architektur. Auf der einen Seite gibt es da eine "Ende-zu-Ende" Verschlüsselung, die dann aber nicht wirklich eingehalten wird, da es auf dem Server ein Modul gibt, welches die Nachrichten entschlüsseln kann. Auch wenn dieses Modul - genannt HSM wie Hardware Sicherheitsmodul - tatsächlich sicher wäre, dann müssen die privaten Schlüssel in dieses importiert und zudem gegen Hardwareausfall in einem Backup gespeichert werden. Sollte dadurch die Quadratur des Kreises erreicht werden? Ein scheinbar völlig sicheres System, welches aber von Polizei und Verfassungsschutz abgehört werden kann? Als Begründung der BRAK für diese merkwürdige, unnötig aufwändige und unsichere Architektur wird die Vertretungsregelung angegeben. Allerdings wäre dafür diese Konstruktion gar nicht nötig gewesen - die Umschlüsselung dazu hätte auch im Client stattfinden können. In FAZ-Einspruch wurde daher formuliert, dass es viele weitere Probleme gab und gibt. Was hier hochgekocht ist, ist nur die Spitze des Eisbergs.
RA von Engelhardt 27.12.2017
2. Peinlich = BRAK +beA
Mich erbost es, wenn man das Rad für viel Geld neuerfinden muss. Die Infrastruktur ist doch schon mit EGVP doch schon da. das hätte vielleicht nur etwas verbessert bzw. aktualisiert werden müssen. Nicht die eKommunikation ist [...]
Mich erbost es, wenn man das Rad für viel Geld neuerfinden muss. Die Infrastruktur ist doch schon mit EGVP doch schon da. das hätte vielleicht nur etwas verbessert bzw. aktualisiert werden müssen. Nicht die eKommunikation ist das Problem sondern die zu hohen und vermeidbaren Kosten. Offensichtlich kennt der zuständige Sachbearbeiter sich nicht mit IT aus. Schade! Es gibt doch so viele kompetente Fachanwälte, die sich damit nicht auskennen.
p-touch 27.12.2017
3. Als Laie
fragt man sich schon was für Pappnasen eigentlich an unsern Unis ausgebildet werden wenn denen solche Anfängerfehler unterlaufen.
fragt man sich schon was für Pappnasen eigentlich an unsern Unis ausgebildet werden wenn denen solche Anfängerfehler unterlaufen.
chalchiuhtlicue 27.12.2017
4. @p-touch (#3)
An den Unis werden genau so viele Pappnasen ausgebildet, wie in Ausbildungsbetrieben. Oder glauben sie ernsthaft, dass nur Studierte Fehler machen und KfZ-Mechaniker, Friseure, Krankenpflegekräfte etc. würden fehlerfrei [...]
An den Unis werden genau so viele Pappnasen ausgebildet, wie in Ausbildungsbetrieben. Oder glauben sie ernsthaft, dass nur Studierte Fehler machen und KfZ-Mechaniker, Friseure, Krankenpflegekräfte etc. würden fehlerfrei arbeiten? Falls ja, dann leiden sie unter dem Dunning-Kruger-Effekt.
RalfWenzel 27.12.2017
5. Der Problem-beA
Wieso man ausgerechnet Atos diesen Auftrag gibt, nachdem sie in der Vergangenheit schon mehrfach aufgefallen ist (Stichwort Gesundheitskarte), ist wohl nicht zu erklären. Es ist keine Raketentechnik, einen sicheren digitalen [...]
Wieso man ausgerechnet Atos diesen Auftrag gibt, nachdem sie in der Vergangenheit schon mehrfach aufgefallen ist (Stichwort Gesundheitskarte), ist wohl nicht zu erklären. Es ist keine Raketentechnik, einen sicheren digitalen Kommunikationsweg zu bauen. Aber eben auch nix für Anfänger, sondern für Profis, die sich mit Sicherheitstechnik auskennen. Das Angebot des CCC, die Lösung zu prüfen, hat die BRAK ja in den Wind geschlagen. Nachdem meine Frau (Anwältin) mir Woche für Woche beA-Pointen erzählte, ist DAS nun der Worst Case, der einen kompletten Neubau notwendig macht.

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP