Unter den digital affinen Anwälten und IT-Experten wurde das „besondere elektronische Anwaltspostfach“, kurz beA, schon lange kontrovers diskutiert. An sich eine gute Sache: Mit dem beA soll der elektronische Rechtsverkehr zwischen Anwälten und Gerichten sowie Behörden ebenso sicher wie einfach abgewickelt können. Toll. So toll, dass alle Anwälte ab dem 01.01.2018 per Gesetz zur passiven Nutzung des beA verpflichtet werden sollten. Der Vorfreude Abbruch taten jedoch unendlich lange Entwicklungszeiten, ständige Startverschiebungen sowie Entwicklungskosten von 38 Millionen EUR für ein System, das de facto wenig mehr leistet als eine sichere Nachrichtenübermittlung und dabei den Nutzer in eine Nutzeroberfläche von 1995 katapultiert.
Moooment! Sichere Nachrichtenübermittlung? Ja, genau. Da war etwas. Die Nachrichtenübermittlung ist nämlich nicht sicher. So ganz und gar nicht. Das ist aber natürlich nicht den Verantwortlichen bei der BRAK aufgefallen, sondern in erster Linie Markus Drenger vom Chaos Computer Club. Dieser tat, was er tun musste und meldete die Sicherheitslücken.
(Wenn Ihnen das alles bekannt ist und Sie nur wissen wollen, was es mit dem offenen Brief auf sich hat, dann scrollen Sie einfach weiter runter.)
Googeln Sie einfach den Begriff beA und Sie werden bestens informiert sein (z.B. durch Beiträge von golem, heise und lto). Wenn Sie Beiträge von Kollegen zu dem Thema lesen bzw. hören wollen, dann schauen Sie einmal hier:
Die nächste beA-Blamage – Joachim Breu
beA: Der Berliner Flughafen der Anwaltschaft – Thomas Stadler
Lage der Nation – zu beA – Podcast von Philip Banse und Ulf Buermeyer
Was dann folgte, war ein Schauspiel, bei dem eigentlich nur der Mund offen stehen kann, aufgrund der zu Tage tretenden kommunikativen und scheinbar auch IT-technischen Inkompetenz der BRAK. Die BRAK ist die Bundesrechtsanwaltskammer. Die Anwaltschaft ist durch die staatsferne Selbstverwaltung gekennzeichnet. Die Bundesrechtsanwaltskammer ist Teil dieser anwaltlichen Selbstverwaltung. Als Dachorganisation übt sie keine Kontrollfunktion gegenüber einzelnen Rechtsanwälten aus, sondern ist vielmehr Interessenvertreter der Anwaltschaft insgesamt. (Der einzelne Anwalt ist in regionalen Rechtsanwaltskammern organisiert, ich zum Beispiel bin Mitglied der RAK Hamburg). Die BRAK setzt das Projekt beA im Rahmen der Selbstverwaltung um. Das ist jedoch ganz offensichtlich nur äußerst bedingt gelungen. Denn das beA ist offline. Ja, genau. Aufgrund von Sicherheitsmängeln.
Das ist eine Blamage. Für die BRAK. Aber auch für die gesamte Anwaltschaft. Denn natürlich gab es kritische Stimmen in der Anwaltschaft. Solche, die äußerst skeptisch im Hinblick auf die Entwicklung eines zentralen Systems, über das die gesamte Kommunikation aller Rechtsanwälte mit Gerichten und Behörden sowie untereinander laufen sollte, blickten. Solche, die die IT- und datenschutztechnische Sicherheit bezweifelten. Ich gehörte auch dazu. Nicht aus Technikfeindlichkeit, nein, sondern weil ich schon die Konstruktion über ein zentrales System für falsch hielt (und einiges anderes). Ein erfolgreicher Angriff hierauf und die gesamte Rechtspflege in Deutschland wäre vielleicht nicht funktionsunfähig, aber schwerst beschädigt. Und wir alle wissen: Kein System ist sicher. Doch kritische Rufe verhallten. Hilfe, wie sie der BRAK vom DAVIT angeboten wurde, wurde abgelehnt. Und so stehen wir hier in der Blamage. Ein aufgrund von Sicherheitsmängeln nicht funktionsfähiges besonderes elektronisches Postfach schwebt im digitalen Orkus für 38 Millionen Euro. Hurra.
Allerdings auch wir Anwälte müssen uns an die Nase fassen. Wir aus der Richtung IT jedenfalls. Okay, definitiv ich muss mir an die Nase fassen. Ich kritisierte das beA von Beginn an und Mitte 2016 diskutierte ich dies auch öffentlich auf Twitter. Zu diesem Zeitpunkt fragte ich auch einen befreundeten IT-Experten, was er zu beA sage. Dieser lachte lauthals. Ganz besonders als er nur den Namen des beauftragten Dienstleisters (Atos Information Technologies GmbH) hörte. Damit war für mich das Ende von beA besiegelt. Ich bat ihn allerdings, ob er das nicht zur weiteren Prüfung, wenn er keine Zeit habe, in den CCC geben könne, damit diese nach eventuellen Sicherheitslücken Ausschau halten und die BRAK so informieren könnten. (Da wusste ich noch nicht, dass die BRAK meint „Security by Obscurity“ sei eine gute Methode…und auch kein Interesse an einer Prüfung hatte (siehe dazu der o.g. Podcast *sigh) Dies versprach er mir zu tun. Und damit endete, ehrlicherweise, mein Engagement. Wie üblich zuviel Arbeit auf dem Tisch. Das Gewissen beruhigt, ich habe mich ja „gekümmert“. Und die Gedanken „Ach, als hauptsächlich beratende tätige Anwältin benötige ich das Ding ja zum Glück kaum“ und „So ein Mist, der wird schon nicht kommen.“ taten ein Übriges. Mit letzterem Gedankengang behielt ich ja nun durchaus Recht. Jedenfalls ist kein beA zu sehen. Und am Ende hat sich jemand aus dem CCC das ganze ja angesehen (Nein, das hat ganz sicher nichts mit meiner Anfrage vor 1,5 Jahren zu tun). Aber gut und richtig ist das alles nicht, wie es dazu kam.
Doch bei aller Selbstkasteiung: Ich bin empört. Mir ist vollkommen schleierhaft, wie ein IT-Projekt so dermaßen an die Wand gefahren werden kann. Eine andere Beschreibung ist für ein Projekt mit einem Investment von 38 Millionen EUR, einer mehrjährigen Entwicklungsphase und einer zweijährige Beta-Phase, welches am Ende aufgrund von Sicherheitsmängeln offline genommen werden muss, kaum möglich. Warum waren diese Sicherheitslücken keinem der Verantwortlichen bei der BRAK bewusst? Wieso verschlimmbesserte die BRAK kurz vor Weihnachten noch alles, in dem sie Ihre Mitglieder aufforderte, ein höchst gefährliches Root-Zertifikat zu installieren? Wieso tat die BRAK zunächst so, als ginge sie das alles nichts an? Ich habe viele Fragen. Und da es auch mein Geld ist, was in dieser Entwicklung steckt (zzgl. der Kosten für Card-Reader etc. pp.), möchte ich von der BRAK jetzt doch gerne einmal ein paar Antworten haben. Und wie passend, die BRAK trifft sich mit den RAKs zu einer außerordentlichen Präsidentensitzung am 09. Januar 2018.
In Folge dessen habe ich einen offenen Brief an die BRAK geschrieben, denn Sie hier gerne ebenfalls lesen können.
In diesem Brief fasse ich die bisher bekannten technische Probleme
- Grundlegende Problematik: Verschlüsselungstechnologie der Nachrichten im beA und Zentralisierung
- Webinterface torpediert Ende zu Ende Verschlüsselung
- Lokale beA-Software – Java
- Verwendung veralteter Libaries
- beA-Anwendung unterstützt keine aktuellen Betriebssysteme
- Gefahr des Cross-Site-Sciptings (XXS)
- Suboptimale https-Konfiguration der beA-Webanwendung
- beA-Client verteilte private Keys
- Neues Sicherheitszertifikat öffnet vollständig die IT-Sicherheit der Anwender
- Sendebeschränkungen als „Sicherheitsfeature“ / Serverlast
noch einmal kurz und so verständlich als möglich zusammen. (Diese Zusammenfassung mag vielleicht auch Kollegen eine Hilfe sein, die IT-technisch nicht so bewandert sind und sich weder den 34C3-Talk von Drenger ansehen möchten, noch regelmäßige golem-Leser sind.).
Im Anschluss stelle ich der BRAK dann Fragen zur IT-Projektdurchführung und –leitung, den geschlossenen Vertragswerken, der IT- und Datensicherheit des beA, etwaigen Krisenplänen sowie Fragen zum weiteren Vorgehen in Sachen beA.
Ich bin sehr gespannt, ob es hierzu eine offizielle Reaktion von Seiten der BRAK geben wird. Ich hoffe es sehr.
Ach so, hier noch ein Hinweis, da es bekanntermaßen immer Nörgler gibt: Der Brief trägt nicht den Anspruch in sich, alle Fragestellungen in Bezug auf die IT-Projektleitung und damit verbundene Verantwortlichkeiten vollständig zu erfassen oder gar bereits jetzt juristisch vollständig zu durchdringen (dazu fehlen auch viel zu viele Information und es ist ein bisschen zu komplex, um das mal an einem Wochenende zu machen…). Auch mögen sich Typos etc. pp. verstecken. Diese Zeilen habe ich in meiner Freizeit verfasst und zwar als an den Vorgängen interessierte Anwältin, die ein paar Fragen an die Dachorganisation ihrer Selbstverwaltung hat. Herzlich gerne können Sie aber selbstverständlich Ihre eigenen Anmerkungen gegenüber der BRAK vorbringen. Oder einen Antrag nach dem IFG stellen. Ich versuche es jetzt einfach mal mit dieser Aufforderung zur transparenten Kommunikation (ich Freak).
An die IT-ler meiner Leser: Sollte ich zu sehr vereinfacht haben oder mir an einer Stelle bei der Zusammenfassung der technischen Mängel totaler Quatsch unterlaufen sein, dann teilt es mir bitte mit. Danke. (Aber nicht, wenn es nur vereinfacht dargestellt ist. Das soll so. Auch die weniger IT-affinen Kollegen sollen es ja verstehen können).
In diesem Sinne,
wir dürfen gespannt sein, was in Sachen beA noch weiter passiert.
PS/Update: In das Schreiben hatte sich in Ziffer 2.6.11 ein Fehler eingeschlichen. Statt „monatlich“ musste es dort „jährlich“ heißen. Das habe ich mir erlaubt gegen 17.00 Uhr zu korrigieren. Herzlichen Dank an den Kollegen, der mich darauf hinwies.
Sehr geehrte Frau Kollegin,
auf Seite 4 Ihres ansonsten recht instruktiven offenen Briefes heißt es:
‚Eine Nachricht wird seitens des Absenders mit einem sog. „private Key“ verschlüsselt. Diesen „private Key“ darf nur der Absender selbst kennen (sonst wäre er auch nicht „private“). Dieser private Key wird wiederum mit einem „public key“ des Empfängers verschlüsselt („public key“ deswegen, weil dieser
Schlüsselteil eben zwingend öffentlich zur Verfügung gestellt wird). In Folge dessen ist der vom Versender bestimmte Empfänger der Einzige, der die für ihn bestimmte Nachricht entschlüsseln kann.‘
Statt dessen erzeugen meines Wissens nach gängige E-Mail-Verschlüsselungsverfahren adhoc einen symmetrischer Schlüssel. Der E-Mailinhalt wird mit diesem Schlüssel verschlüsselt. Der Schlüssel wird mit demöffentlichen Schlüssel des Empfängers verschlüsselt. Verschlüsselter Text und asymmetrisch verschlüsselter symmetrischer Schlüssel werden an Empfänger versandt.
Bei der von Ihnen beschriebenen Verfahrensweise könnte und müsste der Empfänger den privaten Schlüssel des Absenders entschlüsseln.
Der private Schlüssel kann vom Absender zur Signatur verwendet werden, die mit seinem öffentlichen Schlüssel dann geprüft werden kann.
Will er nicht signieren, braucht der Absender überhaupt kein eigenes Schlüsselpaar. Die Kenntnis des öffentlichen Schlüssels des Empfängers und eine entsprechende Software reicht aus.
Mit freundlichem kollegialen Gruß und voller Dank für Ihre Mühen
Sehr geehrter Herr Kollege,
herzlichen Dank für Ihre Hinweise. Ich weiß jetzt nicht, ob wir hier gerade an einander vorbeireden. Zum einen geht hier nicht um eine gängige E-Mail-Verschlüsselung, sondern um die Verschlüsselung der beA-Nachrichten. Das ist eben noch etwas komplizierter als bei E-Mails. Sie müssen u.a. hier zwischen der Nachrichtenverschlüsselung und der Transportverschlüsselung unterschieden werden muss. Ich wollte es aber gerade relativ einfach halten und nicht unnötig kompliziert machen.
Hier finden Sie die Informationen der BRAK: http://bea.brak.de/technische-informationen-zum-verschluesselungsverfahren-beim-bea/
Die Ausführungen von Drenger dazu finden Sie hier im Blogpost verlinkt.
Herzlichen Gruß
Nina Diercks
Moin,
Michael hat Recht, die Beschreibung passt nicht ganz. Das benutzte Verfahren (wie bei der BRAK beschrieben) entspricht der von Michael beschriebenen Methode, und ist im Brief nicht ganz richtig beschrieben. Grundsätzlich ist das so auch State of the Art und wird auch in anderen Protokollen so gemacht.
Viele Grüße
Das es nicht ganz richtig beschrieben ist, weil verkürzt dargestellt, ist klar. Deswegen sind ja Fußnoten im Brief. VG ND
Sehr geehrte Frau Kollegin,
ich kann für Ihre Mühe nicht genug danken. Ich warte wie wohl viele Kolleginnen
und Kollegen auch seit Jahren vergeblich auf das beA und konnte – allerdings wesentlich
laienhafter als Sie – von Anfang an vieles nicht nachvollziehen. Ich bin gespannt, ob eine Beantwortung Ihrer Fragen jemals erfolgt.
Leider lassen die ganzen „Baustellen“ befürchten, dass wir wohl noch einige Zeit im letzten Jahrtausend, in das wir jetzt hineinkatapultiert wurden, verweilen müssen. Bleibt zu hoffen, dass die BRAK sich wenigstens jetzt ihrer Verantwortung bewusst wird und uns ein sicheres System schnell zur Verfügung stellt.
Mit dankbaren kollegialen Grüßen
RA Barbara Vock-Weber
Danke, sehr guter Job.