beA: Abschlussgutachten liegt vor

Ein Gutachten attestiert dem besonderen elektronischen Anwaltspostfach (beA) mittlerweile grundsätzlich sicher zu sein. Kritiker fordern aber nach wie vor ein Umschwenken auf eine echte Ende-zu-Ende-Verschlüsselung. Ein Gutachten attestiert dem besonderen elektronischen Anwaltspostfach (beA) mittlerweile grundsätzlich sicher zu sein. Kritiker fordern aber nach wie vor ein Umschwenken auf eine echte Ende-zu-Ende-Verschlüsselung. (Foto: Blogtrepreneur, https://www.creativecommons.org/licenses/by/2.0, www.flickr.de)

Die Bundesrechtsanwaltskammer (BRAK) hat das IT-Sicherheitsgutachten über das besondere elektronische Anwaltspostfach (beA) veröffentlicht. Das Präsidium zieht den Schluss, beA sei ein geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr und empfiehlt eine gestufte Wiederinbetriebnahme des Systems.

Demnach soll die Installation der Client Security ab 4. Juli möglich sein, am 3. September sollen die Postfächer freigegeben werden und die passive Nutzungspflicht wieder praktisch gelten. Ob tatsächlich so vorgegangen wird, soll die BRAK-Hauptversammlung im Rahmen einer außerordentlichen Präsidentenkonferenz am 27. Juni entscheiden.

Eigentlich müssten Anwälte schon seit Anfang des Jahres im beA-System registriert sein und elektronische Post empfangen können. Wegen Sicherheitsmängeln, die zuvor vom Chaos Computer Club Darmstadt aufgedeckt worden waren, ist das System aber schon seit Monaten offline. Das nun veröffentlichte Abschlussgutachten des IT-Sicherheitsunternehmens secunet soll zeigen, dass das Postfach sicher genutzt werden kann. Darin heißt es, das beA sei grundsätzlich “ein geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr”. Das Verschlüsselungskonzept biete technisch gesehen hinreichenden Schutz der Vertraulichkeit. Dennoch wurden verschiedene “betriebsverhindernde” und “betriebsbehindernde” Risiken festgestellt. Diese sollen, so die BRAK, bis zur vollständigen Wiederinbetriebnahme im September mit dem Dienstleister Atos beseitigt werden. Das soll secunet dann noch einmal bestätigen.

Streitpunkt HSM

Schwachstellen wurden aber auch auf konzeptioneller Ebene festgestellt. Es seien Angriffe möglich, die einen Zugriff auf Nachrichten erlauben würden. Möglich wäre das aber nur Innentätern, die physikalisch-organisatorische Schutzmaßnahmen unterlaufen müssten, oder theoretisch auch Außentätern, die sich durch Ausnutzung von Schwachstellen in Serverkomponenten in die Position eines Innentäters bringen könnten.

Hintergrund ist die mit einem Hardware Security Module (HSM) umgesetzte Verschlüsselungslösung. Um den – gesetzlich geforderten – arbeitsteiligen Zugriff auf Postfächer zu ermöglichen, findet beim Betreiber eine Umverschlüsselung statt. So kann die BRAK steuern, wer Nachrichten lesen kann. Kritiker sehen hier ein Risiko für die Vertraulichkeit und fordern die Nachrüstung einer Ende-zu-Ende-Verschlüsselungslösung. Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) eine dahingehende Klage gegen die BRAK beim Berliner Anwaltsgerichtshof eingereicht.