Anwaltspostfach beA: Bundesregierung findet Entschlüsselungsrisiko "akzeptabel"

Inhaltsverzeichnis

Eine durchgehende kryptografische Absicherung ausgetauschter Nachrichten und Dateien beim seit Jahren umstrittenen besonderen elektronischen Anwaltspostfach (beA) hält die Bundesregierung nicht unbedingt für geboten. Sie sieht das sich aus der Konzeption des Systems ergebende Risiko einer Entschlüsselung der darüber laufenden Kommunikation "in Anbetracht der im Übrigen getroffenen Sicherheitsmaßnahmen" als "akzeptabel" an.

Durchbrochene Vertraulichkeitskette – "übliches Verfahren"

Das federführende Bundesjustizministerium bezieht sich in seiner Einschätzung in einer jetzt veröffentlichten Antwort auf eine Anfrage der FDP-Bundestagsfraktion auf ein Gutachten der IT-Sicherheitsprüfung zum beA von Secunet aus 2018. Die Entschlüsselung der Kommunikation im laufenden Betrieb würde demnach "ein kollusives Zusammenwirken mehrerer Personen erfordern, da jeweils mehrere Mitarbeitende der Betreiberin und der BRAK bei der Zusammenführung von Schlüssel und Nachrichten gemeinsam agieren müssten. Das beim beA praktizierte Verfahren sei "auch in anderen sicherheits-sensiblen Bereichen üblich".

Stein des Anstoßes: Die über das beA laufende Kommunikation lässt sich unterwegs auf einem Server der das System betreibenden Bundesrechtsanwaltskammer (BRAK) mit einem Hardware-Sicherheitsmodul (HSM) "umschlüsseln", was die durchgehende Vertraulichkeitskette durchbricht. Mit der Option zum zeitweiligen Ent- und späteren Wiederverschlüsseln ist ein Zugriff auf sensible Nachrichten innerhalb des HSM zumindest technisch denkbar, was gerade angesichts des lohnenden Ziels Angreifer auch aus dem kriminellen Milieu anlocken könnte.

Kann früherer Servicepartner noch mitlesen?

Das beA startete 2018 mit vielen sicherheitstechnischen Pannen, die Server mussten zeitweilig abgeschaltet werden. Die Secunet-Analyse verwies auch auf viele Sicherheitslücken, die laut der BRAK inzwischen abgedichtet sein sollen. Die FDP wollte von der Regierung nun etwa wissen, ob die Betreiberin beziehungsweise ihre technischen Dienstleister ihrer Kenntnis nach rein technisch jede Nachricht entschlüsseln könnten.

Vor allem der Wechsel vom ursprünglichen Servicepartner Atos zu Wesroc (Westernacher und Rockenstein) wirft nach Ansicht der Liberalen neue Sicherheitsfragen auf. Es sei nicht auszuschließen, dass der alte Dienstleister noch über Sicherheitsschlüssel verfüge. Darauf habe auch ein Sachverständiger bei einem erweiterten Berichterstattergespräch im Bundestag im November hingewiesen. Es bestehe die Gefahr, dass die gesamte Kommunikation, die über das beA abgewickelt wird, mitgelesen werden könne.

Experten sehen kein Risiko

Die Regierung erklärt dazu, dass im Rahmen des Betriebsübergangs die IT-Sicherheitsfirma Secuvera eine erneute unabhängige Prüfung durchgeführt habe. Mit dem Abschlussgutachten vom Juli hätten die Experten hier ein Risiko verneint. Es sei ihnen dabei möglich gewesen, auf der grundlegenden Analyse von Secunet aufzubauen. Über die Einschätzungen der beiden Unternehmen hinaus lägen keine Informationen etwa über aktuelle Schwachstellen oder die verwendete IT-Infrastruktur vor.

Die Einrichtung des beA sei der BRAK "als Selbstverwaltungsorgan der Rechtsanwaltschaft" übertragen worden, unterstreicht das Justizressort. Diese habe dabei insbesondere die unter anderem in der Bundesrechtsanwaltsordnung (BRAO) festgelegten rechtlichen und technischen Anforderungen zu beachten. Dem Justizministerium komme insoweit "lediglich eine Staatsaufsicht über die BRAK zu". Es sei darauf beschränkt zu prüfen, ob die Kammer die "gesetzlichen und satzungsrechtlichen Vorschriften" beachte und insbesondere die übertragenen Aufgaben erfülle.

Antrag auf Verschiebung der Nutzungspflicht scheitert

Die BRAK informierte das Justizressort laut der Auskunft aber im November über einige geplante "Weiterentwicklungen und Überarbeitungen insbesondere der beA-Oberfläche". Erwogen beziehungsweise bereits umgesetzt seien etwa eine automatisierte Wiederholung bei einem fehlerhaften Nachrichtenversand, die "technische Umsetzung der Regeln für Dateinamen von Anhängen" zu einer Botschaft, Verbesserungen der Kanzleisoftware-Schnittstelle und eine vereinfachte Auswahl von Authentifizierungstoken. Ferner solle das mobile Arbeiten mit dem System erleichtert werden.

Die Grünen drängten im Herbst darauf, die aktive Nutzungspflicht für das beA bis 2025 zurückzustellen. Viele Rechtsanwälte hätten noch Vorbehalte gegen das digitale Verfahren oder es bestünden Probleme bei der Inbetriebnahme, argumentierte die Oppositionsfraktion. Im Bundestagsplenum fand sie aber keine Mehrheit für ihren Antrag, sodass die Nutzungspflichtigen seit Anfang des Jahres auch den Gerichten Dokumente über das beA elektronisch übermitteln müssen.

Streitpunkt Ende-zu-Ende-Verschlüsselung

Mehrere Rechtsanwälte klagen zusammen mit der Gesellschaft für Freiheitsrechte gegen das System. Sie drängen auf größere Sicherheit mithilfe einer durchgehenden Verschlüsselung. Der Fall liegt momentan beim Bundesgerichtshof (Az. AnwZ (Brfg) 2/20), nachdem der Berliner Anwaltsgerichtshof die Klage 2019 zurückgewiesen hatte.

Die BRAK veröffentlichte im November eine Stellungnahme zu einem Entwurf einer Resolution des EU-Rats zu Verschlüsselung. Sie kritisierte darin, dass die deutsche Initiative praktisch auf ein Verbot von Ende-zu-Ende-Verschlüsselung hinauslaufe. Die Vertraulichkeit der anwaltlichen Kommunikation könnte damit faktisch nicht mehr gewährleistet werden. Nicht nachvollziehbar ist so für den zu den Klägern gehörenden Anwalt Michael Schinagl, dass die BRAK zugleich daran festhalte, im beA keine durchgehende Verschlüsselung zu etablieren.

(tiw)