Besonderes elektronisches Anwaltspostfach: beA-Abschlussgutachten - und viele offene Fragen

Die Bundesrechtanwaltskammer beweist Transparenz und veröffentlicht das Sicherheitsgutachten zum beA. Darin finden sich allerdings erhebliche Einwände.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
beA-Abschlussgutachten veröffentlicht – BRAK will im September wieder anfahren
Lesezeit: 3 Min.

Die BRAK hat heute das Abschlussgutachten veröffentlicht, das die secunet im Auftrag der BRAK über das besonderen elektronische Anwaltspostfach angefertigt hat. Sie beruft gleichzeitig eine außerordentliche Präsidentenkonferenz für den 27. Juni 2018 ein. Einziger Tagesordnungspunkt dieser Sitzung wird die Diskussion und Beschlussfassung über die Wiederinbetriebnahme des beA sein.

Das Präsidium der BRAK empfiehlt der Hauptversammlung eine gestufte Wiederinbetriebnahme des beA-Systems. Ab dem 4.7.2018 soll die Client Security zum Download und zur Installation bereitgestellt werden. Ab diesem Zeitpunkt soll auch die Erstregistrierung noch nicht registrierter Rechtsanwältinnen und Rechtsanwälte wieder möglich sein. Die Postfächer sollen dann ab dem 3.9.2018 wieder freigegeben werden und damit soll die passive Nutzungspflicht wieder aufleben.

Das Präsidium zitiert in einem Begleitschreiben aus dem Gutachten selektiv einige Passagen, die eine Wiederinbetriebnahme befürworten, so etwa die Passage "Grundsätzlich ist das beA ein geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr. Das Verschlüsselungskonzept bietet technisch gesehen einen hinreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten."

Es lohnt sich jedoch das gesamte 90-seitige Dokument genauer zu lesen. Darin findet sich etwa die Passage "Das erkennbare Ziel, die Sicherheit der Nachrichten ausschließlich durch Kryptographie zu schützen, ist aber nicht in vollem Umfang erreicht worden. An einigen Stellen verlässt sich das beA in seiner dem Gutachten zugrunde liegenden Realisierung auf organisatorisch-physikalischen Schutz wichtiger Systemkomponenten (HSM-Schlüssel, SAFE BRAK), was bei voller Ausnutzung der kryptographischen Möglichkeiten, die das Konzept und die eingesetzte Technik bieten, nicht notwendig wäre." Daraus leitet das Gutachten eine Angreifbarkeit des Hochsicherheitsmoduls ab: "Allen Schwachstellen ist gemeinsam, dass das HSM keinen oder keinen ausreichenden Schutz vor diesen Angriffen bietet, d.h. Nachrichten bei erfolgreichem Angriff auch außerhalb des HSM entschlüsselt oder dem HSM Leseberechtigungen vorgetäuscht werden können". Das ist ein Knackpunkt in der Diskussion um das beA.

Besonderes elektronisches Anwaltspostfach

Anfällig ist das System für Innentäter, oder für Außentäter, die durch andere Schwachstellen in die Position des Innentäters gelangen können: "Fast allen konzeptionellen Schwachstellen ist allerdings auch gemeinsam, dass sie nur durch oder mit Hilfe von Innentätern, darunter auch Personen mit besonderer Vertrauensstellung, durchgeführt werden können, die dabei physikalisch-organisatorische Schutzmaßnahmen unterlaufen müssen. Außentäter können sich in die Position eines Innentäters bringen, wenn es ihnen gelingt, durch Ausnutzung von Schwachstellen der Serverkomponenten in diese einzudringen und die Kontrolle über sie zu übernehmen. Der Penetrationstest findet dann noch 4 betriebsverhindernde, 13 betriebsbehindernde und 19 sonstige Fehler.

Die vom Chaos Computer Club Darmstadt aufgedeckten Schwachstellen haben sich tatsächlich nur als Spitze des Eisbergs herausgestellt. Man darf gespannt sein, ob die Anwaltschaft den Empfehlungen des BRAK-Präsidiums folgt und einer schnellen Wiederinbetriebnahme zustimmt.
(vowe)