Unsicheres Anwaltspostfach: beA meldet den Anwalt nicht ab
Zieht der Anwalt seine Signaturkarte aus dem Lesegerät, dann wird er nicht abgemeldet. Noch unsicherer ist das Software-Zertifikat.
(Bild: CC0)
In der Bundesagentur für Arbeit brauchen die Mitarbeiter eine Chipkarte zur Anmeldung an Ihren PCs und sobald die Chipkarte rausgezogen wird, sperrt sich das Betriebssystem. Das inzwischen gestartete besondere elektronische Anwaltspostfach (beA) bietet diesen Komfort nicht. Zieht der Anwalt seine Karte, bleibt er beim beA angemeldet. Bei Inaktivität läuft ein Countdown von 30 Minuten, der jedoch durch jede Aktivität am PC zurückgesetzt werden kann. Da beA als Webanwendung mit lokaler Serverkomponente konzipiert ist, bleibt die Tür solange offen, bis dreißig Minuten lang keinerlei Aktivitäten mehr registriert wurden.
Die beA-Architekten hatten hier eine Abwägung zwischen Bequemlichkeit und Sicherheit vorzunehmen und haben sich für ein möglichst bequeme Lösung entschieden. Die Anmeldung am beA ist nämlich aufwändig. Die Chipkarte ist mit einer PIN gesichert, die man zweimal eingeben muss. Mit der ersten Eingabe schaltet man die Karte frei, mit der zweiten die Entschlüsselung von Nachrichten. Will der Anwalt eine qualifizierte elektronische Signatur anbringen, muss er eine weitere PIN eingeben, um sein Signatur-Zertifikat zu entsperren. Diese PIN kann sich von der ersten unterscheiden. Eine Signatur ist nur möglich, wenn die Karte gesteckt ist, da das Zertifikat jedes Mal neu entsperrt wird.
Noch unsicherer ist das Software-Zertifikat
Statt einer Chipkarte kann man auch ein Software-Zertifikat nutzen. Diesen Vorgang kennt man von Elster. Bei einer Anmeldung wird die Datei mit dem Zertifikat angefragt, man gibt seine PIN ein und ist angemeldet. Speichert man dieses Zertifikat auf einem USB-Key, so hat man eine Zweifaktor-Authentifizierung. Zur Anmeldung braucht man den USB-Key und die PIN.
Auch hier hat beA eine unsichere Lösung gewählt. Das System speichert diese Signatur-Datei als Kopie. Damit reduziert sich der Schutz auf eine sechsstellige PIN. Wer diese PIN kennt, kann sich ohne weiteres am beA anmelden. Es spielt keine Rolle, dass man den USB-Key abgezogen hat. beA will die Zertifikatsdatei nur ein einziges Mal sehen.
Wirksam unterzeichnen ohne Zertifikat
Diese unsichere Gestaltung des Anmeldevorgangs ist besonders heikel, weil ein Anwalt gar keine qualifizierte elektronische Signatur mehr anbringen muss, damit ein Gericht ein Schriftstück akzeptieren muss. Das beA wurde gesetzlich als ein sicherer Übertragungsweg anerkannt und einfache Schreiben ohne Briefkopf werden akzeptiert. Der Anwalt unterzeichnet einfach durch Eintippen seines Namens auf der Tastatur. Die qualifizierte elektronische Signatur ist nur für Schreiben erforderlich, die über normale E-Mail eingeht.
Die unsichere Konstruktion hat zur Folge, dass jedermann, der zu einem entsperrten PC Zugang hat, für den Rechtsanwalt Willenserklärungen abgeben kann, die dieser nicht abstreiten kann. Ob es seine eigenen Angestellten oder auch nur das Reinigungspersonal war, lässt sich im Nachhinein nicht mehr feststellen. Man kann jedem Anwalt nur raten, seinen PC gewissenhaft zu sperren, wenn er ihn kurz verlässt. (vowe)
