Anwaltspostfach beA: Anwaltskammer gibt Gutachten und Verträge frei

Die Sicherheit des besonderen elektronischen Anwaltspostfachs (beA) ist seit Jahren umstritten. Interessierte können sich jetzt selbst ein Bild zumindest von frühen Versionen der Anwendung und von Details zum Schwachstellenmanagement machen. Die Bundesrechtsanwaltskammer (BRAK) hat aufgrund einer Klage auf Basis des Informationsfreiheitsgesetzes von FragDenStaat und der Gesellschaft für Freiheitsrechte (GFF) jetzt Dutzende Dokumente zum beA herausgegeben, die Sicherheitsaudits, Resultate zu Penetrationstests und Verträge der Institution mit dem früheren Servicepartner Atos einschließen.

Laut einem der Berichte führte Atos unter anderem "16 komplexe Testfälle" durch, die alle ohne Fehler abgeschlossen worden seien. Eine bereits im November von der BRAK in weiten Teilen freigegeben Sicherheitsanalyse der Firma SEC Consult von 2015 verweist auf drei Schwachstellen etwa rund um ein temporäres Cross-Site-Scripting mit nur "geringem" Risiko. Dieselbe Lücke entdeckte 2017 auch Markus Drenger vom Chaos Computer Club (CCC) wieder. Sie dürfte demnach rund zwei Jahre lang ausnutzbar gewesen sein. Atos hatte gegenüber der BRAK aber behauptet, sie geschlossen zu haben. Der IT-Dienstleister hat SEC Consult inzwischen übernommen.

Tausende Seiten freigegebenes Material gehen ans Eingemachte

Insgesamt umfasst das freigegebene Material tausende Seiten. Dabei geht es bis ans Eingemachte wie etwa Sonderregeln zum Zahlungsplan mit Atos. Die BRAK hatte sich in dem Streit um die Akteneinsicht vergeblich auf das Vorliegen von Betriebs- und Geschäftsgeheimnissen in den Verträgen sowie in den Sicherheitstests berufen. Das Verwaltungsgericht Berlin entscheid im Juli, dass die BRAK die angefragten Dokumente größtenteils herausgeben müsse. Dagegen legte die Beklagte zunächst Berufung vor dem Oberverwaltungsgericht ein, zog diese später aber zurück.

"Damit scheitert die BRAK mit ihrer Taktik, ihre Fehlentscheidungen im Zusammenhang mit beA zu verheimlichen", erklärt Arne Semsrott von FragDenStaat. Das Anwaltspostfach startete 2018 mit vielen sicherheitstechnischen Pannen, die Server mussten zeitweilig abgeschaltet werden. Eine Sicherheitsanalyse von Secunet verwies 2018 auf viele Sicherheitslücken, die laut der BRAK inzwischen abgedichtet sein sollen.

Mindeststandard: Ende-zu-Ende-Verschlüsselung

Weiter umkämpft ist die Besonderheit beim beA, dass sich die darüber laufende Kommunikation unterwegs auf einem BRAK-Server mit einem Hardware-Sicherheitsmodul (HSM) "umschlüsseln" lässt. Damit wird die durchgehende Vertraulichkeitskette durchbrochen: Mit der Option zum zeitweiligen Ent- und späteren Wiederverschlüsseln ist ein Zugriff auf sensible Nachrichten innerhalb des HSM zumindest technisch prinzipiell möglich.

Mehrere Rechtsanwälte klagen zusammen mit der GFF gegen diesen Ansatz. Sie drängen auf größere Sicherheit mithilfe einer durchgehenden Verschlüsselung. Der Bundesgerichtshof wird den Fall am 22. März verhandeln (Az.: AnwZ (Brfg) 2/20), nachdem der Berliner Anwaltsgerichtshof die Klage 2019 zurückgewiesen hatte. "Ein nur halbwegs sicheres beA ist inakzeptabel", unterstreicht der GFF-Vorsitzende Ulf Buermeyer. Der Mindeststandard einer Ende-zu-Ende-Verschlüsselung für sichere Kommunikation dürfe nicht ausgerechnet bei Anwälten unterschritten werden. Die Bundesregierung hält das Entschlüsselungsrisiko für akzeptabel.

(bme)