Besonderes elektronisches Anwaltspostfach: Atos hält die eigene Lösung für sicher
Atos teilt mit, die Sicherheit und Integrität des beA sei wiederhergestellt und das System in der aktuell vorliegenden Ausbaustufe voll einsatzfähig. Die Entscheidung läge nun bei der Bundesrechtsanwaltskammer.
Atos, der technische Dienstleister, der beA entwickelt und für die Bundesrechtsanwaltskammer (BRAK) betreibt, hat heute Fehler eingeräumt. Ein Zertifikat war zusammen mit dem zugehörigen privaten Schlüssel Bestandteil der installierten Client-Anwendung und wurde damit öffentlich gemacht. Hierdurch war die Sicherheit des Zertifikates nicht mehr gewährleistet und es wurde durch den Anbieter gesperrt. Um sicherzustellen, dass das beA schnellstmöglich wieder verfügbar ist, habe Atos kurzfristig ein neues Zertifikat zur Verfügung gestellt. Am 22. Dezember 2017 habe Atos allerdings festgestellt, dass dieses neue Zertifikat mit zu weitreichenden Rechten ausgestattet sei und die BRAK habe das beA deshalb am gleichen Tag offine genommen.
Mittlerweile hat Atos der BRAK eine neue Version der beA Client-Security zur Verfügung gestellt. Diese Software erstellt "bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet. Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht."
Probleme behoben?
Atos hält die Sicherheitsprobleme damit für behoben; das Unternehmen will sich die Funktionstüchtigkeit und die Sicherheit der Lösung durch ein von Atos beauftragtes externes Security-Gutachten bestätigt lassen. Die BRAK will wiederum selbst ein Gutachten von der vom BSI empfohlenen secunet beauftragen.
Weiterhin stellt Atos fest, dass die Rechte an dem Quellcode von beA bei der BRAK lägen mit der Einschränkung der genutzten Standardsoftware-Komponenten, an denen die jeweiligen Hersteller die Rechte haben. Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen. Die Entscheidung über die erneute Inbetriebnahme des Systems läge nun bei der BRAK.
Zertifikats-Wirrwarr
Die Stellungnahme von Atos geht ganz spezifisch nur auf das Zertifikatsproblem ein. Andere Bedenken zur Sicherheit der Lösung werden nicht adressiert. Es handele sich allein um ein Problem in der Kommunikation des lokalen Browsers mit der Client-Anwendung auf dem Client des Anwalts - die Sicherheit der zentralen Anwendung in den Rechenzentren sowie der Schnittstelle zu den Kanzleisoftware-Anwendungen seien hiervon nicht betroffen. Die sichere Kommunikation zwischen den beA-Postfächern sei zu jedem Zeitpunkt gewährleistet.
Die BRAK will am heutigen Freitagnachmittag den so genannten beAthon veranstalten, bei dem externe Experten einen Fragenkatalog an Atos entwickeln sollen. (vowe)
