Die Bundesrechtsanwaltskammer hat große Probleme mit dem elektronischen Anwaltspostfach. Die zum System gehörende „Client Security“ des Angebotes lässt extrem zu wünschen übrig und ist ein großes Risiko für Kanzleien. Die beim Anwalt installierte Software kann von unerwünschten Eindringlingen missbraucht werden, um Dokumente des Anwalts auszuspähen. Aktuell bestehen Sicherheitslücken, die den Einsatz des Systems, bzw. den pünktlich und geplanten Systemstart ausschließen. Die Sicherheitslücken von beA sind so offensichtlich, dass Anwälten und Kanzleien dringend empfohlen wurde, die Client Security der beA-Software zu deaktivieren.
Der Zeitplan kommt dabei extrem durcheinander – eigentlich ist das ganze System in Frage gestellt: Das besondere elektronische Anwaltspostfach sollte ab dem 1. Januar 2018 die Arbeit aufnehmen und damit die Kommunikation zwischen Anwälten und Gerichten komplett digitalisieren. Auftauchende Problem-Analysen offenbarten erhebliche Mängel in Bezug auf die Vertraulichkeit und Sicherheit der Anwalts-Post. Die Notbremse wurde gezogen.
Hersteller bezeichnet Probleme als erledigt
Die Bundesrechtsanwaltskammer hatte die technische Projektleitung in die Hände des Dienstleisters „Atos“ gelegt. Dieser teilte als Betreiber der beA-Plattform mit, dass die Sicherheitsprobleme durch neue Zertifikate beseitigt worden seien. Zuvor war die Plattform am 22. Dezember 2018 außer Betrieb gegangen. Dabei hatte man aber unterlassen, die Client Security als lokale Webserver abschalten zu lassen und hatte so mögliche Einfalltore für unbefugte Nutzung geschaffen. Ob Angriffe stattgefunden haben kann an dieser Stelle nicht behauptet werden, nur, dass solche Angriffe möglich gewesen wären.
beAthon führt Experten zusammen
Nach einem Treffen mit Computer-Experten und Spezialisten für IT Sicherheit, u.a. des Chaos Computer Clubs – dem so genannten beAthon – versendete die BRAK einen Newsletter an alle Beteiligten und veröffentlichte eine Pressemitteilung. Ein Auszug: „Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.“ Die BRAK empfiehlt, sicherheitshalber „alles“ zu entfernen bzw. zu deinstallieren. Angeblich hatte die Kammer die Softwareentwickler bereits im vergangenen Jahr auf die Sicherheitslücken hingewiesen, z.B. auf veraltete Java-Bibliotheken. Mitglieder des CCC wiesen aber nach, dass auf diese Aufforderung nicht im notwendigen Maße reagiert worden war.
Das Konzept beA
Die Abkürzung beA seht für besonderes elektronisches Anwaltspostfach und die geplante Markteinführung ist durch die Forderung des Gesetzgebers motiviert, in Zukunft die Kommunikation zwischen Anwälten und Gerichten zu digitalisieren und damit Abläufe zu beschleunigen und zu vereinfachen. Das geht natürlich nicht mit Outlook oder mit eigens von den Kanzleien angeschaffter und ins Gesamtsystem eingearbeiteter Systeme, sondern in den ersten Ausbaustufen nur über einen Web-Browser, über den die beA-Plattform wie eine ganz normale Homepage erreicht werden kann.
Probleme gibt es mit den Sicherheitsstandards, die durch auf Anwaltsseite installierte Zertifikate den sicheren Austausch von Dokumenten mit den Gerichten gewährleisten sollten. Diese Zertifikate weisen einen legitimierten Teilnehmer als zugriffsberechtigt aus. Die vorhandenen Sicherheitslücken bedeuten – vereinfacht -, dass es unter Umständen auch nicht legitimierten Eindringlichen möglich gewesen wäre, auf Daten zuzugreifen – sowohl auf Seite der Plattform als auch „client-seitig“.
Gerade dieser letzte Tatbestand bringt aktuell die kritische Analtschaft gegen beA auf, denn in vielen Fällen blieben die lokalen System aktiv und ungeschützt. So entstanden mögliche Einfalltore, die für die IT-Sicherheit von Kanzleien existenzbedrohend sind. Entwickler Atos und die Bundesrechtsanwaltskammer schieben die schwarzen Peter hin und her.
Ärgerlich ist das vo allem für Kanzleien, die ein bestehendes und sicheres System aufgrund der Auflagen der Kammer abgestellt haben und nun unter Umständen große Probleme mit der Abwicklung ihrer Gerichtskommunikation haben. Auch steht die Frage im Raum, wer für die Kosten des betriebenen Aufwandes verantwortlich gemacht werden kann.
