IT-Sicherheit in Kanzlein: BEA mit Sicherheitsproblemen bleibt offline

IT-Sicherheit hat bei der digitalen Kommunikation oberste Priorität. Das trifft in besonderem Maße für die Kommunikation zwischen den Gerichten und den Rechtsanwälten zu. Das ist der Hauptgrund, warum der Start des beA (besonderes elektronisches Anwaltspostfach) von der Bundesrechtsanwaltskammer verschoben wurde.

Die Einrichtung der Möglichkeit einer sicheren Kommunikation auf digitalem Weg wurde mit den letzten Änderungen der Bundesrechtsanwaltsordnung (BRAK) beschlossen. Sie resultieren wiederum aus dem Zustellungsreformgesetz, welches im Jahr 2001 verabschiedet wurde. Die Regelungen zum besonderen elektronischen Postfach für Rechtsanwälte finden sich in der Bundesrechtsanwaltsverordnung im Paragrafen 31a. Der dortige Absatz 3 schreibt den Zugang zu diesen Postfächern durch ein „sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln“ vor. Wie die Bundesrechtsanwaltskammer auf ihrer Homepage mitteilte, gibt es jedoch derzeit genau an dieser Stelle Probleme.

Worin besteht die Sicherheitslücke beim beA konkret?

Um die notwendige Sicherheit bei der Übertragung der Dokumente zwischen den Anwälten und Gerichten zu gewährleisten, müssen die Inhalte verschlüsselt werden. Wenige Tage vor Weihnachten 2017 fiel Mitliedern des Chaos Computer Clubs auf, dass die zum beA gehörende Client-Software der Private Key des SSL-Zertifikats verteilte. Eigentlich darf diese nur den Public Key mitteilen. Anderenfalls können Hacker mit einem Man-in-the-Middle-Angriff sämtliche übertragenen Dokumente abfangen und entschlüsseln.

Der Chaos Computer Club zählt sich zu den sogenannten „White Hats“. Dabei handelt es sich um Hacker, die sich auf die Aufdeckung und Beseitigung von Sicherheitslücken spezialisiert haben. Deshalb wurde diese Sicherheitslücke sofort gemeldet, doch das Problem konnte auch mit einem eilends erstellten neuen Zertifikat nicht behoben werden. Der Grund dafür ist, dass der Private Key auch weiterhin ein Bestandteil der Clientsoftware für das beA ist. Er konnte von den IT-Sicherheitsspezialisten der Redaktion Golem auch nach der Installation des neuen Zertifikats ausgelesen werden. Deshalb gab es den nachdrücklichen Hinweis, auch das dieses Zertifikat schnellstens zu deinstallieren.

Außerdem wurde die Plattform für das besondere elektronische Anwaltspostfach im Dezember 2017 mit der Begründung „notwendiger IT-Wartungsarbeiten“ vom Netz genommen. Wann sie wieder an den Start gehen kann, ist derzeit noch nicht konkret bekannt. Insider hoffen, dass die Sicherheitslücke bis Ende Januar 2018 erfolgreich beseitigt werden kann.

Sind bisher via beA übermittelte Daten sicher?

Die Bundesrechtsanwaltskammer gibt auf ihrer Homepage an, dass „die Vertraulichkeit der Datenübertragungen über die beA-Plattform zu jedem Zeitpunkt gesichert“ gewesen wäre. Doch die IT-Experten der Golem-Redaktion sehen das anders. Sie bemängeln vor allem das Verfahren der Umschlüsselung auf den Servern des Anbieters, die dann notwendig ist, wenn bestimmte Dokumente Dritten zugänglich gemacht werden sollen. Damit werden die Nachrichten im Klartext für die Betreiber der Server lesbar, weil für die Umschlüsselung der Private Key der Nutzer benötigt wird.

Ein zweites Problem sehen die IT-Sicherheitsexperten in der gesamten Architektur des besonderen elektronischen Anwaltspostfachs. Hier macht das verwendete Webinterface die Nutzung einer kompletten und vollständigen Ende-zu-Ende-Verschlüsselung unmöglich. Der Server muss lediglich abgewandelten Java-Code schicken, um die Verschlüsselung zu umgehen. Das heißt, die Integrität der Nachrichten kann sowohl von den Betreibern der beA-Server als auch von Hackern gefährdet werden.

Wie geht es mit dem beA nun weiter?

Wir behalten den Fortschritt bei der Verbesserung der Sicherheit beim besonderen elektronischen Postfach für Anwälte genau im Auge. Das zweite Zertifikat, bei dem zur Deinstallation geraten wird, wurde bei den von uns betreuten Kanzleien nicht eingespielt. Deshalb sind dort derzeit keine Aktionen notwendig. Sobald das beA-System online geht, kümmern wir uns darum, dass bei unseren Kunden mit EDV-Betreuung sofort die Clientsoftware aktualisiert wird. Allerdings können wir derzeit nicht sagen, wann das passiert, da auch Seitens der Betreiber und der Bundesrechtsanwaltskammer bisher keine konkreten Angaben zum Zeitpunkt der Reaktivierung gemacht werden können.

Haben wir schon Ihre Kontakdaten?