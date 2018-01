Inhaltsverzeichnis Besonderes elektronisches Anwaltspostfach: Das Chaos nimmt zu Friendly Fire Auf einer Seite lesen

Das vorläufige Scheitern des beA entwickelt eine unerwartete Sprengkraft. Atos verweigert die beAthlon-Teilnahme und lässt damit die BRAK endgültig im Regen stehen. Der Deutsche Anwaltverein stellt umfangreiche Forderungen.

Das französische IT-Unternehmen Atos hat am Montag die mündlich erteilte Zusage zum beAthon zurückgezogen und auch dem Subunternehmer Governikus eine Teilnahme untersagt. Das gab die Bundesrechtsanwaltskammer (BRAK) am gestrigen Mittwoch bekannt. Trotz Bemühungen der BRAK habe Atos diese Entscheidung aufrechterhalten. Die BRAK hatte sich vorgestellt, am Freitagnachmittag alle Experten an einen öffentlichen Tisch zu bringen, um dort einen Plan zu entwickeln, wie sich beA durch Lösung der erkannten Probleme in Betrieb nehmen lässt. Dieses Vorhaben war vorab bereits als PR-Maßnahme kritisiert worden. In so einem knappen Zeitrahmen lasse sich keine Lösung erarbeiten. Dennoch will die BRAK den beAthlon am Freitag auch ohne Atos durchziehen.

"Wir bedauern die Absage von Atos sehr. Gerne hätten wir gemeinsam mit externen Kritikern die von Atos zur Verfügung gestellte Lösung zur Behebung der Problematik in der Verbindung zwischen der beA-Komponente Client-Security und beA-Webanwendung erörtert und gegebenenfalls weitere Schritte bis zur erneuten Inbetriebnahme des beA diskutiert", sagte BRAK-Präsident Ekkehart Schäfer dazu. "Leider werden wir die von Atos entwickelte neue Lösung ohne weitere Überprüfung noch nicht online gehen lassen können. Denn die BRAK steht zu ihrem Wort, das beA erst dann wieder in Betrieb zu nehmen, wenn alle relevanten Fragen zur Sicherheit von beA geklärt sind." Der beAthon sei Teil dieses Klärungsprozesses. Am 18. Dezember hatte die BRAK weiterhin mitgeteilt, dass sie die vom BSI empfohlene Gesellschaft secunet Security Networks AG beauftragen werde, ein Sicherheitsgutachten zu erstellen.

Umfangreiche Forderungen des DAV

Der Deutsche Anwaltverein hatte ebenfalls am Mittwoch eine umfangreiche Stellungnahme veröffentlicht, in der er umfangreiche Forderungen stellt und weitreichende Fragestellungen aufwirft. Der DAV fordert "einen konstruktiven, zukunftsorientierten Umgang mit Fehlern und den Dialog aller Beteiligten. Nötig sind insbesondere – aber nicht nur – Transparenz von Seiten der Bundesrechtsanwaltskammer (BRAK) und ihrer Dienstleister sowie eine erneute, regelmäßige unabhängige Begutachtung und die dauerhafte Unterstützung durch einen Fachbeirat. Zugleich ist auch der Gesetzgeber aufgefordert, den Weg für ein Kanzleipostfach freizumachen. Nach Auffassung des DAV müssen Rechtsanwältinnen und Rechtsanwälte keine De-Mail-Postfächer einrichten, um einen sicheren Übermittlungsweg vorzuhalten." Die Anwaltschaft scheint sich erstmals mit der Frage zu befassen, welche Auswirkungen auf die Rechtspflege der Ausfall eines zentralen Kommunikationssystems hat.

Man-in-the-middle statt Ende-zu-Ende

Auch wenn die BRAK derzeit auf die Probleme der Client Security abstellt, die von den CCC-Mitgliedern Markus Drenger und Felix Rohrbach aufgedeckt wurden, macht den Anwälten zunehmend die grundlegende Sicherheitsarchitektur zu schaffen. Die von der BRAK beworbene Ende-zu-Ende-Verschlüsselung der Nachrichten entspricht nicht dem, was sie sich darunter allgemein vorstellt. Vielmehr wird im HSM, einem zentralen Atos-System, der Nachrichtenschlüssel, der den Inhalt der Nachrichten schützt, mit einem privaten Schlüssel des Anwaltspostfachs entpackt und mit einem Session Key erneut verschlüsselt. Das HSM hält zu diesem Zweck jeweils ein Schlüsselpaar für jedes einzelne Anwaltspostfach vor. Nachrichten an einen Anwalt werden nicht mit dessen öffentlichem Schlüssel chiffriert, sondern mit dem öffentlichen Schlüssel seines Postfachs, zu dem das HSM der Atos den privaten Schlüssel kennt. Die eigentliche Nachricht bleibt zwar verschlüsselt, Schlüssel dazu allerdings nicht.

Das Vertrauen der Anwaltschaft in den Dienstleister Atos, aber auch in die eigene Rechtsanwaltskammer ist derart erschüttert, dass eine schnelle Lösung unwahrscheinlich ist. Gefordert wird vor allem vollständige Transparenz. Die BRAK solle die Verträge und die Lastenhefte auf den Tisch legen, Atos soll Testberichte und Spezifikationen offenlegen, am besten gleich den gesamten Source-Code. Eine Forderung, die spätestens beim HSM unerfüllbar wird.