www.beck.de
Sie waren hier: http://rsw.beck.de/main/Index/?site=NJW&toc=njw.root&docid=401907

BeAthon bei der BRAK

Schlussakt der beA-Woche: Der so genannte beAthon am Freitag sollte nach dem Willen der BRAK eine wichtige Weichenstellung für die Zukunft des Postfachs werden. Dort sollte der vom Dienstleiter Atos vorgeschlagene Lösungsweg erörtert werden. Auf Grundlage der Ergebnisse wollte die Kammer über das weitere Vorgehen entscheiden. Doch es kam anders: Atos spielte nicht mit.

 

Das Format stieß schon im Vorfeld auf Kritik. An einem Nachmittag lasse sich die Sicherheit der Plattform nicht herstellen, hieß es. Außerdem sei der Name beAthon eine Mogelpackung. Er suggeriere einen Hackathon, wo IT-Spezialisten nach Sicherheitslücken suchten. Eine kollaborative Softwareprüfung sei aber gerade nicht geplant. Stattdessen werde nur geredet. Auch die Einladungspolitik hielten manche für zu selektiv. Und dann sagte auch noch Atos kurzfristig seine Teilnahme ab – und verbot dies zugleich auch seinem Subunternehmer Governikus.

Die BRAK hielt dennoch an der Veranstaltung fest, wenn auch zwangsläufig mit verändertem Konzept. Zu den eingeladenen Teilnehmern gehörten unter anderem Markus Drenger sowie zwei weitere Mitglieder des CCC, Rechtsanwalt Matthias Bergt aus Berlin, der vor Weihnachten auf die schwere Sicherheitslücke des Client-Updates hingewiesen hatte, der Kölner Anwalt und Informatiker Marcus Werner für den DAV, Vorstandsmitglieder des EDV-Gerichtstags, Oliver Sabel vom BMJV sowie Mitarbeiter der von der BRAK als Gutachterin beauftragten secunet AG. Der Autor war einer von zwei Pressevertretern. Für die BRAK nahmen der für das beA zuständige Vizepräsident Martin Abend, zwei Geschäftsführerinnen und der IT-Leiter sowie Mitarbeiter der von der Kammer involvierten Kommunikationsagentur teil. Der Präsident der BRAK, Ekkehart Schäfer, war nicht anwesend. Man habe den Kreis bewusst klein halten wollen, um eine konzentrierte Diskussion zu ermöglichen, hieß es. Damit erkläre sich auch die restriktive Einladungspolitik.

Kurz vor Beginn des beAthon äußerte sich der Softwarelieferant Atos dann doch – via Pressemitteilung. Darin hieß es, man habe der BRAK eine neue Version der beA Client-Anwendung zur Verfügung gestellt. „Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig.“ Die Entscheidung über die erneute Inbetriebnahme des Systems liege bei der BRAK.

Obwohl die neue Client-Version also vorlag, wurde sie beim beAthon weder präsentiert noch getestet. Auch die beA-Anwendung wurde wie angekündigt ohne Blick unter die Motorhaube bewertet. Letztlich war die Veranstaltung daher eine Fortsetzung der bisherigen Diskussion in neuer Runde, diesmal freilich auf Initiative und unter Beteiligung der BRAK.

Erster Tagesordnungspunkt: Die Spielregeln. Der beAthon sollte sich ganz auf die Fragen fokussieren, ob und wie das Postfach in seiner jetzigen Ausgestaltung wieder online gehen kann sowie welche Anforderungen und Vorstellungen es über die rechtlichen Vorgaben hinaus für die Weiterentwicklung des beA gibt (später sowohl als beA+ oder beA 2.0 bezeichnet, wobei unklar blieb, ob es sich dabei um eine Weiterentwicklung des bisherigen Systems oder ein ganz neues Konzept handeln soll). Ein kritischer Rückblick sowie finanzielle, vertragliche und organisatorische Fragen rund um das beA sollten nicht thematisiert werden. Auch wie aus der Veranstaltung informiert und berichtet werden darf, wurde eingangs geklärt.

Nach den Formalitäten ging es um die Technik, zunächst um die neue Client-Anwendung. Sie wurde auf Grundlage der Beschreibung von Atos für grundsätzlich tauglich befunden, die vorherige Sicherheitslücke zu schließen. „Das Zertifikatsproblem könnte so, wenn es gut gemacht ist, gelöst sein“, sagte Markus Drenger vom CCC. Dies sei aber nur eine erste Einschätzung.

Breiten Raum nahmen andere Sicherheitsprobleme im Zusammenhang mit der beA Client Security ein, zu denen sich Atos in seiner Pressemitteilung nicht äußerte. So sind Anwälte durch die Nutzung dieser Anwendung als solche erkennbar und damit leicht als besonderes Angriffsziel identifizierbar. Die BRAK erklärte hierzu, dass sie das Erkennen des Client Security von außen bisher für akzeptabel hielt. Zumal es im bisherigen Betrieb des beA keine Probleme damit gegeben habe. Eine Tarnung der Client Security hatte sie deshalb auch nicht auf der Agenda. Man habe das Problem aber verstanden und Atos für die Zukunft mit einer Lösung beauftragt. Mehrere IT-Experten bezweifelten allerdings, dass sich das Problem beim derzeitigen Systemdesign beheben lässt.

Für Betriebsamkeit im beAthon sorgte Markus Drenger mit seinen Ausführungen zu einem weiteren Sicherheitsrisiko. Die gegenwärtig bei den Anwälten installierte Client Security könne eine Lücke für externe Angriffe auf die Anwaltsrechner darstellen, sagte er. Noch aus der Sitzung heraus wurde bei Atos nachgefragt, ob das Problem bestätigt werden könne. Der Dienstleister sah offenbar keine Sicherheitslücke, weil die Client Security nicht laufe, solange die beA-Anwendung offline sei. Ein Ad-hoc-Test von mehreren Teilnehmern an ihren Laptops bestätigte hingegen aus deren Sicht die Sicherheitsbedenken. Die BRAK folgte daher dem dringenden Rat von Drenger & Co., den Anwälten umgehend eine Deaktivierung der bisherigen Client Security zu empfehlen. Die Pressemitteilung der BRAK zum beAthon von Freitagabend enthält bereits diesen Hinweis. Wichtig für die Zukunft des beA: Die IT-Experten gaben mehrheitlich zu Protokoll, dass sich die jetzige Sicherheitslücke gut beheben lässt.

Ein weiterer Kritikpunkt waren erneut das HSM und die Verschlüsselung. Die IT-Experten hielten der BRAK erneut vor, dass es sich entgegen der Kommunikation durch die Kammer nicht um eine Ende-zu-Ende-Verschlüsselung handelt. Das sah die BRAK anders, wobei sie ein anderes Verständnis des „nicht geschützten Begriffs“ der Ende-zu-Ende-Verschlüsselung offenbarte. „Durchgängig verschlüsselt“ hält sie für Ende-zu-Ende verschlüsselt. Man werde die Kommunikation hierzu aber vertrauensbildend prüfen. Die IT-Experten bestätigten ein hohes Sicherheitsniveau („Industriestandard“), insbesondere die Anwälte Matthias Bergt und Marcus Werner forderten aber eine echte Ende-zu-Ende-Verschlüsselung, wenn diese umsetzbar sei. Die BRAK bezweifelte die Machbarkeit, die IT-Experten bejahten sie.

Weitere von Markus Drenger aufgelistete Mängel wurden als „Risiken und Nebenwirkungen“ kurz abgehandelt. Mit dem Ergebnis: Alles nicht schön, kriegen wir aber in den Griff. Die BRAK will dabei den beim beAthon begonnenen Sicherheitsdialog fortsetzen. Die Forderung nach Open Source bleibt aber – zumindest vorerst – unerfüllt. Vor dem Go Live sei dies „tendenziell nicht vorgesehen“, so die Kammer, wollte dies für einen späteren Zeitpunkt aber nicht ausschließen.

Am Ende stand die Frage nach dem weiteren Fahrplan. Antwort: Es bleibt bei dem bisherigen. Die Firma secunet wird im Auftrag der BRAK die neue Client Security, die Sicherheitsarchitektur des beA-Gesamtsystems und weitere Sicherheitsfeatures prüfen (ob das Gutachten veröffentlicht wird, steht nach Auskunft der BRAK noch nicht fest). Geben die Sachverständigen grünes Licht, soll die Inbetriebnahme in zwei Phasen erfolgen. Zunächst wird den Anwälten die Client Security zur Verfügung gestellt, nach einer Vorlaufzeit von etwa zwei Wochen folgt dann das Go Live der beA-Anwendung. Zu einem konkreten Zeitplan wollte sich die BRAK nicht äußern. Die Zukunft des beA bleibt daher weiter ungewiss. Um die Zeit bis dahin zu überbrücken, wird der EGVP-Client nicht – wie bisher vorgesehen – am 14.2.2018 abgeschaltet.



Copyright © Verlag C. H. Beck 1995-2018
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des Verlages.