Kann die beA-Kommunikation durch die BRAK oder Dienstleister entschlüsselt werden?
Die Fragesteller (BT-Drs. 19/25561) wollten von der Bundesregierung unter anderem wissen, ob es nach ihrer Kenntnis zutrifft, dass die BRAK beziehungsweise ihre technischen Dienstleister rein technisch jede Nachricht entschlüsseln können.
beA-Einrichtung Aufgabe der BRAK
Die Bundesregierung weist in ihrer Antwort (BT-Drs. 19/25999) zunächst darauf hin, dass die Einrichtung des beA der BRAK als Selbstverwaltungsorgan der Rechtsanwaltschaft übertragen wurde. Die BRAK habe dabei insbesondere die unter anderem in der BRAO festgelegten rechtlichen und technischen Anforderungen zu beachten. Dem Bundesjustizministerium komme insoweit nach der BRAO lediglich eine Staatsaufsicht über die BRAK zu, die auf die Beachtung der gesetzlichen und satzungsrechtlichen Vorschriften und insbesondere die Erfüllung der der BRAK übertragenen Aufgaben beschränkt sei.
Bundesregierung sieht kein Sicherheitsrisiko durch neuen Betreiber
Weiter wird auf die Sicherheitsüberprüfung anlässlich des Wechsels der Betreiberin des beA von der Atos Information Technology GmbH zur Wesroc GbR (secuvera-Gutachten) sowie auf eine grundlegende IT-Sicherheitsprüfung zum beA (secunet-Gutachten) verwiesen. Das anlässlich des Wechsels erstellte Gutachten habe in dem Betriebsübergang kein Risiko für die Sicherheit des beA gesehen.
Entschlüsselungsrisiko als "akzeptabel" einzuschätzen
Aus der Sicht der Bundesregierung ist ferner das Risiko einer Entschlüsselung der über das beA laufenden Kommunikation, das aus dem beA-Konzept einer Umverschlüsselung in einem Hardware-Sicherheitsmodul (HSM) resultiert, in Übereinstimmung mit der Einschätzung des secunet-Gutachtens als "akzeptabel" anzusehen. Sie verweist dabei auf die im Übrigen getroffenen Sicherheitsmaßnahmen (unter anderem Teilung der Master-Schlüssel, getrennte Verwahrung der Schlüsselteile, nur beschränkter Zugriff spezifischer BRAK-Mitarbeiter).