DAV legt erneut Initiativstellungnahme zum beA vor

Der Deutsche Anwaltverein (DAV) bekräftigt in einer erneuten Initiativstellungnahme (37/2018) zum besonderen elektronischen Anwaltspostfach (beA) seine bereits früher geäußerte Ansicht, dass auch Schwachstellen, die mit einer gewissen Wahrscheinlichkeit den Betrieb der Postfächer nicht ver-, aber behindern können, beseitigt werden, bevor das Postfach wieder in Betrieb genommen wird. Im Ergebnis rät der DAV dazu, die Wiederinbetriebnahme des beA zu verschieben.

Rechtsanwaltskammern können Wiederinbetriebnahme widersprechen

Hintergrund der aktuellen Stellungnahme des DAV ist ein Schreiben des Präsidenten der Bundesrechtsanwaltskammer, Ekkehart Schäfer, vom 27.07.2018, das die Präsidenten der Rechtsanwaltskammern davon in Kenntnis setzt, dass eine Schwachstelle, die den Zugriff auf sämtliche über das beA versandte Nachrichten möglich machen soll, nicht bis zum 03.09.2018 behoben werden soll. Denn das neu zu implementierende Verfahren, mit dem die zur Verschlüsselung erforderliche Mindestlänge von Nachrichten oder die erforderliche Länge von Datenblöcken erreicht wird (OAEP-Verfahren), könne nicht so rechtzeitig eingeführt werden, dass das EGVP-Projektbüro die justizinterne Frist von sechs bis acht Wochen zum Testen der neuen EGVP-Version vor der verpflichtenden Inbetriebnahme einhalten kann. Das Schreiben schlage den Präsidenten der Rechtsanwaltskammern vor, den Beschluss vom 27.06.2018 abzuändern und das beA trotz des angreifbaren Verschlüsselungsverfahrens am 03.09.2018 wieder in Betrieb zu nehmen. Widersprechen fünf oder mehr Rechtsanwaltskammern diesem Vorschlag, solle am 13.08.2018 eine außerordentliche Präsidentenkonferenz stattfinden.

DAV fordert: "Sicherheit vor Schnelligkeit"

Das Gutachten der Firma secunet Security Networks AG beschreibt laut DAV einerseits bei dieser Schwachstelle eine hohe Bedrohung der Vertraulichkeit der anwaltlichen Kommunikation über das beA, schätzt die Gesamtbedrohung andererseits aber wegen der niedrigen Ausnutzbarkeit des Fehlers, da die Schwachstelle nur von einem Innentäter ausgenutzt werden könne, als betriebsbehindernden ein. In seiner (Initiativ-) Stellungnahme 28/18 habe der DAV gefordert, dass nach dem Grundsatz "Sicherheit vor Schnelligkeit" sichergestellt sein muss, dass auch Schwachstellen, die mit einer gewissen Wahrscheinlichkeit den Betrieb der Postfächer nicht verhindern, aber behindern können, beseitigt werden, bevor das Postfach wieder in Betrieb genommen wird. Nach Auffassung des DAV müssen also neben den betriebsverhindernden auch alle betriebsbehindernden Schwachstellen, nicht nur in dem Security Client beseitigt werden.

Gutachten bleibt in vielen Punkten vage

Die technische Beurteilung der im secunet-Gutachten unter 4.5.3 beschriebenen Schwachstelle bei dem Auffüllen von Daten bei Verschlüsselung mit dem Padding-Algorithmus sei dem DAV zurzeit nicht möglich. Das Gutachten bleibe insoweit vage. Unklar sei, was genau dort verschlüsselt werde. Nicht deutlich beschrieben werde auch, warum diese Schwachstelle nur durch einen Innentäter ausgenutzt werden könne. Immerhin sei die Kommunikation mit der Infrastruktur des EGVP (elektronisches Gerichts- und Verwaltungspostfach) betroffen. Der DAV habe aber keine Bedenken, der gutachterlichen Einschätzung zu vertrauen und anzunehmen, dass diese Schwachstelle tatsächlich nur durch einen Innentäter ausgenutzt werden könne.

Nur kurzfristige Verzögerung erforderlich

Auch wenn offenbar der unsichere Padding-Algorithmus nach der Wiederinbetriebnahme der Postfach-Infrastruktur am 03.09.2018 nur kurze Zeit genutzt werden müsse, bis der sicherere Optimal Asymmetric Encryption Padding (OAEP) genutzt werden könne, fordert der DAV, die Implementierung des OAEP sowohl beA-seitig als auch nach Abschluss der Tests justizseitig abzuwarten. Nach den Angaben des EGVP-Projektbüros, wie sie in einem Beitrag der F.A.Z. "Einspruch" vom 28.07.2018 wiedergegeben werden, werde die Wiederinbetriebnahme der beA-Infrastruktur nur für kurze Zeit verzögert werden.

Ausfall des elektronischen Rechtsverkehrs verhindern

Nicht ohne Grund sähen justizinterne Regelungen vor, dass neue Softwareversionen vor ihrer verpflichtenden Verwendung im zeitlichen Umfang von sechs bis acht Wochen getestet werden sollen. Nur durch eine solche Testphase sei sichergestellt, dass die neue Softwareversion tatsächlich funktionsfähig ist. Dies müsse gerade im Hinblick darauf gelten, dass mit der Wiederinbetriebnahme der beA-Infrastruktur sicher zu erwarten sei, dass die Systeme des elektronischen Rechtsverkehrs in einem deutlich größeren Umfang als bisher genutzt werden. Jetzt erst mit dem "alten" Padding-Verfahren zu starten, um dann im laufenden Betrieb nach Abschluss der Testphase auf den OAEP umzustellen, berge das Risiko, dass es zu Fehlern in der Kommunikation und damit schlussendlich zu einem vorübergehenden Ausfall des elektronischen Rechtsverkehrs kommen kann.

Vertrauensverlust in Systeme elektronischen Rechtsverkehrs entgegenwirken

Entgegen der Erwartung des EGVP-Projektbüros käme weder die Justiz noch die Bundesrechtsanwaltskammer hinsichtlich des weiteren kurzen Verschiebens der Wiederinbetriebnahme in Erklärungsnot. Angesichts der beschriebenen Schwachstelle, die ein hohes Risiko für die Vertraulichkeit der verschlüsselten Daten darstelle, erwartet der DAV, dass die Wiederinbetriebnahme des Systems mit dieser Schwachstelle zu einem weiteren Vertrauensverlust in die Systeme des elektronischen Rechtsverkehrs führen kann. Im Übrigen bleibe es bei den mit der Stellungnahme 28/18 aufgezeigten Forderungen. Der DAV bittet die Bundesrechtsanwaltskammer insoweit auch, die zur Konkretisierung des Gutachtens gestellten Fragen zu beantworten.

Redaktion beck-aktuell, 1. August 2018.

Mehr zum Thema

Zum Thema im Internet

Die Stellungnahme 37/2018 im Volltext finden Sie als pdf-Datei auf der Internetseite des DAV.

Aus der Datenbank beck-online

Löschhorn, Pflicht zur Nutzung des besonderen elektronischen Anwaltspostfachs (beA) und zur anwaltlichen Verschwiegenheit, MMR 2018, 204

Siegmund, Das beA von A bis Z, NJW 2017, 3134

Aus dem Nachrichtenarchiv

BRAK: Installation und Erstregistrierung am beA wieder möglich, Meldung der beck-aktuell-Redaktion vom 04.07.2018, becklink 2010328

DAV legt Initiativstellungnahme zum beA-Sicherheitsgutachten vor, Meldung der beck-aktuell-Redaktion vom 26.06.2018, becklink 2010253

Anwälte klagen gegen BRAK auf sicheres beA, Meldung der beck-aktuell-Redaktion vom 18.06.2018, becklink 2010180

BRAK: Abschlussbericht zum beA muss nachgebessert werden, Meldung der beck-aktuell-Redaktion vom 06.06.2018, becklink 2010070

BRAK: Gutachten zum beA kommt Ende Mai 2018, Meldung der beck-aktuell-Redaktion vom 21.05.2013, becklink 2010009

beA bis mindestens Mitte Mai offline, Meldung der beck-aktuell-Redaktion vom 03.04.2018, becklink 2009497

BRAK: Elektronisches Anwaltspostfach soll zeitnah wieder online gehen, Meldung der beck-aktuell-Redaktion vom 10.01.2018, becklink 2008763

Besonderes elektronisches Anwaltspostfach: DAV fordert Überprüfung der Sicherheitsarchitektur, Meldung der beck-aktuell-Redaktion vom 09.01.2018, becklink 2008750

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.