DAV legt Initiativstellungnahme zum beA-Sicherheitsgutachten vor

Der Deutsche Anwaltverein (DAV) hat eine Initiativstellungnahme zu dem von der Bundesrechtsanwaltskammer (BRAK) veröffentlichten Gutachten der secunet Security Networks AG (secunet) abgegeben. Das Gutachten lässt nach Ansicht des DAV Fragen offen, die wichtige Punkte der IT-Sicherheit des beA-Systems betreffen. Mit der Initiativ-Stellungnahme soll eine erste Einschätzung des Gutachtens vor der Konferenz der Präsidenten der örtlichen Rechtsanwaltskammern am 27.06.2018 abgegeben werden, um die dort erforderliche sachliche Analyse der Situation zu unterstützen.

DAV fordert umfassendes Sicherheitskonzept

Aus dem Gutachten ergibt sich nach Ansicht des DAV, dass vor einer Wiederinbetriebnahme des beA folgende Anforderungen an die IT-Sicherheit des beA realisiert werden sollten: Es muss ein umfassendes Sicherheitskonzept für das beA erstellt werden, welches in wesentlichen Teilen veröffentlicht wird. Dies gelte auch für die zu Grunde liegende Kryptographie, denn nach dem Kerckhoffs-Prinzip gelte, dass Verschlüsselungsverfahren nicht geheim gehalten werden sollten. Der DAV vermutet, dass dieses Sicherheitskonzept, welches auch die “Schnittstellen“ zu den Rechtsanwaltskammern erfassen muss, nicht vor September 2018 erstellt und veröffentlicht werden kann. Bezüglich des Client sollten nicht nur Schwachstellen der Kategorie A, sondern auch solche der Kategorie B beseitigt werden.

Sicherheit vor Schnelligkeit

Nach dem Grundsatz “Sicherheit vor Schnelligkeit“, den auch die BRAK propagiere, müsse sichergestellt werden, dass auch Schwachstellen, die mit einer gewissen Wahrscheinlichkeit den Betrieb der Postfächer nicht verhindern, aber behindern können, beseitigt worden sind, bevor das Postfach wieder in Betrieb genommen wird. Auch die übrigen Systembestandteile dürften erst wieder in Betrieb genommen werden, wenn alle Fehler, die betriebsverhindernd oder -behindernd sind, beseitigt worden sind. Die Beseitigung aller Fehler der Kategorie A und B solle durch eine erneute Begutachtung der secunet bestätigt wurden.

Zeitplan den tatsächlichen Notwendigkeiten anpassen

Der im Schreiben des Präsidenten der BRAK vom 20.06.2018 vorgestellte, nach Auffassung des DAV nicht realisierbare Zeitplan müsse den tatsächlichen Notwendigkeiten angepasst werden. Es könne sinnvolle Gründe geben, den beA-Security-Client bald nach der geplanten Veröffentlichung am 04.07.2018 zu installieren, wenn bis dahin alle den Client betreffende Schwachstellen der Kategorie A beseitigt wurden. Es sei aber zu erwarten, dass mit dem Betrieb der beA-Postfächer abgewartet werde, bis die weitere Entwicklung sicher abgeschätzt werden könne. Auch für “Early Adopter“, Verantwortliche in Rechtsabteilungen oder größeren Kanzleien, die eine Vielzahl von Postfächern einrichten müssen, und für die Justiz müsse gewährleistet sein, dass der weitere Zeitplan der BRAK nachvollziehbar, realistisch und zuverlässig ist.

DAV will vor Neustart einmonatigen Zeitpuffer zur Überprüfung

Der vorgestellte Zeitplan habe eine wesentliche Schwäche, denn die BRAK kündige an, dass secunet bis zum 02.09.2018 die Möglichkeit habe, der BRAK mitzuteilen, dass die im Gutachten bezeichneten Fehler beseitigt worden sind. Die BRAK kündige aber nicht an, wie sie verfahren werde, wenn am 02.09.2018 die Bestätigung der secunet nicht oder nicht vollständig vorliegen sollte. Der DAV fordert daher, dass das beA-System erst einen Monat nach der Mitteilung von secunet, dass alle betriebsver- und behinderten Fehler beseitigt worden sind, wieder online gehen sollte. So habe die BRAK die Möglichkeit, die Wiederinbetriebnahme des beA aus nachvollziehbaren sachlichen und transparenten Gründen möglicherweise zu verschieben, ohne dass die weiteren Beteiligten weitere verlorene Investitionen tätigen müssen, weil stets ein sicherer Ankündigungszeitraum von einem Monat verbleiben würde. Hinzu komme, dass die von secunet aufgestellten konkreten Forderungen an die IT-Sicherheit von beA umgesetzt und deren Einhaltung überprüft werden müssen. Dies werde vermutlich nicht vor dem September 2018 abgeschlossen sein.

Sicherheitsniveau soll regelmäßiger Kontrolle unterzogen werden

Das Gutachten hält es für unerlässlich, das beA-System auch zukünftig regelmäßig einem Sicherheits-Audit zu unterziehen. Es sei daher selbstverständlich, dass auch ein jetzt erreichtes Sicherheitsniveau (nach der Beseitigung der Schwachstellen) regelmäßiger Kontrolle unterzogen werden müsse. Die erforderlichen Audits sollten dem noch zu schaffenden Fachbeirat übertragen werden, an dem nicht nur Rechtsanwältinnen und Rechtsanwälte beteiligt werden sollten. Der DAV unterstützt zudem die Forderung der BRAK, den beA-Postfächern die Rolle “buerger-rueck“ solange wieder zu entziehen, bis eine Authentifizierung der Inhaber der EGVP-Postfachinhaber etabliert wurde. Darüber hinaus hat der DAV der BRAK einen Fragenkatalog zum Gutachten von secunet vorgelegt und sie gebeten, diesen zeitnah zu beantworten.

Redaktion beck-aktuell, 26. Juni 2018.

Mehr zum Thema

Aus der Datenbank beck-online

Löschhorn, Pflicht zur Nutzung des besonderen elektronischen Anwaltspostfachs (beA) und zur anwaltlichen Verschwiegenheit, MMR 2018, 204

Siegmund, Das beA von A bis Z, NJW 2017, 3134

Aus dem Nachrichtenarchiv

Anwälte klagen gegen BRAK auf sicheres beA, Meldung der beck-aktuell-Redaktion vom 18.06.2018, becklink 2010180

BRAK: Abschlussbericht zum beA muss nachgebessert werden, Meldung der beck-aktuell-Redaktion vom 06.06.2018, becklink 2010070

BRAK: Gutachten zum beA kommt Ende Mai 2018, Meldung der beck-aktuell-Redaktion vom 21.05.2013, becklink 2010009

beA bis mindestens Mitte Mai offline, Meldung der beck-aktuell-Redaktion vom 03.04.2018, becklink 2009497

BRAK: Elektronisches Anwaltspostfach soll zeitnah wieder online gehen, Meldung der beck-aktuell-Redaktion vom 10.01.2018, becklink 2008763

Besonderes elektronisches Anwaltspostfach: DAV fordert Überprüfung der Sicherheitsarchitektur, Meldung der beck-aktuell-Redaktion vom 09.01.2018, becklink 2008750

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.