Besonderes elektronisches Anwaltspostfach

Was ist eigentlich beim „beAthon“ passiert? Tipp: beA-Client-Security deinstallieren

Nachdem die BRAK das beA kurz vor Weihnachten 2017 aufgrund von Sicherheitsproblemen abgeschaltet hatte, wollte sie am 26. Januar 2018 beim „beAthon“ Wege zur Lösung der Probleme präsentieren. Erste Sofortmaßnahme: Die beA-Client-Security sollte auf Kanzleirechnern deinstalliert oder aus dem Autostart entfernt werden. Die Veranstaltung fiel anders aus als geplant, da der zuständige IT-Dienstleister Atos die Teilnahme für sich und seinen Subunternehmer Governikus kurzfristig abgesagt hatte.

 

Vorgesehen war nun, dass im Rahmen der „beAthon“ getauften Veranstaltung ein Fragenkatalog zur  Übergabe an den Dienstleister Atos erarbeitet werden sollte. Schon aus der Pressemitteilung ließ sich entnehmen, dass die BRAK eine Teilnahme von Atos eigentlich erwartet hätte (das Anwaltsblatt berichtete). Letztlich wurde die Abwesenheit von einem Teil der 23 Teilnehmer (darunter auch ein Vertreter des Bundesjustizministeriums) aber sogar positiv bewertet, da so eine sachliche, konstruktive Diskussion entstanden sei, ohne von Verteidigungsmanövern gebremst zu werden. Tatsächlich war die Atmosphäre von Offenheit, Respekt und der Bereitschaft zuzuhören geprägt. „Es war eine gute, sachliche und konstruktive Veranstaltung“, sagte Rechtsanwalt und Diplom-Informatiker Dr. Marcus Werner aus dem DAV-Ausschuss Elektronischer Rechtsverkehr nach dem „beAthon“. Die BRAK kündigte am Ende des Nachmittags an, den Dialog fortsetzen zu wollen und verwendete ebenfalls das Bild des „Marathons“, wie schon DAV-Präsident Schellenberg bei der Podiums-Diskussion unter dem Motto „beA – Wie geht es weiter?“ am Montag (22. Januar 2018).

Wie ist das von Atos vorgelegte Update der beA-Client-Security zu beurteilen?

Auch in Abwesenheit von Atos wurde natürlich über den französischen Konzern gesprochen. Schließlich hatte der IT-Dienstleister über LTO eine Presseerklärung verbreitet, dass er eine neue Version des Clients bereitgestellt habe. Darin heißt es, dass Sicherheit und Integrität wiederhergestellt seien und das System in der aktuell vorliegenden Ausbaustufe voll einsatzfähig sei. Durch ein lokales Zertifikat in der beA-Client-Security sei der „Schutz gegen den missbräuchlichen Schutz des Zertifikats massiv erhöht“ worden. Den Teilnehmern des „beAthons“ stand zudem noch eine grafische Darstellung der technischen Lösung für das am 22. Dezember 2017 öffentlich gemachte Zertifikats-Problem zur Kommunikation zwischen Browser und beA-Client zur Verfügung. Die anwesenden Experten vom Chaos Computer Club schätzen die von Atos jetzt vorgestellte Lösung als grundsätzlich geeignet ein – „wenn sie ordentlich gemacht ist“. Insofern ist also Warten auf weitere Informationen und Testergebnisse angesagt.

Die Veranstaltung war damit allerdings noch nicht beendet, denn schließlich hatte Markus Drenger vom Chaos Darmstadt e.V. eine lange Liste mit weiteren Problemen und Fragestellungen mit nach Berlin gebracht. Diese betrafen sowohl das beA selbst wie auch andere Komponenten der EGVP-Infrastruktur, über die der elektronische Rechtsverkehr in Deutschland abgewickelt wird. Nicht zuletzt entbrannte zur Frage der Ende-zu-Ende-Verschlüsselung eine ausführliche Diskussion. Denn beim beA wird ein Hardware-Security-Modul zur Umschlüsselung von Nachrichten verwendet. Das wiederspricht jedenfalls der „reinen Lehre“ von Ende-zu-Ende-Verschlüsselung. Die Meinungen darüber, ob das dennoch hinreichend sicher sei, gingen weit auseinander … Der DAV-Vertreter Marcus Werner warb für den Gedanken, um das Vertrauen in das beA wiederherstellen, die Ende-zu-Ende-Verschlüsselung in der Zukunft ohne Abstriche umzusetzen.


Zurück