Beson­deres elektro­ni­sches Anwalts­postfach

Was ist eigentlich beim „beAthon“ passiert? Tipp: beA-Client-Security deinstal­lieren

Nachdem die BRAK das beA kurz vor Weihnachten 2017 aufgrund von Sicher­heits­pro­blemen abgeschaltet hatte, wollte sie am 26. Januar 2018 beim „beAthon“ Wege zur Lösung der Probleme präsentieren. Erste Sofortmaßnahme: Die beA-Client-Security sollte auf Kanzlei­rechnern deinstal­liert oder aus dem Autostart entfernt werden. Die Veran­staltung fiel anders aus als geplant, da der zuständige IT-Dienst­leister Atos die Teilnahme für sich und seinen Subun­ter­nehmer Gover­nikus kurzfristig abgesagt hatte.

 

Vorgesehen war nun, dass im Rahmen der „beAthon“ getauften Veranstaltung ein Fragenkatalog zur  Übergabe an den Dienstleister Atos erarbeitet werden sollte. Schon aus der Pressemitteilung ließ sich entnehmen, dass die BRAK eine Teilnahme von Atos eigentlich erwartet hätte (das Anwaltsblatt berichtete). Letztlich wurde die Abwesenheit von einem Teil der 23 Teilnehmer (darunter auch ein Vertreter des Bundesjustizministeriums) aber sogar positiv bewertet, da so eine sachliche, konstruktive Diskussion entstanden sei, ohne von Verteidigungsmanövern gebremst zu werden. Tatsächlich war die Atmosphäre von Offenheit, Respekt und der Bereitschaft zuzuhören geprägt. „Es war eine gute, sachliche und konstruktive Veranstaltung“, sagte Rechtsanwalt und Diplom-Informatiker Dr. Marcus Werner aus dem DAV-Ausschuss Elektronischer Rechtsverkehr nach dem „beAthon“. Die BRAK kündigte am Ende des Nachmittags an, den Dialog fortsetzen zu wollen und verwendete ebenfalls das Bild des „Marathons“, wie schon DAV-Präsident Schellenberg bei der Podiums-Diskussion unter dem Motto „beA – Wie geht es weiter?“ am Montag (22. Januar 2018).

Wie ist das von Atos vorge­legte Update der beA-Client-Security zu beurteilen?

Auch in Abwesenheit von Atos wurde natürlich über den französischen Konzern gesprochen. Schließlich hatte der IT-Dienstleister über LTO eine Presseerklärung verbreitet, dass er eine neue Version des Clients bereitgestellt habe. Darin heißt es, dass Sicherheit und Integrität wiederhergestellt seien und das System in der aktuell vorliegenden Ausbaustufe voll einsatzfähig sei. Durch ein lokales Zertifikat in der beA-Client-Security sei der „Schutz gegen den missbräuchlichen Schutz des Zertifikats massiv erhöht“ worden. Den Teilnehmern des „beAthons“ stand zudem noch eine grafische Darstellung der technischen Lösung für das am 22. Dezember 2017 öffentlich gemachte Zertifikats-Problem zur Kommunikation zwischen Browser und beA-Client zur Verfügung. Die anwesenden Experten vom Chaos Computer Club schätzen die von Atos jetzt vorgestellte Lösung als grundsätzlich geeignet ein – „wenn sie ordentlich gemacht ist“. Insofern ist also Warten auf weitere Informationen und Testergebnisse angesagt.

Die Veran­staltung war damit aller­dings noch nicht beendet, denn schließlich hatte Markus Drenger vom Chaos Darmstadt e.V. eine lange Liste mit weiteren Problemen und Frage­stel­lungen mit nach Berlin gebracht. Diese betrafen sowohl das beA selbst wie auch andere Kompo­nenten der EGVP-Infra­struktur, über die der elektro­nische Rechts­verkehr in Deutschland abgewi­ckelt wird. Nicht zuletzt entbrannte zur Frage der Ende-zu-Ende-Verschlüsselung eine ausführliche Diskussion. Denn beim beA wird ein Hardware-Security-Modul zur Umschlüsselung von Nachrichten verwendet. Das wieder­spricht jeden­falls der „reinen Lehre“ von Ende-zu-Ende-Verschlüsselung. Die Meinungen darüber, ob das dennoch hinrei­chend sicher sei, gingen weit ausein­ander … Der DAV-Vertreter Marcus Werner warb für den Gedanken, um das Vertrauen in das beA wieder­her­stellen, die Ende-zu-Ende-Verschlüsselung in der Zukunft ohne Abstriche umzusetzen.


Zurück