14. November 2019 | Anwaltsgerichtshof deklariert beA als sicher und ist zugleich Opfer eines Sicherheitsvorfalls

Das besondere elektronische Anwaltspostfach (beA) ist ein Kommunikations-System der Bundesrechtsanwaltskammer (BRAK). Rechtsanwälte müssen es nutzen, um Nachrichten entgegen zu nehmen, ab 2022 sogar, um Klagen einzureichen. Das beA war wegen diverser Sicherheitslücken nicht sicher. Es ist kaum funktionsfähig und noch immer nicht sicher, denn es setzt keine durchgehende Ende-zu-Ende-Verschlüsselung (E2EE) ein. Die eingesetzte Technik schließt nicht sicher aus, dass Dritte mitlesen können. Anwälte, die sichere Kommunikationswege mit Mandanten nutzen, müssen diese Sicherheit bei Einschaltung von Gerichten unterschreiten. Das schädigt das Vertrauen in die anwaltliche Verschwiegenheit.

Gemeinsam mit anderen Kollegen habe ich deshalb Klage beim Anwaltsgerichtshof (AGH) gegen die BRAK erhoben, um die BRAK zur Nutzung von Ende-zu-Ende-Verschlüsselung zu zwingen.

Diese Klage wurde am 14.11.2019 zurückgewiesen – das beA sei sicher genug.

Der Anwaltsgerichtshof stützte sich dabei auf ein Gutachten, dass die BRAK in Auftrag gegeben hatte, Gegnerin in diesem Verfahren.

Im Gutachten der Firma Secunet war eingangs festgestellt worden, dass nicht die tatsächlich eingesetzte Technik vollständig überprüft wurde, es war “nicht möglich, sich von der physikalisch-organisatorischen Sicherheit des beA und der vollständigen Abwehr aller nicht tragbaren Risiken zu überzeugen” (S. 12). Es war eine Analyse nach Dokumentenlage (S.11), die Prüfung beruhte auf Angaben der BRAK. Die Prüfung umfasste nur Stichproben. Dennoch wurden in diesem Teil so erhebliche Sicherheitslücken gefunden, dass das System für neun Monate offline war. Es wurde ohne Testbetrieb und mit Sicherheitslücken wieder in Betrieb genommen, denn Geheimhaltung scheint nicht wichtig. Das Gutachten stellte fest, dass ein geschlossenes Sicherheitskonzept fehlte, bis heute ist nicht bekannt, ob es endlich existiert. Teil eines brauchbaren Sicherheitskonzepts wäre es, die Erstellung der sogenannten privaten Schlüssel der Anwälte durch diese selbst erstellen zu lassen, damit nur diese den Schlüssel haben und kennen. Stattdessen wurden die privaten Schlüssel durch die beauftragte Firma der BRAK erstellt. Die BRAK hat dies nicht beaufsichtigt. Denkbar ist also laut Gutachten, dass “unberechtigt beim Betreiber des beA nach der Erzeugung der Schlüssel vor der Übergabe an den Auftraggeber an einer Stelle eine Kopie erstellt. Dann kann das Personal des Betreibers alleine die Nachrichten entschlüsseln.” (S. 86). Da auch das Rechtsanwaltsregister gehackt werden konnte, stellt sich auch aus anderen Gründen die Frage, ob nur Rechtsanwälte das System nutzen können. Das Gutachten wurde nicht in der eigentlichen Endfassung veröffentlicht und dies auch nicht mit den entscheidenden Anhängen, also inhaltlich nicht überprüfbar. Die BRAK hatte vor der Veröffentlichung eine geänderte Fassung verlangt und verweigert trotz Verurteilung zur Veröffentlichung der Ursprungfassung die Veröffentlichung.

Die Begründung des Urteils kann nicht überzeugen (hier der Wortlaut des URTEILS auf der Seite der BRAK). Wir prüfen nun die (zugelassene) Berufung beim Bundesgerichtshof einzureichen.

Der Anwaltsgerichtshof bedient sich der IT-Technik des Kammergerichts im selben Haus. Das Kammergericht wiederum ist Opfer des größten IT-Sicherheitsvorfalls bei einem Gericht in der Geschichte der Bundesrepublik. Auch da teilweise noch Windows95 eingesetzt wird. Vor 2020 wird das ehrwürdige Kammergericht nicht mehr voll funktionsfähig sein, was in den 500 Jahren seiner Existenz nicht vorgekommen ist.

Deshalb verwundert es auch nicht, dass die digital fortschrittsgläubige Justiz, die den Einsatz wirklich sicherer Technik (wie E2EE oder Linux und andere freie Software) meidet, in Gestalt des AGH noch vor zwei Wochen in eben diesem Verfahren von digitaler Nutzung auf handschriftliche Kommunikation zurückschalten musste. Dies zeigt das handschriftliche Schreiben vom 28.10.2019 zu eben diesem Klageverfahren, das hier abrufbar ist.

Die Sicherheitslage an einem Gericht mag den Einzelnen wenig kümmern, tatsächlich ist viel schlimmer, dass mit dem beA ein sogenannter single-point-of-failure existiert, bei dem theoretisch der gesamte deutsche Rechtsverkehr mitgelesen werden kann.

Anwälte sollten sich bei Ihrer Rechtsanwaltskammer beschweren. Denn diverse Kammerversammlungen hatten beschlossen, die BRAK zur Nutzung von E2EE zu verpflichten.

Mandanten können sich beim Bundesjustizministerium und beim Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Herr Ulrich Kelber, aber auch bei Anwaltsvereinen beschweren.

Herr Kelber hatte noch in diesem Jahr bestätigt, dass die E2EE ein Mindeststandard ist. Er führte wörtlich aus (Zeitstempel 14:52 bis 14:58): „Ende-zu-Ende-Verschlüsselung ist keine tolle, innovative Idee – sie ist ein Mindest-Standard.