Atos: Hersteller von Anwaltspostfach will keine Fragen beantworten

Nach den zahlreichen Sicherheitsproblemen des Besonderen elektronischen Anwaltspostfachs (BeA) versucht die Bundesrechtsanwaltskammer, durch die Einbindung externer Experten Vertrauen wiederzugewinnen. Doch der Hersteller der Software, die Firma Atos, hat daran offenbar kein Interesse: An einer Veranstaltung der Rechtsanwaltskammer, auf der über die Sicherheitsprobleme des BeA diskutiert werden soll, will Atos nicht teilnehmen. Zudem soll Atos ein Subunternehmen angewiesen haben, sich ebenfalls nicht an der Veranstaltung zu beteiligen.

Stellenmarkt

1. Junior Softwareentwickler (m/w/d) Java / Webshop/E-Commerce
   ifm electronic GmbH, Essen
2. IT Support (m/w/d) IT Servicedesk und IT Logistik: Schwerpunkt MDM
   Rail Power Systems GmbH, München

Detailsuche

Für kommenden Freitag hat die Bundesrechtsanwaltskammer zum BeAthon eingeladen. Dort sollen die Sicherheitsprobleme des BeA mit unabhängigen IT-Sicherheitsexperten diskutiert werden. Auch der Autor dieses Artikels wurde dazu eingeladen. Der BeAthon soll trotzdem wie geplant stattfinden.

BeAthon ohne den Hersteller Atos

"Wir bedauern die Absage von Atos sehr", sagte dazu der Präsident der Bundesrechtsanwaltskammer, Ekkehart Schäfer. "Gerne hätten wir gemeinsam mit externen Kritikern die von Atos zur Verfügung gestellte Lösung zur Behebung der Problematik in der Verbindung zwischen der BeA-Komponente Client Security und BeA-Webanwendung erörtert und gegebenenfalls weitere Schritte bis zur erneuten Inbetriebnahme des BeA diskutiert."

Das Besondere elektronische Anwaltspostfach ist eine Software, mit der Rechtsanwälte und Gerichte verschlüsselt kommunizieren sollen. Seit 1. Januar 2018 sind Anwälte theoretisch verpflichtet, das BeA zu nutzen, zur Zeit ist es allerdings offline. Der Grund dafür: Kurz vor Weihnachten fand Markus Drenger vom Chaos Computer Club Darmstadt heraus, dass in der Software ein eingebettetes Zertifikat samt privatem Schlüssel vorhanden war. Dieses wurde anschließend durch ein selbstsigniertes Root-Zertifikat ersetzt, was - wie Golem.de aufgedeckt hat - eine noch größere Sicherheitslücke darstellte.

Golem Akademie

1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
   22.–23. März 2022, Virtuell
2. Einführung in Unity: virtueller Ein-Tages-Workshop
   17. Februar 2022, Virtuell

Weitere IT-Trainings

Das BeA hat noch weitere Sicherheitsprobleme. Doch dies einzugestehen, fällt anscheinend auch der Bundesrechtsanwaltskammer immer noch schwer. Während die Probleme mit dem Zertifikat in der jüngsten Pressemitteilung erwähnt sind, fehlt der Hinweis auf die zahlreichen anderen Sicherheitslücken.

Sicherheitsgutachten durch Secunet

Neben dem BeAthon plant die Bundesrechtsanwaltskammer, ein Gutachten in Auftrag zu geben, in dem die Sicherheit überprüft wird. Dieses Gutachten soll von der Firma Secunet erstellt werden.