• IT-Karriere:
  • Services:

Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Artikel veröffentlicht am , Hanno Böck
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel.
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel. (Bild: Bundesrechtsanwaltskammer)

Muss die Kommunikation zwischen Gerichten und Rechtsanwälten Ende-zu-Ende-verschlüsselt sein? Diese Frage will eine Gruppe von Anwälten nun gerichtlich klären lassen. Wie die Gesellschaft für Freiheitsrechte mitteilt, hat sie heute eine entsprechende Klageschrift gegen die Bundesrechtsanwaltskammer (Brak) beim Anwaltsgerichtshof Berlin eingereicht. Das sogenannte besondere elektronische Anwaltspostfach (BeA), das seit Dezember letzten Jahres wegen Sicherheitslücken offline ist, nutzt bislang keine Ende-zu-Ende-Verschlüsselung.

Stellenmarkt
  1. Schock GmbH, Regen
  2. ING-DiBa AG, Frankfurt

Das BeA soll die Kommunikation zwischen Rechtsanwälten und Gerichten absichern. Theoretisch müssen Rechtsanwälte das BeA seit Anfang 2018 einsetzen. Allerdings ist es zur Zeit offline. Der Grund dafür ist eine ganze Reihe von Sicherheitsproblemen, an deren Aufdeckung auch Golem.de beteiligt war. Golem.de wird auch mehrfach in der Klageschrift zitiert.

Die Gesellschaft für Freiheitsrechte hatte eine entsprechende Klage bereits im März angekündigt und seitdem dafür Spenden gesammelt.

Privater Schlüssel ist Teil der Serverinfrastruktur

In der Diskussion um die Sicherheitslücken im BeA wurde auch die Verschlüsselung des Systems in Frage gestellt. Zwar behauptete die Brak, dass es sich dabei um ein Ende-zu-Ende-verschlüsseltes System handele, aber das stimmte nicht. Nachrichten im BeA werden mit einem Postfachschlüssel verschlüsselt, der sich in einem Hardware-Sicherheitsmodul (HSM) befindet. Das HSM ist Teil der Serverinfrastrutur des BeA. Im HSM findet dann eine "Umschlüsselung", wie die Brak es nennt, mit dem Schlüssel des eigentlichen Empfängers statt.

Inzwischen hat auch die Brak eingestanden, dass es sich bei dieser Konstruktion nicht um eine Ende-zu-Ende-Verschlüsselung handelt. Doch eine Änderung der Architektur ist zumindest vorläufig nicht geplant.

Die klagenden Anwälte sind der Ansicht, dass sich aus den bestehenden gesetzlichen Regelungen ein Zwang zur Ende-zu-Ende-Verschlüsselung ergibt. Direkt steht das jedoch in keinem Gesetz.

An mehreren Stellen ist in den entsprechenden gesetzlichen Regelungen von einem sicheren Übertragungsweg die Rede. Ob damit eine Ende-zu-Ende-Verschlüsselung gefordert ist, dürfte strittig sein. Ein Satz aus der Zivilprozessordnung klingt jedoch relativ eindeutig: Dort heißt es in Paragraph 174: "Das Dokument ist auf einem sicheren Übermittlungsweg [...] zu übermitteln und gegen unbefugte Kenntnisnahme Dritter zu schützen." Dass ein Schutz vor Dritten nur gegeben ist, wenn lediglich der Empfänger und der Absender die Nachricht lesen können, scheint nachvollziehbar.

Bei der HSM-Konstruktion des BeA muss man davon ausgehen, dass der Serverbetreiber mit einigem Aufwand in der Lage wäre, Nachrichten mitzulesen. Dass ein Schutz gegen Dritte nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden kann, sah offenbar auch der Bundestag so. Das geht aus der Begründung der entsprechenden Gesetzesänderung hervor.

Sicherheitsaudit liegt vor, wird aber nicht veröffentlicht

Von Seiten der Brak war zuletzt zu hören, dass inzwischen der Abschlussbericht eines Sicherheitsaudits durch die Firma Secunet vorliege. Die Anwaltskammer hatte diesen Audit nach den zahlreichen Sicherheitsproblemen in Auftrag gegeben.

Doch offenbar war man bei der Anwaltskammer mit dem Ergebnis des Audits nicht zufrieden. In einem Rundschreiben heißt es, "dass bei der schriftlichen Darstellung der Aussagen und Bewertungen von Secunet Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad besteht." Ein früherer Sicherheitsaudit, der von der Firma SEC Consult durchgeführt wurde und bei dem offenbar zahlreiche gravierende Sicherheitslücken übersehen wurden, wurde nie öffentlich gemacht. In öffentlichen Äußerungen hatte die Rechtsanwaltskammer für die Zukunft des BeA mehr Transparenz versprochen. Doch bislang ist davon wenig zu spüren. Der von Secunet durchgeführte Audit ist bislang ebenfalls nicht veröffentlicht worden. Auch ein Zwischengutachten, das bereits seit April vorliegt, wollte die Brak nicht herausgeben.

Der Autor dieses Texts hat die Herausgabe sowohl des alten als auch des neuen Audits nach dem Informationsfreiheitsgesetz beantragt. Doch alle entsprechenden Anfragen wurden bislang abgelehnt oder nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 96,51€

FreiGeistler 20. Jun 2018

Whatsapp hat im Prinzip nur Übertragungsverschlüsselung. Als solche ist sie aber sicher, ja.

chefin 18. Jun 2018

Ende zu Ende funktioniert nur leider nicht in diesem Zusammenhang. Den es muss...

Sharra 18. Jun 2018

Wenn sich Anwälte jetzt mit der eigenen Kammer prügeln, weil diese, nachweislich, von A-Z...

Haze95 18. Jun 2018

Der hat das letzte Mal auch so gut geholfen. Der Staat war danach auch Auskunftfreudiger ;)


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Sono Motors: Wie der E-Autohersteller durch die Krise kommen will
Sono Motors
Wie der E-Autohersteller durch die Krise kommen will

Die Crowdfunding-Kampagne kam zur richtigen Zeit. Mit dem Geld hat das Elektroauto-Startup Sono Motors die Coronakrise bisher gut überstanden.
Ein Bericht von Werner Pluta

  1. Soundcloud-Gründer Das eigene E-Bike für 59 Euro im Monat
  2. Kuberg Elektrisches Dirt Bike mit Anhänger vorgestellt
  3. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


      •  /