Abo
  • Services:

Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Artikel veröffentlicht am , Hanno Böck
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel.
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel. (Bild: Bundesrechtsanwaltskammer)

Muss die Kommunikation zwischen Gerichten und Rechtsanwälten Ende-zu-Ende-verschlüsselt sein? Diese Frage will eine Gruppe von Anwälten nun gerichtlich klären lassen. Wie die Gesellschaft für Freiheitsrechte mitteilt, hat sie heute eine entsprechende Klageschrift gegen die Bundesrechtsanwaltskammer (Brak) beim Anwaltsgerichtshof Berlin eingereicht. Das sogenannte besondere elektronische Anwaltspostfach (BeA), das seit Dezember letzten Jahres wegen Sicherheitslücken offline ist, nutzt bislang keine Ende-zu-Ende-Verschlüsselung.

Stellenmarkt
  1. amedes Medizinische Dienstleistungen GmbH, Hamburg
  2. Robert Bosch GmbH, Abstatt

Das BeA soll die Kommunikation zwischen Rechtsanwälten und Gerichten absichern. Theoretisch müssen Rechtsanwälte das BeA seit Anfang 2018 einsetzen. Allerdings ist es zur Zeit offline. Der Grund dafür ist eine ganze Reihe von Sicherheitsproblemen, an deren Aufdeckung auch Golem.de beteiligt war. Golem.de wird auch mehrfach in der Klageschrift zitiert.

Die Gesellschaft für Freiheitsrechte hatte eine entsprechende Klage bereits im März angekündigt und seitdem dafür Spenden gesammelt.

Privater Schlüssel ist Teil der Serverinfrastruktur

In der Diskussion um die Sicherheitslücken im BeA wurde auch die Verschlüsselung des Systems in Frage gestellt. Zwar behauptete die Brak, dass es sich dabei um ein Ende-zu-Ende-verschlüsseltes System handele, aber das stimmte nicht. Nachrichten im BeA werden mit einem Postfachschlüssel verschlüsselt, der sich in einem Hardware-Sicherheitsmodul (HSM) befindet. Das HSM ist Teil der Serverinfrastrutur des BeA. Im HSM findet dann eine "Umschlüsselung", wie die Brak es nennt, mit dem Schlüssel des eigentlichen Empfängers statt.

Inzwischen hat auch die Brak eingestanden, dass es sich bei dieser Konstruktion nicht um eine Ende-zu-Ende-Verschlüsselung handelt. Doch eine Änderung der Architektur ist zumindest vorläufig nicht geplant.

Die klagenden Anwälte sind der Ansicht, dass sich aus den bestehenden gesetzlichen Regelungen ein Zwang zur Ende-zu-Ende-Verschlüsselung ergibt. Direkt steht das jedoch in keinem Gesetz.

An mehreren Stellen ist in den entsprechenden gesetzlichen Regelungen von einem sicheren Übertragungsweg die Rede. Ob damit eine Ende-zu-Ende-Verschlüsselung gefordert ist, dürfte strittig sein. Ein Satz aus der Zivilprozessordnung klingt jedoch relativ eindeutig: Dort heißt es in Paragraph 174: "Das Dokument ist auf einem sicheren Übermittlungsweg [...] zu übermitteln und gegen unbefugte Kenntnisnahme Dritter zu schützen." Dass ein Schutz vor Dritten nur gegeben ist, wenn lediglich der Empfänger und der Absender die Nachricht lesen können, scheint nachvollziehbar.

Bei der HSM-Konstruktion des BeA muss man davon ausgehen, dass der Serverbetreiber mit einigem Aufwand in der Lage wäre, Nachrichten mitzulesen. Dass ein Schutz gegen Dritte nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden kann, sah offenbar auch der Bundestag so. Das geht aus der Begründung der entsprechenden Gesetzesänderung hervor.

Sicherheitsaudit liegt vor, wird aber nicht veröffentlicht

Von Seiten der Brak war zuletzt zu hören, dass inzwischen der Abschlussbericht eines Sicherheitsaudits durch die Firma Secunet vorliege. Die Anwaltskammer hatte diesen Audit nach den zahlreichen Sicherheitsproblemen in Auftrag gegeben.

Doch offenbar war man bei der Anwaltskammer mit dem Ergebnis des Audits nicht zufrieden. In einem Rundschreiben heißt es, "dass bei der schriftlichen Darstellung der Aussagen und Bewertungen von Secunet Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad besteht." Ein früherer Sicherheitsaudit, der von der Firma SEC Consult durchgeführt wurde und bei dem offenbar zahlreiche gravierende Sicherheitslücken übersehen wurden, wurde nie öffentlich gemacht. In öffentlichen Äußerungen hatte die Rechtsanwaltskammer für die Zukunft des BeA mehr Transparenz versprochen. Doch bislang ist davon wenig zu spüren. Der von Secunet durchgeführte Audit ist bislang ebenfalls nicht veröffentlicht worden. Auch ein Zwischengutachten, das bereits seit April vorliegt, wollte die Brak nicht herausgeben.

Der Autor dieses Texts hat die Herausgabe sowohl des alten als auch des neuen Audits nach dem Informationsfreiheitsgesetz beantragt. Doch alle entsprechenden Anfragen wurden bislang abgelehnt oder nicht beantwortet.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€
  3. (nur für Prime-Mitglieder)

FreiGeistler 20. Jun 2018 / Themenstart

Whatsapp hat im Prinzip nur Übertragungsverschlüsselung. Als solche ist sie aber sicher, ja.

chefin 18. Jun 2018 / Themenstart

Ende zu Ende funktioniert nur leider nicht in diesem Zusammenhang. Den es muss...

Sharra 18. Jun 2018 / Themenstart

Wenn sich Anwälte jetzt mit der eigenen Kammer prügeln, weil diese, nachweislich, von A-Z...

Haze95 18. Jun 2018 / Themenstart

Der hat das letzte Mal auch so gut geholfen. Der Staat war danach auch Auskunftfreudiger ;)

Kommentieren


Folgen Sie uns
       


Octopath Traveler - Livestream

Im Livestream zu Octopath Traveler erklären wir den Alltag im JRPG von Square Enix und Nintendo und verfallen später in eine Diskussion über Motivationsphilosophien in Games und das Genre allgemein.

Octopath Traveler - Livestream Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

    •  /