Abo
  • Services:

Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Artikel veröffentlicht am , Hanno Böck
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel.
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel. (Bild: Bundesrechtsanwaltskammer)

Muss die Kommunikation zwischen Gerichten und Rechtsanwälten Ende-zu-Ende-verschlüsselt sein? Diese Frage will eine Gruppe von Anwälten nun gerichtlich klären lassen. Wie die Gesellschaft für Freiheitsrechte mitteilt, hat sie heute eine entsprechende Klageschrift gegen die Bundesrechtsanwaltskammer (Brak) beim Anwaltsgerichtshof Berlin eingereicht. Das sogenannte besondere elektronische Anwaltspostfach (BeA), das seit Dezember letzten Jahres wegen Sicherheitslücken offline ist, nutzt bislang keine Ende-zu-Ende-Verschlüsselung.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. Landeshauptstadt Stuttgart, Stuttgart

Das BeA soll die Kommunikation zwischen Rechtsanwälten und Gerichten absichern. Theoretisch müssen Rechtsanwälte das BeA seit Anfang 2018 einsetzen. Allerdings ist es zur Zeit offline. Der Grund dafür ist eine ganze Reihe von Sicherheitsproblemen, an deren Aufdeckung auch Golem.de beteiligt war. Golem.de wird auch mehrfach in der Klageschrift zitiert.

Die Gesellschaft für Freiheitsrechte hatte eine entsprechende Klage bereits im März angekündigt und seitdem dafür Spenden gesammelt.

Privater Schlüssel ist Teil der Serverinfrastruktur

In der Diskussion um die Sicherheitslücken im BeA wurde auch die Verschlüsselung des Systems in Frage gestellt. Zwar behauptete die Brak, dass es sich dabei um ein Ende-zu-Ende-verschlüsseltes System handele, aber das stimmte nicht. Nachrichten im BeA werden mit einem Postfachschlüssel verschlüsselt, der sich in einem Hardware-Sicherheitsmodul (HSM) befindet. Das HSM ist Teil der Serverinfrastrutur des BeA. Im HSM findet dann eine "Umschlüsselung", wie die Brak es nennt, mit dem Schlüssel des eigentlichen Empfängers statt.

Inzwischen hat auch die Brak eingestanden, dass es sich bei dieser Konstruktion nicht um eine Ende-zu-Ende-Verschlüsselung handelt. Doch eine Änderung der Architektur ist zumindest vorläufig nicht geplant.

Die klagenden Anwälte sind der Ansicht, dass sich aus den bestehenden gesetzlichen Regelungen ein Zwang zur Ende-zu-Ende-Verschlüsselung ergibt. Direkt steht das jedoch in keinem Gesetz.

An mehreren Stellen ist in den entsprechenden gesetzlichen Regelungen von einem sicheren Übertragungsweg die Rede. Ob damit eine Ende-zu-Ende-Verschlüsselung gefordert ist, dürfte strittig sein. Ein Satz aus der Zivilprozessordnung klingt jedoch relativ eindeutig: Dort heißt es in Paragraph 174: "Das Dokument ist auf einem sicheren Übermittlungsweg [...] zu übermitteln und gegen unbefugte Kenntnisnahme Dritter zu schützen." Dass ein Schutz vor Dritten nur gegeben ist, wenn lediglich der Empfänger und der Absender die Nachricht lesen können, scheint nachvollziehbar.

Bei der HSM-Konstruktion des BeA muss man davon ausgehen, dass der Serverbetreiber mit einigem Aufwand in der Lage wäre, Nachrichten mitzulesen. Dass ein Schutz gegen Dritte nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden kann, sah offenbar auch der Bundestag so. Das geht aus der Begründung der entsprechenden Gesetzesänderung hervor.

Sicherheitsaudit liegt vor, wird aber nicht veröffentlicht

Von Seiten der Brak war zuletzt zu hören, dass inzwischen der Abschlussbericht eines Sicherheitsaudits durch die Firma Secunet vorliege. Die Anwaltskammer hatte diesen Audit nach den zahlreichen Sicherheitsproblemen in Auftrag gegeben.

Doch offenbar war man bei der Anwaltskammer mit dem Ergebnis des Audits nicht zufrieden. In einem Rundschreiben heißt es, "dass bei der schriftlichen Darstellung der Aussagen und Bewertungen von Secunet Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad besteht." Ein früherer Sicherheitsaudit, der von der Firma SEC Consult durchgeführt wurde und bei dem offenbar zahlreiche gravierende Sicherheitslücken übersehen wurden, wurde nie öffentlich gemacht. In öffentlichen Äußerungen hatte die Rechtsanwaltskammer für die Zukunft des BeA mehr Transparenz versprochen. Doch bislang ist davon wenig zu spüren. Der von Secunet durchgeführte Audit ist bislang ebenfalls nicht veröffentlicht worden. Auch ein Zwischengutachten, das bereits seit April vorliegt, wollte die Brak nicht herausgeben.

Der Autor dieses Texts hat die Herausgabe sowohl des alten als auch des neuen Audits nach dem Informationsfreiheitsgesetz beantragt. Doch alle entsprechenden Anfragen wurden bislang abgelehnt oder nicht beantwortet.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  3. auf ausgewählte Corsair-Netzteile

FreiGeistler 20. Jun 2018 / Themenstart

Whatsapp hat im Prinzip nur Übertragungsverschlüsselung. Als solche ist sie aber sicher, ja.

chefin 18. Jun 2018 / Themenstart

Ende zu Ende funktioniert nur leider nicht in diesem Zusammenhang. Den es muss...

Sharra 18. Jun 2018 / Themenstart

Wenn sich Anwälte jetzt mit der eigenen Kammer prügeln, weil diese, nachweislich, von A-Z...

Haze95 18. Jun 2018 / Themenstart

Der hat das letzte Mal auch so gut geholfen. Der Staat war danach auch Auskunftfreudiger ;)

Kommentieren


Folgen Sie uns
       


Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich

Link 300 und Link 500 von JBL, Onkyos P3, Panasonics GA10 sowie Apples Homepod treten in unserem Klangvergleich gegeneinander an. Die beiden JBL-Lautsprecher lassen die Konkurrenz blass aussehen, selbst der gar nicht schlecht klingende Homepod hat dann das Nachsehen.

Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /