Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Artikel veröffentlicht am , Hanno Böck
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel.
Digital, einfach und sicher soll das BeA sein. Doch vor allem an der Sicherheit gibt es enorme Zweifel. (Bild: Bundesrechtsanwaltskammer)

Muss die Kommunikation zwischen Gerichten und Rechtsanwälten Ende-zu-Ende-verschlüsselt sein? Diese Frage will eine Gruppe von Anwälten nun gerichtlich klären lassen. Wie die Gesellschaft für Freiheitsrechte mitteilt, hat sie heute eine entsprechende Klageschrift gegen die Bundesrechtsanwaltskammer (Brak) beim Anwaltsgerichtshof Berlin eingereicht. Das sogenannte besondere elektronische Anwaltspostfach (BeA), das seit Dezember letzten Jahres wegen Sicherheitslücken offline ist, nutzt bislang keine Ende-zu-Ende-Verschlüsselung.

Stellenmarkt
  1. System- und Netzwerkadministrator (m/w/d)
    Landratsamt Freising, Freising bei München
  2. Manager (w/m/d) Informationssicherheit / Datenschutz Erzeugung
    EnBW Energie Baden-Württemberg AG, Stuttgart
Detailsuche

Das BeA soll die Kommunikation zwischen Rechtsanwälten und Gerichten absichern. Theoretisch müssen Rechtsanwälte das BeA seit Anfang 2018 einsetzen. Allerdings ist es zur Zeit offline. Der Grund dafür ist eine ganze Reihe von Sicherheitsproblemen, an deren Aufdeckung auch Golem.de beteiligt war. Golem.de wird auch mehrfach in der Klageschrift zitiert.

Die Gesellschaft für Freiheitsrechte hatte eine entsprechende Klage bereits im März angekündigt und seitdem dafür Spenden gesammelt.

Privater Schlüssel ist Teil der Serverinfrastruktur

In der Diskussion um die Sicherheitslücken im BeA wurde auch die Verschlüsselung des Systems in Frage gestellt. Zwar behauptete die Brak, dass es sich dabei um ein Ende-zu-Ende-verschlüsseltes System handele, aber das stimmte nicht. Nachrichten im BeA werden mit einem Postfachschlüssel verschlüsselt, der sich in einem Hardware-Sicherheitsmodul (HSM) befindet. Das HSM ist Teil der Serverinfrastrutur des BeA. Im HSM findet dann eine "Umschlüsselung", wie die Brak es nennt, mit dem Schlüssel des eigentlichen Empfängers statt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Inzwischen hat auch die Brak eingestanden, dass es sich bei dieser Konstruktion nicht um eine Ende-zu-Ende-Verschlüsselung handelt. Doch eine Änderung der Architektur ist zumindest vorläufig nicht geplant.

Die klagenden Anwälte sind der Ansicht, dass sich aus den bestehenden gesetzlichen Regelungen ein Zwang zur Ende-zu-Ende-Verschlüsselung ergibt. Direkt steht das jedoch in keinem Gesetz.

An mehreren Stellen ist in den entsprechenden gesetzlichen Regelungen von einem sicheren Übertragungsweg die Rede. Ob damit eine Ende-zu-Ende-Verschlüsselung gefordert ist, dürfte strittig sein. Ein Satz aus der Zivilprozessordnung klingt jedoch relativ eindeutig: Dort heißt es in Paragraph 174: "Das Dokument ist auf einem sicheren Übermittlungsweg [...] zu übermitteln und gegen unbefugte Kenntnisnahme Dritter zu schützen." Dass ein Schutz vor Dritten nur gegeben ist, wenn lediglich der Empfänger und der Absender die Nachricht lesen können, scheint nachvollziehbar.

Bei der HSM-Konstruktion des BeA muss man davon ausgehen, dass der Serverbetreiber mit einigem Aufwand in der Lage wäre, Nachrichten mitzulesen. Dass ein Schutz gegen Dritte nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden kann, sah offenbar auch der Bundestag so. Das geht aus der Begründung der entsprechenden Gesetzesänderung hervor.

Sicherheitsaudit liegt vor, wird aber nicht veröffentlicht

Von Seiten der Brak war zuletzt zu hören, dass inzwischen der Abschlussbericht eines Sicherheitsaudits durch die Firma Secunet vorliege. Die Anwaltskammer hatte diesen Audit nach den zahlreichen Sicherheitsproblemen in Auftrag gegeben.

Doch offenbar war man bei der Anwaltskammer mit dem Ergebnis des Audits nicht zufrieden. In einem Rundschreiben heißt es, "dass bei der schriftlichen Darstellung der Aussagen und Bewertungen von Secunet Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad besteht." Ein früherer Sicherheitsaudit, der von der Firma SEC Consult durchgeführt wurde und bei dem offenbar zahlreiche gravierende Sicherheitslücken übersehen wurden, wurde nie öffentlich gemacht. In öffentlichen Äußerungen hatte die Rechtsanwaltskammer für die Zukunft des BeA mehr Transparenz versprochen. Doch bislang ist davon wenig zu spüren. Der von Secunet durchgeführte Audit ist bislang ebenfalls nicht veröffentlicht worden. Auch ein Zwischengutachten, das bereits seit April vorliegt, wollte die Brak nicht herausgeben.

Der Autor dieses Texts hat die Herausgabe sowohl des alten als auch des neuen Audits nach dem Informationsfreiheitsgesetz beantragt. Doch alle entsprechenden Anfragen wurden bislang abgelehnt oder nicht beantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Lockbit 2.0: Ransomware will Firmen-Insider rekrutieren
    Lockbit 2.0
    Ransomware will Firmen-Insider rekrutieren

    Die Ransomware-Gruppe Lockbit sucht auf ungewöhnliche Weise nach Insidern, die ihr Zugangsdaten übermitteln sollen.

  3. Galactic Starcruiser: Disney eröffnet immersives (und teures) Star-Wars-Hotel
    Galactic Starcruiser
    Disney eröffnet immersives (und teures) Star-Wars-Hotel

    Wer schon immer zwei Tage lang wie in einem Star-Wars-Abenteuer leben wollte, bekommt ab dem Frühjahr 2022 die Chance dazu - das nötige Kleingeld vorausgesetzt.

FreiGeistler 20. Jun 2018

Whatsapp hat im Prinzip nur Übertragungsverschlüsselung. Als solche ist sie aber sicher, ja.

chefin 18. Jun 2018

Ende zu Ende funktioniert nur leider nicht in diesem Zusammenhang. Den es muss...

Sharra 18. Jun 2018

Wenn sich Anwälte jetzt mit der eigenen Kammer prügeln, weil diese, nachweislich, von A-Z...

Haze95 18. Jun 2018

Der hat das letzte Mal auch so gut geholfen. Der Staat war danach auch Auskunftfreudiger ;)



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /