Original-URL des Artikels: https://www.golem.de/news/bundesrechtsanwaltskammer-originalfassung-von-bea-sicherheitsgutachten-freigeklagt-2010-151190.html    Veröffentlicht: 02.10.2020 13:30    Kurz-URL: https://glm.io/151190

Bundesrechtsanwaltskammer

Originalfassung von BeA-Sicherheitsgutachten freigeklagt

Die Originalfassung eines Sicherheitsgutachtens zum besonderen elektronischen Anwaltspostfach lässt einige Fragen aufkommen.

Eine frühere Version eines Gutachtens zur IT-Sicherheit des besonderen elektronischen Anwaltspostfachs (BeA) ist jetzt öffentlich zugänglich. Eine spätere, überarbeitete Version des Gutachtens hatte die Anwaltskammer selbst veröffentlicht, die Veröffentlichung der früheren Version wollte die Bundesrechtsanwaltskammer verhindern, sie unterlag aber letztendlich in einem Rechtsstreit.

Zum Hintergrund: Nachdem durch Mitglieder des Chaos Computer Clubs und durch Golem.de zahlreiche Sicherheitsprobleme im BeA aufgedeckt worden waren, wurde dieses im Dezember 2017 zunächst abgeschaltet. Die Bundesrechtsanwaltskammer gab daraufhin bei der Firma Secunet ein Gutachten in Auftrag, um mögliche weitere Schwächen zu identifizieren.

Gutachten wurde zunächst nicht veröffentlicht

Im Mai 2018 legte Secunet der Bundesrechtsanwaltskammer das Gutachten vor, es wurde jedoch zunächst nicht veröffentlicht. Ende Juni wurde dann eine stark überarbeitete Version dieses Gutachtens online gestellt, wichtige Informationen waren jedoch nicht enthalten, da diese direkt von Secunet an den BeA-Hersteller kommuniziert wurden.

Ein Berliner Rechtsanwalt fragte bei der Bundesrechtsanwaltskammer die frühere Version des Gutachtens nach dem Informationsfreiheitsgesetz an. Dieses Gesetz sieht vor, dass öffentliche Stellen - zu denen auch die Bundesrechtsanwaltskammer gehört - Dokumente auf Anfrage an jede Person herausgeben müssen. Es gibt jedoch eine Reihe von Ausnahmen.

Die Anwaltskammer verweigerte indes die Herausgabe und es kam zu einem längeren Rechtsstreit. Das Verwaltungsgericht Berlin entschied, dass die Anfrage berechtigt gewesen sei und das Gutachten herausgegeben werden müsse. Die Bundesrechtsanwaltskammer versuchte, gegen das Urteil vor dem Oberverwaltungsgericht Berlin in Berufung zu gehen, dieses lehnte die Berufung jedoch ab. Das Gutachten kann inzwischen auf der von der Open Knowledge Foundation betriebenen Webseite Frag den Staat heruntergeladen werden.



Mehrere Sicherheitslücken wurden herabgestuft

Vergleicht man die beiden Versionen, finden sich einige bemerkenswerte Unterschiede. In den Gutachten sind die entdeckten Sicherheitslücken in verschiedene Kategorien eingeteilt, die kritischen Lücken werden betriebsverhindernd oder betriebsbehindernd genannt.

Der Unterschied: Alle betriebsverhindernden Lücken sollten geschlossen werden, bevor das BeA wieder in Betrieb ging. In der Ursprungsversion des Gutachtens sind sechs betriebsverhindernde Lücken aufgezählt, in der später veröffentlichten Fassung waren es nur noch vier. Zwei davon wurden zu den weniger kritischen, betriebsbehindernden Lücken herabgestuft, für deren Behebung man sich mehr Zeit lassen wollte.

Erwähnt sei dabei noch, dass die Rechtsanwaltskammer auch nach der Veröffentlichung des finalen Gutachtens eine Lücke herabstufte, die bis heute nicht behoben ist, da sie ein grundsätzliches Designproblem des BeA ist.

Doch nicht nur die Einstufung der Lücken änderte sich, auch die Gesamtzahl wurde geringer. Im früheren Gutachten ist von 52 Sicherheitslücken die Rede, in der späteren Version nur noch von 36. Welche Lücken hier verschwunden sind, lässt sich nicht einfach nachvollziehen, da viele Formulierungen überarbeitet wurden und dieselben Lücken in vielen Fällen in den beiden Version anders benannt wurden.

"Die BRAK kann rein technisch jede Nachricht entschlüsseln"

Auffällig ist zudem, dass sich im Originalgutachten eine bemerkenswerte Formulierung findet, die im späteren Gutachten nicht mehr auftaucht. Dort heißt es recht eindeutig: "Die BRAK kann als rein technisch jede Nachricht entschlüsseln."

Das ist insofern relevant, als es einen zentralen Konflikt um das BeA betrifft. Das BeA nutzt eine Konstruktion, in der auf Nachrichten nie unverschlüsselt zugreifbar sein sollte. Sie werden allerdings im Widerspruch dazu in einem Hardware-Sicherheitsmodul (HSM) entschlüsselt und wieder verschlüsselt.



Ursprünglich bezeichnete die Bundesrechtsanwaltskammer dieses Konzept fälschlicherweise als Ende-zu-Ende-Verschlüsselung, da es angeblich ein ähnliches Sicherheitslevel biete. Um diese Frage gab es auch einen Rechtsstreit, in denen einige Anwälte zumindest bisher erfolglos eine echte Ende-zu-Ende-Verschlüsselung durchsetzen wollten. Die rechtliche Ausseinandersetzung dazu ist noch nicht abgeschlossen.

Eine Anfrage von Golem.de zu dem jetzt öffentlichen Sicherheitsgutachten und den angesprochenen Punkten hat die Bundesrechtsanwaltskammer bis zur Fertigstellung dieses Artikels nicht beantwortet.

Ein weiteres Sicherheitsgutachten, um das noch ein Rechtsstreit läuft, könnte Aufklärung darüber bringen, wie es überhaupt zu den BeA-Pannen kam. Die Firma SEC-Consult hatte bereits in der Frühphase der Entwicklung einen Sicherheitsaudit durchgeführt. Die Open Knowledge Foundation hatte auf die Herausgabe dieses Gutachtens geklagt und vor dem Verwaltungsgericht Berlin Recht bekommen. Doch auch hier hat die Bundesrechtsanwaltskammer im August einen Antrag auf Zulassung einer Berufung beim Oberverwaltungsgericht gestellt.

 (hab)


Verwandte Artikel:
Bundesrechtsanwaltskammer: BeA-Webseite zeitweise angreifbar   
(28.09.2020, https://glm.io/151153 )
Elektronisches Anwaltspostfach: Anwälte genervt von Dauerproblemen mit BeA   
(18.03.2020, https://glm.io/147327 )
BeA: Anwaltspostfach hat neuen Betreiber   
(03.09.2019, https://glm.io/143596 )
CodeQL: Github führt Security-Scans für Code ein   
(01.10.2020, https://glm.io/151233 )
Anwaltspostfach BeA: Geheimhaltung von Nachrichten ist nicht so wichtig   
(10.09.2018, https://glm.io/136488 )

© 1997–2020 Golem.de, https://www.golem.de/