Umstrittenes Anwaltspostfach beA Krisensitzung ohne den Hersteller

Experten und die Bundesrechtsanwaltskammer besprechen am Freitag die Zukunft des elektronischen Anwaltspostfachs beA. Die Herstellerfirma will nicht dazukommen - meldet sich aber vorab zu Wort.

Screenshot der beA-Webseite
BRAK

Screenshot der beA-Webseite

Von


Die Bundesrechtsanwaltskammer (Brak) hat für den heutigen Freitag zur Krisensitzung nach Berlin geladen. IT-Experten und Kritiker sollen über das sogenannte besondere elektronische Anwaltspostfach (beA) sprechen, das durch massive Sicherheitsprobleme in die Schlagzeilen geraten ist. Mitte der Woche wurde allerdings bekannt, dass die Firma Atos, die die beA-Software programmiert hat, gar nicht an dem Treffen teilnehmen wird.

In einer Pressemitteilung erklärte die Brak, dass der Hersteller "seine Teilnahme abgesagt und die von Atos beauftragte Subunternehmerin angewiesen hat, dem beAthon ebenfalls fernzubleiben." Die Expertensitzung, genannt beAthon, wird trotzdem stattfinden - laut Brak sollen weitere Vorgehensweisen erörtert und ein Fragenkatalog an den Hersteller erarbeitet werden.

Eigentlich sollte es zum 1. Januar 2018 für alle Anwälte in Deutschland zur Pflicht werden, über das Anwaltspostfach erreichbar zu sein. Zum Jahresende allerdings haben IT-Sicherheitsexperten gravierende Mängel aufgedeckt, und unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Die Bundesrechtsanwaltskammer nahm die Plattform erst einmal vom Netz, um das beA überarbeiten zu lassen.

System ist laut Hersteller wieder "voll einsatzfähig"

Der Hersteller Atos gab nun am Freitagvormittag - also kurz vor Beginn der Expertenrunde in Berlin - seine erste öffentliche Stellungnahme zu dem Thema ab: "Mittlerweile hat Atos dem Kunden Brak eine neue Version der beA Client-Anwendung zur Verfügung gestellt", heißt es darin, und: "Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig." Nun habe die Bundesrechtsanwaltskammer darüber zu entscheiden, ob und wann das System erneut in Betrieb genommen werde.

Markus Drenger vom Chaos Computer Club Darmstadt, der mit einem kleinen Team zum Jahresende die Sicherheitslücken aufgedeckt hatte, ist zumindest skeptisch. Zwar seien die zunächst gemeldeten Probleme wohl behoben, aber in der Zwischenzeit seien weitere Schwachstellen im System aufgetaucht, die ebenfalls dem BSI gemeldet worden seien. Allerdings beträfen sie nicht zwangsläufig den Softwarehersteller.

Der Richter und Bürgerrechtler Ulf Buermeyer sieht das offenbar ähnlich. Per Tweet kommentierte er, grundlegende Probleme blieben trotz des Updates durch Atos ungelöst: "Für mich ist das wie ein Pflaster auf einem Kratzer am Arm, während der Schädelbasisbruch unbehandelt bleibt."

Mehrere Stunden lang soll heute in Berlin zu dem Thema diskutiert werden. In einer Presseerklärung zur Brak-Präsidentenkonferenz Mitte Januar hieß es jedenfalls: "Alle Teilnehmer sind sich weiterhin darüber einig, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Fragen zur Sicherheit des Systems zweifelsfrei geklärt sind."

Das elektronische Postfach betrifft Zehntausende Juristen - nicht nur, was die Nutzung angeht, sondern auch die Finanzierung. Seit 2015 hätten die Mitglieder der Rechtsanwaltskammern laut Brak rund 32,5 Millionen Euro an Beiträgen für das System bezahlt. Davon seien rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Postfachs an den technischen Dienstleister gegangen. Weitere Aufwendungen "für die Realisierung des Systems" in Höhe von rund 5,5 Millionen Euro seien noch hinzugekommen.

juh



insgesamt 13 Beiträge
Alle Kommentare öffnen
Seite 1
RalfWenzel 26.01.2018
1. beA ist der neue BER
Ich sehe schon kommen, dass auch die aktuelle Version zerpflückt wird, es eine weitere Version geben wird, die dann auch kritisiert wird. DAS Thema wird uns noch Jahre beschäftigen.
Fuxx81 26.01.2018
2. Wie Öl und Wasser
Deutschland und IT - das passt einfach nicht zusammen. Ich wette, dass es bereits etablierte Lösungen gibt (wahrscheinlich sogar open source), man aber das Rad unbedingt neu erfinden wollte.
Der_schlaue_Det 26.01.2018
3. Das Problem ist die zentrale Abhörschnittstelle
Beim BeA wird zwar von "Ende-zu-Ende-Verschlüsselung" gesprochen - tatsächlich ist das aber ein Etikettenschwindel, denn die Nachrichten werden auf dem zentralen Schlüssel entschlüsselt und neu verschlüsselt. Das ist übrigens das gleiche Verfahren, das der (am Markt gescheiterten) DE-Mail zugrundeliegt. Warum wird sowas gemacht? Böse Zungen sagen, hier hat sich das Bundesinnenministerium durchgesetzt - und verlangt, das in dem System eine Art "Abhörschnittstelle" eingebaut wird. Das wäre dann auch eine Erklärung, warum für die Ende-zu-Ende-Verschlüsselung kein Open Source Standard (also: GPG) eingesetzt wird: Denn dort ist ein Abhören auf einem zentralen Server technisch ausgeschlossen.
hmueller0 26.01.2018
4. nein S21 ist schon der neue BER
Zitat von RalfWenzelIch sehe schon kommen, dass auch die aktuelle Version zerpflückt wird, es eine weitere Version geben wird, die dann auch kritisiert wird. DAS Thema wird uns noch Jahre beschäftigen.
demnach müsste beA ja das neue S21 sein... irgendwo dazwischen tummeln sich dann auch noch Bundestag-IT, eGK/Telematik, Maut und viele weitere ... am besten man nummeriert sie irgendwie durch
Willi Wacker 26.01.2018
5.
Zitat von Der_schlaue_DetBeim BeA wird zwar von "Ende-zu-Ende-Verschlüsselung" gesprochen - tatsächlich ist das aber ein Etikettenschwindel, denn die Nachrichten werden auf dem zentralen Schlüssel entschlüsselt und neu verschlüsselt. Das ist übrigens das gleiche Verfahren, das der (am Markt gescheiterten) DE-Mail zugrundeliegt. Warum wird sowas gemacht? Böse Zungen sagen, hier hat sich das Bundesinnenministerium durchgesetzt - und verlangt, das in dem System eine Art "Abhörschnittstelle" eingebaut wird. Das wäre dann auch eine Erklärung, warum für die Ende-zu-Ende-Verschlüsselung kein Open Source Standard (also: GPG) eingesetzt wird: Denn dort ist ein Abhören auf einem zentralen Server technisch ausgeschlossen.
Bei der DE-Mail war die Begründung für dieses Verfahren, dass man die Nachrichten auf Viren prüfen wolle und deshalb der Inhalt im Klartext vorliegen müsse. Das ist natürlich ein Argument zwinker, zwinker Sagte hier jemand "Briefgeheimnis"??
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.