Umstrittenes Anwaltspostfach beA Die digitale Dauerbaustelle
Website zum "besonderen elektronischen Anwaltspostfach"
Foto: BRAK"BER oder beA - was wird früher fertig?" Solche Twitter-Sprüche lassen erahnen, welches Image das von der Bundesrechtsanwaltskammer (Brak) betreute Software-Projekt beA mittlerweile hat. Zwar bauen die Macher keinen Flughafen, in der Anwaltsbranche ist ihre digitale Baustelle aber längst ein Aufregerthema ähnlicher Dimension.
Die Abkürzung beA steht für "besonderes elektronisches Anwaltspostfach", dahinter verbirgt sich ein digitales Nachrichtensystem, über das Anwälte zum Beispiel mit Berufskollegen, Gerichten oder Behörden kommunizieren könnten. Das "könnten" muss seit gut vier Wochen betont werden, denn aktuell ist beA weitgehend außer Betrieb. Sicherheitsexperten hatten kurz vor Weihnachten grundlegende Sicherheitsprobleme aufgedeckt.
Pikant macht diese Tatsache einerseits, dass das System zuvor schon fast ein Jahr in Betrieb war - offenbar, ohne dass jemand die Probleme thematisiert hat. Anderseits sollte 2018 für beA den Durchbruch bedeuten, denn seit dem 1. Januar muss jeder Anwalt über das Digital-Postfach erreichbar sein. Rechtlich gesehen hätten sich Anwälte, die Kollegen im neuen Jahr per beA anschreiben, darauf verlassen dürfen, dass ihre Nachrichten zumindest zur Kenntnis genommen werden.
Noch ist das jedoch nicht möglich. Das beA wird derzeit überarbeitet: Wie lange und wie grundlegend, wird sich zeigen. In einer Presseerklärung zur Brak-Präsidentenkonferenz am Donnerstag in Berlin heißt es jedenfalls: "Alle Teilnehmer sind sich weiterhin darüber einig, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Fragen zur Sicherheit des Systems zweifelsfrei geklärt sind." Die Brak werde deshalb die Sicherheitsfirma Secunet mit dem Erstellen eines Sicherheitsgutachtens beauftragen. Dieses Gutachten soll später auch öffentlich gemacht werden.
Ein größeres Problem
Dass die Probleme nicht einfach und schnell zu lösen sind, weiß der Darmstädter Hacker Markus Drenger, durch den die Debatte um die Sicherheit des Systems überhaupt erst ins Rollen kam. "Es geht hier nicht um einen Bug, den man mal eben schnell fixen kann", betonte Drenger zum Jahresende. "Das Problem liegt im Design der Software-Architektur".
Welche Lösung die Brak letztlich auch präsentieren wird, IT-Experten wie Drenger werden sie sich genau anschauen wollen. Möglicher Anlass dafür wäre ein kürzlich angekündigter beAthon, einer Veranstaltung, bei der - Zitat Brak - "auch institutionell nicht gebundene Experten den Lösungsweg des Dienstleisters zusammen mit den Gutachtern und den technischen Dienstleistern erörtern" sollen.
Dass es solch einen Austausch gibt, scheint sinnvoll, denn bislang wurde beA auch dafür kritisiert, dass der Software-Hersteller dahinter lieber auf sicherheitstechnisch teils wenig überzeugende Eigenlösungen setzte statt auf bewährte Open-Source-Lösungen.
Mehrere Organisationen und Juristen haben vor diesem Hintergrund nun auch einen gemeinsamen Brief aufgesetzt , der am Freitag ins Netz gestellt wurde. Zu seinen Unterzeichnern zählen etwa der Chaos Computer Club (CCC), die Free Software Foundation Europe (FSFE), der Bürgerrechtsverein Digitalcourage und der Richter Ulf Buermeyer, vielen bekannt durch den Podcast "Lage der Nation ".
Experten fordern Offenlegung des Programmcodes
In dem Brief fordert das Bündnis, dass die Brak die gesamte beA-Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen sowie den weiteren Entwicklungsprozess transparent machen sollte. Nur so, indem man unabhängigen IT-Experten eine Prüfung des Systems erleichtere, könne das erschütterte Vertrauen der Nutzer "langsam wiederhergestellt" werden.
Im Brief heißt es, dass das Projekt beA "zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis" geprägt hätten. So sei die Ende-zu-Ende-Verschlüsselung "grundlegend gefährdet, da die Brak offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat".
Der Brief endet schließlich mit der These, dass die Veröffentlichung der Software unter einer freien Lizenz "unumgänglich" sei, "um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten".
Prüfungen "zu gegebener Zeit"
Ob die Brak auf die Forderung, beA leichter durchleuchtbar zu machen, eingeht, scheint fraglich. Auf Nachfrage heißt es am Freitag, die Brak werde "zu gegebener Zeit" prüfen, ob es zielführend sei, "den Quellcode der beA-Software zukünftig vollständig offen zu legen". Dabei werde man sich auch von Sicherheitsexperten beraten lassen.
Auch mit der Idee, "künftig ausschließlich Open-Source-Software einzusetzen", will die sich die Kammer auseinandersetzen, ebenfalls "zu gegebener Zeit". Bei den Überlegungen spiele die Frage eine Rolle, "ob es sinnvoll ist oder gegebenenfalls sogar ein Sicherheitsrisiko darstellen kann, wenn die beA-Software in anderen Systemen zur Anwendung kommt".
Mehrkosten sollen durch die Überarbeitung des Systems übrigens nicht auf die Anwälte zukommen, heißt es. Seit 2015 hätten die Mitglieder der Rechtsanwaltskammern laut Brak rund 32,5 Millionen Euro an Beiträgen für das System bezahlt. Davon seien rund 20,5 Millionen Euro für die Entwicklung und den Betrieb von beA an den technischen Dienstleister gegangen; hinzugekommen seien bislang weitere Aufwendungen "für die Realisierung des Systems" in Höhe von rund 5,5 Millionen Euro.
