Posse um Anwaltspostfach: Und plötzlich doch ein Dankeschön

Ein Hacker hat eine Schwachstelle in einem Kommunikationssystem entdeckt, über das ab dem 1. Januar alle Anwälte erreichbar sein sollten. Dafür wurde ihm nun gedankt - nach einem Rundschreiben, das anders klang.

Website zum beA

Foto: BRAK

Noch am Freitagmittag, gut eine Woche, nachdem sich der IT-Experte auch in der Welt der Anwälte einen Namen machte, fühlte sich Markus Drenger ungerecht behandelt. "Ich habe lediglich auf Sicherheitsprobleme aufmerksam gemacht und sie gemeldet", sagte der Hacker des Darmstädter Ablegers des Chaos Computer Clubs (CCC) im Gespräch mit dem SPIEGEL. Ihn ärgerte eine Passage in einem Rundschreiben der Bundesrechtsanwaltskammer (Brak), die klang, als sei er ein Übeltäter, kein Helfer.

Online und auf dem CCC-Jahrestreffen in Leipzig war Drenger am Vortag noch beklatscht worden, denn er hatte vergangene Woche in einem Kommunikationssystem für Anwälte eine ernsthafte Schwachstelle entdeckt. Ein privater Schlüssel, der zu einem Zertifikat des Systems gehörte, war gar nicht privat - ein Sicherheitsrisiko für das sogenannte beA, dessen Entwicklung und Inbetriebnahme viele Millionen Euro gekostet hat.

Die Abkürzung beA steht für "besonderes elektronisches Anwaltspostfach". Das System ermöglicht es Anwälten, zum Beispiel mit Berufskollegen, Gerichten oder Behörden zu kommunizieren. Das System, das Anwälte seit gut einem Jahr schon freiwillig nutzen konnten, sollte eigentlich in wenigen Tagen durchstarten, denn ab dem 1. Januar müssen alle Anwälte in Deutschland per beA erreichbar sein; man spricht von einer Pflicht zur "passiven Nutzung".

Praktisch wird sich diese Pflicht nicht erfüllen lassen: Zum Jahresanfang wird kein einziger Anwalt (mehr) per beA kommunzieren können. Das System ist seit kurz vor Weihnachten außer Betrieb, wohl als Folge unter anderem jenes Schlüssel-Problems, das Drenger entdeckte, sowie einer weiteren peinlichen Panne (mehr dazu lesen Sie hier). Die Brak sagte dem SPIEGEL am Mittwoch, man müsse derzeit davon ausgehen, dass die beA-Plattform noch länger ausfällt.

Ärger um eine Formulierung

Das Brak-Rundschreiben, das Markus Drenger ärgert, ist bereits am 27. Dezember verschickt worden, im Namen des Kammer-Vizepräsidenten Martin Abend  - und an einen "sehr großen Verteiler", wie Drenger betonte.

"Am Donnerstag, 21. Dezember 2017, zeigte eine nicht zur Rechtsanwaltschaft zugelassene Person an, dass sie [...] ein Zertifikat kompromittiert habe", hieß es in dem Schreiben. "Daraufhin sperrte die Zertifizierungsstelle dieses Zertifikat."

So formuliert, las sich die Passage, als sei das Zertifikat erst durch Drengers Zutun zum Risiko geworden. Ich habe gar nichts kompromittiert", sagte der Hacker dazu. "Das waren die Brak und der beA-Hersteller Atos schon selber, indem die das Zertifikat zusammen mit dem privaten Schlüssel ins Netz gestellt haben."

Diese Haltung teilt auch ein Sprecher der Deutschen Telekom, deren Dienstleister T-Systems von Drenger auf das Zertifikatsproblem aufmerksam gemacht worden war: "Der private Schlüssel wurde durch dessen Veröffentlichung kompromittiert", stellt die Telekom klar. "Die Veröffentlichung erfolgte durch Integration des privaten Schlüssels in ein Softwarepaket, das als Download auf der Webseite zum beA-Postfach bereit stand."

"Zurecht gemeldet"

Auf eine SPIEGEL-Nachfrage bei der Brak, wie der Satz im Schreiben gemeint war, heißt es Freitagnachmittag, die Formulierung sei "missverständlich": Markus Drenger habe "zurecht gemeldet, dass ein privater Schlüssel eines Software-Zertifikats, das für den Betrieb der beA-Plattform notwendig ist, öffentlich auf den Rechnern der Nutzer gespeichert sei".

Überhaupt, das stellt die Brak auf die Nachfrage ebenfalls klar, sei man Markus Drenger für seine Hinweise dankbar und sehen seine Aktivitäten "keinesfalls als gegen die Brak gerichtet". Ausdrücklich gelobt wird der Hacker dafür, "dass er zuerst die Brak und die zuständigen Stellen und nicht die Öffentlichkeit informiert hat".

Am Freitagnachmittag berichtet uns Markus Drenger schließlich auch, dass sich die Brak nun bei ihm gemeldet habe, mit freundlichen Tönen. Ein später, weil eigentlich naheliegender Schritt: Denn ohne Drengers Hinweis wäre beA vermutlich noch länger samt Schwachstelle in Betrieb geblieben.

Was passiert 2018?

Wie es mit dem Postfachsystem nächstes Jahr weitergeht, lässt sich bislang schwer vorhersagen. Die Kritik am beA aus der Anwaltsbranche jedenfalls wirkt dieser Tage lauter denn je. Ulrich Schellenberg, der Präsident des Deutschen Anwaltvereins, zum Beispiel fordert, das gesamte System "neu zu denken, um verlorengegangenes Vertrauen wiederherzustellen".

Aus dem Bundesjustizministerium heißt es derweil, man dringe darauf, dass die Fehler schnellstmöglich behoben werden, damit "beA mit einem sicheren Zugang den Rechtsanwälten so schnell wie möglich zur Verfügung steht." Ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagt, die Problematik mit den Zertifikaten scheine dem BSI "plausibel". Man stehe jetzt mit der Brak in Kontakt, sei zuvor aber nicht in die Entwicklung und Absicherung der Plattform einbezogen worden. Der Hersteller des Systems, die Firma Atos, hatte am Mittwoch mitgeteilt, sich nicht öffentlich zu der Debatte zu äußern.

Auf SPIEGEL-Nachfrage hat die Brak am Freitag noch bestätigt, dass es 2015 einen Sicherheitsaudit des beA-Systems durch eine dritte Firma gegeben hatte. "Es gab zu diesem Zeitpunkt bereits Überlegungen, die ursprüngliche Sicherheitsarchitektur bei der Anmeldung zur Plattform zu verändern", heißt es von der Brak zu diesem Thema. Das Audit habe diese geplanten Änderungen als sinnvoll bestätigt und sei insgesamt zu einem Prüfergebnis 'hohes Sicherheitsniveau' gekommen. Aber, so endet die Stellungnahme: "Diese daraufhin umgesetzte Anmeldung ist genau das von Herrn Drenger kritisierte Verfahren."

Mehr zum Thema beA