Gutachten zur Sicherheit des beA

Die Firma secunet Security Networks AG bestätigte in ihrem Abschlussgutachten zum beA v. 18.6.2018:

„Grundsätzlich ist das beA ein geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr. Das Verschlüsselungskonzept bietet technisch gesehen einen hinreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten. Nicht tragbare Risiken, die noch bestehen, können beseitigt werden und sind teilweise auch schon beseitigt worden. Die erneute Inbetriebnahme ist … aus sicherheitstechnischer Sicht möglich.“ (Abschlussgutachten der secunet Security Networks AG v. 18.6.2018, S. 13)

Das BRAK-Präsidium bewertete das Gutachten aus seiner fachlichen Sicht.

Was zuvor geschah

Dass die Sicherheit des beA von einem externen Gutachter überprüft wurde, hat den folgenden Hintergrund:

Das BRAK-Präsidium hat am 22.12.2017 entschieden, dass das beA wegen gemeldeter Sicherheitsrisiken offline gehen muss. Diese betrafen die beA Client Security, also den Teil des beA-Systems, den sich alle Rechtanwältinnen und Rechtsanwälte auf ihren Rechner installieren müssen, um die beA-Webanwendung nutzen zu können. Da nicht alle Zweifel an der Beseitigung der Sicherheitslücke ausgeräumt werden konnten, beschloss das BRAK-Präsidium am 26.12.2017, das beA so lang offline zu lassen, bis alle sicherheitsrelevanten Fragestellungen zweifelsfrei geklärt sind. Hierüber informierte das Präsidium die BRAK-Präsidentenkonferenz – bestehend aus den Präsidentinnen und Präsidenten aller 28 Rechtsanwaltskammern, die sich am 9.1. und 18.1.2018 eingehend mit der beA-Problematik befasste.

Die Präsidentenkonferenz beschloss am 18.1.2018, dass ein vom Bundesamt für Sicherheit in der Informationstechnik empfohlener Gutachter – die Firma secunet – die der Firma Atos, entwickelte neue Lösung für die Client Security auf ihre Sicherheit prüfen soll, bevor das beA wieder ans Netz gehen darf.

Die BRAK suchte zudem den Dialog mit kritischen IT-Experten und IT-Anwälten, um die von ihnen geäußerten Bedenken berücksichtigen zu können. Hierzu fand am 26.1.2018 der „beAthon“ statt, bei dem die von Atos zur Verfügung gestellt neue Lösung und mögliche weitere Sicherheitsrisiken konstruktiv diskutiert wurden. In der Folgezeit befassten sich alle regionalen Rechtsanwaltskammern in mehreren Präsidentenkonferenzen und einer ordentlichen Hauptversammlung intensiv mit den Möglichkeiten einer sicheren Wiederinbetriebnahme des beA.

Parallel dazu begann secunet mit der technischen Analyse der Client Security und einer konzeptionellen Prüfung des gesamten beA-Systems. Atos arbeitete währenddessen an der Behebung der gefundenen Schwachstellen und befand sich hierzu in regelmäßigem Austausch mit der BRAK und secunet. Atos berücksichtigte auch die Befunde eines der Präsidentenkonferenz am 15.4.2018 erstatteten Zwischenberichts von secunet; secunet nahm auch Nachtests bereits von Atos durchgeführter Arbeiten vor.

Beschluss zur stufenweisen Wiederinbetriebnahme

Nachdem das Abschlussgutachten der Firma secunet zu der von ihr durchgeführten Sicherheitsanalyse des beA vorlag, berief das BRAK-Präsidium umgehend eine Präsidentenkonferenz am 27.6.2018 ein; damit verbunden war der Vorschlag eines Fahrplans zur Wiederinbetriebnahme des beA.

Die Präsidentinnen und Präsidenten der 28 Rechtsanwaltskammern beschlossen mehrheitlich, das beA in einem zweistufigen Prozess wieder in Betrieb zu nehmen. Sie machten sich damit den vom BRAK-Präsidium vorgeschlagenen Fahrplan zu Eigen. Die Teilnehmer der Präsidentenkonferenz diskutierten intensiv über das Gutachten der Firma secunet Security Networks AG und die auf dessen Grundlage anzustellende Risikobewertung. An der Sitzung nahmen auch Vertreter der Firma secunet teil, die Fragen der Präsidentinnen und Präsidenten zum Gutachten beantworteten. Die Präsidentinnen und Präsidenten der Rechtsanwaltskammern zeigten sich von dem Gutachten und den Ausführungen der Firma secunet überzeugt und beschlossen daher die Wiederinbetriebnahme des beA-Systems in zwei Stufen:

Ab dem 4.7.2018 soll die Client Security zum Download und zur Installation bereitgestellt und die Erstregistrierung am beA ermöglicht werden. Voraussetzung hierfür ist, dass secunet bis dahin die Beseitigung der in ihrem Gutachten vom 18.06.2018 unter Ziffern 3.5.4 und 5.4.1 benannten Schwachstellen bestätigt hat, soweit sie sich auf die Client Security beziehen.

Zum 3.9.2018 soll das beA-System* freigeschaltet werden. Voraussetzung hierfür ist, dass secunet bis dahin die Beseitigung der Schwachstellen, die in den Ziffern 3.5.3, 3.6.1, 3.6.2, 3.6.3, 3.6.7, 3.6.9, 3.6.10, 3.6.12, 3.6.13, 4.5.1, 4.5.2, 4.5.3, 5.4.1 (soweit der Nachrichtenversand betroffen ist) und 5.4.2 des Gutachtens beschrieben sind, bestätigt hat. Die übrigen Schwachstellen der Kategorie B werden im laufenden Betrieb beseitigt.

Die Präsidentenkonferenz hat weiter beschlossen, die in dem Gutachten unter den Ziffern 5.5.1 und 5.5.3 beschriebenen Schwachstellen der Kategorie B betreffend die Hardware Security Module im laufenden Betrieb, voraussichtlich in den ersten Monaten des Jahres 2019, durch technische Maßnahmen zu beseitigen. Die von secunet im Kapitel 5.7 des Gutachtens geforderte Optimierung der Betriebs- und Sicherheitskonzepte soll nach dem Beschluss spätestens in den ersten Monaten des Jahres 2019 abgeschlossen und von secunet bestätigt werden. Die Vertreter von secunet haben hierzu den Teilnehmern der Präsidentenkonferenz auch erläutert, dass das Sicherheitskonzept nach Auffassung von secunet nicht vollständig vor einem „Go live“ vorliegen muss, da es lediglich eine dokumentierende und damit organisatorische Funktion, nicht aber eine Schutzfunktion in technischer Hinsicht habe. Es sei daher unproblematisch, das Konzept im laufenden Betrieb zu vervollständigen.

Die Konferenz kam weiterhin überein, dass sich die BRAK gegenüber dem BMJV und den Justizministerien der Länder für die Einführung einer mindestens 4-wöchigen Testphase nach Wiederinbetriebnahme des beA-Systems einsetzen wird.

Weiterentwicklung des beA

Neben den von der Präsidentenkonferenz am 27.6.2018 beschlossenen weiteren Maßnahmen – betreffend die Verbesserung der Hardware Security Module und der Betriebs- und Sicherheitskonzepte – stehen noch weitere Punkte auf der Agenda der Kammerpräsidentinnen und -präsidenten. Unter anderem wird nach der Übereinkunft der BRAK-Präsidentenkonferenz am 28.5.2018 noch zu entscheiden sein, ob der Quellcode des beA-Systems veröffentlicht werden soll. Vor einer Entscheidung hierüber wollte die Präsidentenkonferenz jedoch eruiert wissen, mit welchen Vor- und Nachteilen und auch mit welchen – über die beA-Anteile der Kammerbeiträge letztlich von der gesamten Anwaltschaft zu tragenden – Sach- und Personalkosten die Bereitstellung als Open Source verbunden wäre.