↓ Zum zentralen Inhalt
Deutscher EDV-Gerichtstag e.V.
  • Der Ver­ein
    • Über uns
    • Sat­zung
    • Vor­stand
    • Kas­sen­be­richte
    • Impres­sum / Kon­takt
    • Pres­se­mit­tei­lun­gen
    • Daten­schutz­er­klä­rung
  • Mit­glie­der
    • Daten­ver­wal­tung
    • Mit­glied wer­den
      • Bei­tritt
      • Bei­trag
  • Ver­an­stal­tun­gen
    • Deut­scher EDV-Gerichtstag
      • Deut­scher EDV-Gerichtstag 2019
      • Deut­scher EDV-Gerichtstag 2018
      • Archiv
    • Sym­po­sien
      • Auf­takt­ver­an­stal­tung: Work­shop der Pro­jekt­gruppe Legal­Vi­sion
      • 2. Work­shop zum elek­tro­ni­schen Emp­fangs­be­kennt­nis bei Behör­den (eEB) und zum elek­tro­ni­schen Behör­den­post­fach (BeBPo)
      • Frü­here
  • Enga­ge­ment
    • Gemein­same Kom­mis­sion ERV
      • Berichte, Auf­sätze, Nach­rich­ten
        • Maxi­mi­lian Her­ber­ger: Justiz-Automation in Zei­ten jus­ti­zi­el­ler Umbrü­che
      • Mate­ria­lien
      • Ver­öf­fent­li­chun­gen der Kom­mis­sion
        • Jus­tiz­kom­mu­ni­ka­tion – Aktua­li­sie­rung 06/2005
        • Pro­jekte – Stand: Sep­tem­ber 2004
        • Syn­opse zum Justizkommunikations-Gesetz
        • Zehn-Punkte-Plan zur För­de­rung des elek­tro­ni­schen Rechts­ver­kehrs
      • Ziele und Auf­ga­ben
    • Die­ter Meu­rer Preis Rechts­in­for­ma­tik
      • Preis­trä­ger 2018: Dr. iur. Sebas­tian Brett­hauer
      • Aus­schrei­bung Dieter-Meurer-Preis
      • Bis­he­rige Preis­trä­ger
        • Preis­trä­ge­rin 2017: Prof. Dr. Louisa Specht
        • Preis­trä­ger 2016: Dr. Domi­nik Bro­dow­ski, LL.M (UPenn)
    • Ver­öf­fent­li­chun­gen
      • Saar­brü­cker Stan­dard 1999
      • Saar­brü­cker Stan­dard 2000
    • Lite­ra­tur­hin­weise
    • eJustice-News
    • Wei­ter­füh­rende Links
  • Leichte Spra­che
Darstellungsoptionen
  • Umschalten auf hohe Kontraste
  • Umschalten zu Graustufen
  • Schrift vergrößern
Home › Pressemitteilungen › Deut­scher EDV-Gerichtstag: Das beA sollte durch eine externe Exper­ten­gruppe begut­ach­tet wer­den

Deut­scher EDV-Gerichtstag: Das beA sollte durch eine externe Exper­ten­gruppe begut­ach­tet wer­den

Veröffentlicht am 27. Dezember 2017 von Sabine Micka

Am letz­ten Arbeits­tag vor Weih­nach­ten, dem 22. Dezem­ber 2017, war das be­sondere elektro­nische Anwalts­postfach (beA) nicht mehr erreich­bar. Die Bundes­rechts­anwalts­kammer (BRAK) teilte mit, sie sei am Vor­tag dar­über infor­miert wor­den, „dass ein für die beA-Anwendung not­wendiges Zer­ti­fi­kat nicht mehr gül­tig ist“. Der Hinter­grund war, dass der „Cli­ent Secu­rity“, der auf jedem Rech­ner in der Kanz­lei für die beA-Nutzung instal­liert wer­den muss, ein dafür nicht vorge­sehenes Zer­ti­fi­kat instal­lierte. Die Ausgabe­stelle des Zer­ti­fi­kats wurde von Drit­ten infor­miert, sie hat das Zer­ti­fi­kat nach den gel­ten­den Regu­la­rien umge­hend für ungül­tig erklärt.

Zur Fehler­behebung for­derte die BRAK am glei­chen Tag alle beA-Benutzer auf, ein zusätz­liches Zer­ti­fi­kat zu instal­lie­ren, und ver­öf­fent­lichte auch eine Anlei­tung, nach der die­ses Zer­ti­fi­kat als von einer vertrauens­würdigen Stamm­zertifizierungs­stelle kom­mend einzu­richten war. So war das beA wie­der erreich­bar. Die Instal­la­tion die­ses Zer­ti­fi­kat öff­nete aber – von der BRAK ersicht­lich nicht gewollt – eine Sicherheits­lücke für jede andere Kommuni­kation des Rech­ners nach außen (unab­hän­gig von der beA-Nutzung). Ein Bei­spiel:

Ein Rechts­an­walt hat auf sei­nem Lap­top die Anlei­tung befolgt und surft über einen WLAN-Hotspot im Netz. Ver­sierte andere Nut­zer des WLAN-Hotspots kön­nen auch ver­schlüs­selte Ver­bin­dun­gen (zu belie­bi­gen Web­sites) mit­le­sen, ohne dass dem Rechts­anwalt auch nur eine War­nung ange­zeigt wird. Er bekommt nach wie vor eine ver­schlüs­selte Verbin­dung signa­li­siert. Not­wen­dig ist nur, dass der Angrei­fer in die Kom­mu­ni­ka­tion des Rechts­an­walts ein­grei­fen kann; beim mit Kabel ver­netz­ten Desktop-Computer in der Kanz­lei ist das recht schwie­rig, bei Nut­zung offe­ner WLANs ein­fach.
Prof. Dr. Chris­toph Sorge, Saar­brü­cken

Dies wurde in den einschlä­gigen Blogs schnell heraus­ge­funden und beschrie­ben. Das beA wurde am 23. Dezem­ber 2017 bis über die Weihnachts­feiertage von der BRAK vom Netz genom­men, da „ver­ein­zelt Verbindungs­probleme zur beA-Webanwendung“ auf­ge­tre­ten seien. Es wäre wünschens­wert gewe­sen, wenn die BRAK das wäh­rend der Weih­nachts­tage nicht mehr nur in der Fach­öffentlich­keit dis­ku­tierte Pro­blem offen ange­sprochen hätte.

Der EDV-Gerichtstag hatte emp­foh­len, das Zer­ti­fi­kat zu deinstal­lie­ren:

Die BRAK hat in ihrem Sonder­newsletter vom 22.12.2017 dar­auf auf­merk­sam gemacht, dass die wei­tere Funk­tion des beA nur bei Instal­la­tion eines Zer­ti­fi­kats gewähr­leistet ist, das auf der Web­site der BRAK zum Down­load ange­bo­ten wurde. In der zuge­hö­ri­gen Anlei­tung wird emp­foh­len, das Zer­ti­fi­kat zu den „vertrauens­würdigen Stamm­zertifizierungs­stellen“ hin­zu­zu­fü­gen. Einem  Medien­bericht zufolge führt das Befol­gen der Anlei­tung zu einem schwer­wiegenden Sicherheits­problem. Der EDV-Gerichts­tag hat die­ses Sicherheits­problem nach­vollzogen. Es kann dazu füh­ren, dass die Schutz­wirkung von SSL- bzw. TLS-Ver­schlüsselung in der Kom­mu­ni­ka­tion mit belie­bi­gen Web­sites (nicht nur mit dem beA) auf­ge­ho­ben wird.
Wir raten daher drin­gend davon ab, die genannte An­leitung zu befol­gen. Soll­ten Sie dies bereits getan haben, ent­fer­nen Sie das Zer­ti­fi­kat wie­der aus der Liste der vertrauens­würdigen Stamm­zertifizierungs­stellen, wie in im  erwähn­ten Bericht beschrie­ben.
Nach unse­rem Kenntnis­stand ist die Anlei­tung der BRAK für die Instal­la­tion des Zer­ti­fi­kats in Fire­fox kor­rekt; die War­nung rich­tet sich daher an Nut­zer von Brow­sern, die den Zertifikats­speicher von Win­dows bzw. MacOS nut­zen (Inter­net Explo­rer, Edge, Chrome, Safari).
Unter  https://bea.tlsfun.de/ fin­den Sie einen Test, ob Ihr Sys­tem von dem Pro­blem betrof­fen ist. Der Test stammt nicht vom EDV-Gerichtstag, wir über­neh­men keine Gewähr für die Rich­tig­keit des Test­ergebnisses.

Nach den Weihnachts­tagen  rät nun auch die BRAK „drin­gend zur Deinstal­la­tion, um sich aus dem Zer­ti­fi­kat mög­licher­weise erge­bende Sicherheits­risiken für die indi­vi­du­elle PC-Umgebung aus­zu­schlie­ßen“.

Die Sicher­heits­lücke durch das Zer­ti­fi­kat und das nach­folgende Infor­mations­verhalten der BRAK sind aus Sicht des EDV-Gerichts­tages ohne Not geeig­net, das Ver­trauen in das beA zu beein­trächtigen. Eine voll­stän­dige Auf­klärung der beA-Anwender und ein trans­parenterer Umgang mit derar­tigen Vor­gängen durch die BRAK kön­nen das not­wendige Ver­trauen gerade in der schwie­ri­gen Um­stellungs­phase wie­der fes­ti­gen. Der EDV-Gerichtstag begrüßt daher die  aktu­elle An­kündi­gung der BRAK, „das beA-System erst wie­der bereit(zu)­stellen, wenn der techno­logische Dienst­leister die Stö­run­gen voll­ständig beho­ben und einen siche­ren Zugang gewähr­leis­tet hat“. Der EDV-Gerichtstag regt an, das beA durch eine externe Experten­gruppe zu begut­ach­ten. Er bie­tet seine Mit­wirkung hieran an.

Der elek­tro­ni­sche Rechts­verkehr ist für die Digitali­sierung in der Jus­tiz wesent­lich. Das beA ist der Kern des elektro­nischen Rechts­verkehrs und daher unverzicht­bar. Seine Nut­zung darf nicht zu Sicherheits­lücken füh­ren. Es muss zu einer nicht nur siche­ren, son­dern auch im Kanzlei­alltag in jeder IT-Umgebung nutzer­freundlicheren, schnel­len und moder­nen Anwen­dung fort­entwickelt wer­den.

‹ Deut­scher EDV-Gerichtstag in Saar­brü­cken gewinnt von Jahr zu Jahr an Rele­vanz und Renom­mee hinzu
Der EDV-GT emp­fiehlt, alter­na­ti­ven Ver­sand von frist­ge­bun­de­nen Doku­men­ten zu prü­fen ›

Beitrag vom: 27. Dezember 2017

Veröffentlicht in Pressemitteilungen
  • Kon­takt
  • Impres­sum
  • Daten­schutz­er­klä­rung
  • RSS-Feeds
  • Site­map
    © 2019 Deutscher EDV-Gerichtstag e.V.
    ↑
    Responsive Theme Powered by WordPress