Deut­scher EDV-Gerichts­tag: Das beA soll­te durch eine exter­ne Exper­ten­grup­pe begut­ach­tet wer­den

Am letz­ten Arbeits­tag vor Weih­nach­ten, dem 22. Dezem­ber 2017, war das be­sondere elektro­nische Anwalts­postfach (beA) nicht mehr erreich­bar. Die Bundes­rechts­anwalts­kammer (BRAK) teil­te mit, sie sei am Vor­tag dar­über infor­miert wor­den, „dass ein für die beA-Anwen­dung not­wendiges Zer­ti­fi­kat nicht mehr gül­tig ist“. Der Hinter­grund war, dass der „Cli­ent Secu­ri­ty“, der auf jedem Rech­ner in der Kanz­lei für die beA-Nut­zung instal­liert wer­den muss, ein dafür nicht vorge­sehenes Zer­ti­fi­kat instal­lier­te. Die Ausgabe­stelle des Zer­ti­fi­kats wur­de von Drit­ten infor­miert, sie hat das Zer­ti­fi­kat nach den gel­ten­den Regu­la­ri­en umge­hend für ungül­tig erklärt.

Zur Fehler­behebung for­der­te die BRAK am glei­chen Tag alle beA-Benut­zer auf, ein zusätz­liches Zer­ti­fi­kat zu instal­lie­ren, und ver­öf­fent­lich­te auch eine Anlei­tung, nach der die­ses Zer­ti­fi­kat als von einer vertrauens­würdigen Stamm­zertifizierungs­stelle kom­mend einzu­richten war. So war das beA wie­der erreich­bar. Die Instal­la­ti­on die­ses Zer­ti­fi­kat öff­ne­te aber – von der BRAK ersicht­lich nicht gewollt – eine Sicherheits­lücke für jede ande­re Kommuni­kation des Rech­ners nach außen (unab­hän­gig von der beA-Nut­zung). Ein Bei­spiel:

Ein Rechts­an­walt hat auf sei­nem Lap­top die Anlei­tung befolgt und surft über einen WLAN-Hot­spot im Netz. Ver­sier­te ande­re Nut­zer des WLAN-Hot­spots kön­nen auch ver­schlüs­sel­te Ver­bin­dun­gen (zu belie­bi­gen Web­sites) mit­le­sen, ohne dass dem Rechts­anwalt auch nur eine War­nung ange­zeigt wird. Er bekommt nach wie vor eine ver­schlüs­sel­te Verbin­dung signa­li­siert. Not­wen­dig ist nur, dass der Angrei­fer in die Kom­mu­ni­ka­ti­on des Rechts­an­walts ein­grei­fen kann; beim mit Kabel ver­netz­ten Desk­top-Com­pu­ter in der Kanz­lei ist das recht schwie­rig, bei Nut­zung offe­ner WLANs ein­fach.
Prof. Dr. Chris­toph Sor­ge, Saar­brü­cken

Dies wur­de in den einschlä­gigen Blogs schnell heraus­ge­funden und beschrie­ben. Das beA wur­de am 23. Dezem­ber 2017 bis über die Weihnachts­feiertage von der BRAK vom Netz genom­men, da „ver­ein­zelt Verbindungs­probleme zur beA-Web­an­wen­dung“ auf­ge­tre­ten sei­en. Es wäre wünschens­wert gewe­sen, wenn die BRAK das wäh­rend der Weih­nachts­tage nicht mehr nur in der Fach­öffentlich­keit dis­ku­tier­te Pro­blem offen ange­sprochen hät­te.

Der EDV-Gerichts­tag hat­te emp­foh­len, das Zer­ti­fi­kat zu deinstal­lie­ren:

Die BRAK hat in ihrem Sonder­newsletter vom 22.12.2017 dar­auf auf­merk­sam gemacht, dass die wei­te­re Funk­ti­on des beA nur bei Instal­la­ti­on eines Zer­ti­fi­kats gewähr­leistet ist, das auf der Web­site der BRAK zum Down­load ange­bo­ten wur­de. In der zuge­hö­ri­gen Anlei­tung wird emp­foh­len, das Zer­ti­fi­kat zu den „vertrauens­würdigen Stamm­zertifizierungs­stellen“ hin­zu­zu­fü­gen. Einem  Medien­bericht zufol­ge führt das Befol­gen der Anlei­tung zu einem schwer­wiegenden Sicherheits­problem. Der EDV-Gerichts­­tag hat die­ses Sicherheits­problem nach­vollzogen. Es kann dazu füh­ren, dass die Schutz­wirkung von SSL- bzw. TLS-Ver­­­schlüs­se­lung in der Kom­mu­ni­ka­ti­on mit belie­bi­gen Web­sites (nicht nur mit dem beA) auf­ge­ho­ben wird.
Wir raten daher drin­gend davon ab, die genann­te An­leitung zu befol­gen. Soll­ten Sie dies bereits getan haben, ent­fer­nen Sie das Zer­ti­fi­kat wie­der aus der Lis­te der vertrauens­würdigen Stamm­zertifizierungs­stellen, wie in im  erwähn­ten Bericht beschrie­ben.
Nach unse­rem Kenntnis­stand ist die Anlei­tung der BRAK für die Instal­la­ti­on des Zer­ti­fi­kats in Fire­fox kor­rekt; die War­nung rich­tet sich daher an Nut­zer von Brow­sern, die den Zertifikats­speicher von Win­dows bzw. MacOS nut­zen (Inter­net Explo­rer, Edge, Chro­me, Safa­ri).
Unter  https://bea.tlsfun.de/ fin­den Sie einen Test, ob Ihr Sys­tem von dem Pro­blem betrof­fen ist. Der Test stammt nicht vom EDV-Gerichts­tag, wir über­neh­men kei­ne Gewähr für die Rich­tig­keit des Test­ergebnisses.

Nach den Weihnachts­tagen  rät nun auch die BRAK „drin­gend zur Deinstal­la­ti­on, um sich aus dem Zer­ti­fi­kat mög­licher­weise erge­ben­de Sicherheits­risiken für die indi­vi­du­el­le PC-Umge­bung aus­zu­schlie­ßen“.

Die Sicher­heits­lücke durch das Zer­ti­fi­kat und das nach­folgende Infor­mations­verhalten der BRAK sind aus Sicht des EDV-Gerichts­­ta­ges ohne Not geeig­net, das Ver­trauen in das beA zu beein­trächtigen. Eine voll­stän­dige Auf­klärung der beA-Anwen­der und ein trans­parenterer Umgang mit derar­tigen Vor­gängen durch die BRAK kön­nen das not­wendige Ver­trauen gera­de in der schwie­ri­gen Um­stellungs­phase wie­der fes­ti­gen. Der EDV-Gerichts­tag begrüßt daher die  aktu­el­le An­kündi­gung der BRAK, „das beA-Sys­tem erst wie­der bereit(zu)­stellen, wenn der techno­logische Dienst­leister die Stö­run­gen voll­ständig beho­ben und einen siche­ren Zugang gewähr­leis­tet hat“. Der EDV-Gerichts­tag regt an, das beA durch eine exter­ne Experten­gruppe zu begut­ach­ten. Er bie­tet sei­ne Mit­wirkung hier­an an.

Der elek­tro­ni­sche Rechts­verkehr ist für die Digitali­sierung in der Jus­tiz wesent­lich. Das beA ist der Kern des elektro­nischen Rechts­verkehrs und daher unverzicht­bar. Sei­ne Nut­zung darf nicht zu Sicherheits­lücken füh­ren. Es muss zu einer nicht nur siche­ren, son­dern auch im Kanzlei­alltag in jeder IT-Umge­bung nutzer­freundlicheren, schnel­len und moder­nen Anwen­dung fort­entwickelt wer­den.