Am letzten Arbeitstag vor Weihnachten, dem 22. Dezember 2017, war das besondere elektronische Anwaltspostfach (beA) nicht mehr erreichbar. Die Bundesrechtsanwaltskammer (BRAK) teilte mit, sie sei am Vortag darüber informiert worden, „dass ein für die beA-Anwendung notwendiges Zertifikat nicht mehr gültig ist“. Der Hintergrund war, dass der „Client Security“, der auf jedem Rechner in der Kanzlei für die beA-Nutzung installiert werden muss, ein dafür nicht vorgesehenes Zertifikat installierte. Die Ausgabestelle des Zertifikats wurde von Dritten informiert, sie hat das Zertifikat nach den geltenden Regularien umgehend für ungültig erklärt.
Zur Fehlerbehebung forderte die BRAK am gleichen Tag alle beA-Benutzer auf, ein zusätzliches Zertifikat zu installieren, und veröffentlichte auch eine Anleitung, nach der dieses Zertifikat als von einer vertrauenswürdigen Stammzertifizierungsstelle kommend einzurichten war. So war das beA wieder erreichbar. Die Installation dieses Zertifikat öffnete aber – von der BRAK ersichtlich nicht gewollt – eine Sicherheitslücke für jede andere Kommunikation des Rechners nach außen (unabhängig von der beA-Nutzung). Ein Beispiel:
Ein Rechtsanwalt hat auf seinem Laptop die Anleitung befolgt und surft über einen WLAN-Hotspot im Netz. Versierte andere Nutzer des WLAN-Hotspots können auch verschlüsselte Verbindungen (zu beliebigen Websites) mitlesen, ohne dass dem Rechtsanwalt auch nur eine Warnung angezeigt wird. Er bekommt nach wie vor eine verschlüsselte Verbindung signalisiert. Notwendig ist nur, dass der Angreifer in die Kommunikation des Rechtsanwalts eingreifen kann; beim mit Kabel vernetzten Desktop-Computer in der Kanzlei ist das recht schwierig, bei Nutzung offener WLANs einfach.
Prof. Dr. Christoph Sorge, Saarbrücken
Dies wurde in den einschlägigen Blogs schnell herausgefunden und beschrieben. Das beA wurde am 23. Dezember 2017 bis über die Weihnachtsfeiertage von der BRAK vom Netz genommen, da „vereinzelt Verbindungsprobleme zur beA-Webanwendung“ aufgetreten seien. Es wäre wünschenswert gewesen, wenn die BRAK das während der Weihnachtstage nicht mehr nur in der Fachöffentlichkeit diskutierte Problem offen angesprochen hätte.
Der EDV-Gerichtstag hatte empfohlen, das Zertifikat zu deinstallieren:
Die BRAK hat in ihrem Sondernewsletter vom 22.12.2017 darauf aufmerksam gemacht, dass die weitere Funktion des beA nur bei Installation eines Zertifikats gewährleistet ist, das auf der Website der BRAK zum Download angeboten wurde. In der zugehörigen Anleitung wird empfohlen, das Zertifikat zu den „vertrauenswürdigen Stammzertifizierungsstellen“ hinzuzufügen. Einem
Medienbericht zufolge führt das Befolgen der Anleitung zu einem schwerwiegenden Sicherheitsproblem. Der EDV-Gerichtstag hat dieses Sicherheitsproblem nachvollzogen. Es kann dazu führen, dass die Schutzwirkung von SSL- bzw. TLS-Verschlüsselung in der Kommunikation mit beliebigen Websites (nicht nur mit dem beA) aufgehoben wird.
Wir raten daher dringend davon ab, die genannte Anleitung zu befolgen. Sollten Sie dies bereits getan haben, entfernen Sie das Zertifikat wieder aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen, wie in imerwähnten Bericht beschrieben.
Nach unserem Kenntnisstand ist die Anleitung der BRAK für die Installation des Zertifikats in Firefox korrekt; die Warnung richtet sich daher an Nutzer von Browsern, die den Zertifikatsspeicher von Windows bzw. MacOS nutzen (Internet Explorer, Edge, Chrome, Safari).
Unterhttps://bea.tlsfun.de/ finden Sie einen Test, ob Ihr System von dem Problem betroffen ist. Der Test stammt nicht vom EDV-Gerichtstag, wir übernehmen keine Gewähr für die Richtigkeit des Testergebnisses.
Nach den Weihnachtstagen rät nun auch die BRAK „dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen“.
Die Sicherheitslücke durch das Zertifikat und das nachfolgende Informationsverhalten der BRAK sind aus Sicht des EDV-Gerichtstages ohne Not geeignet, das Vertrauen in das beA zu beeinträchtigen. Eine vollständige Aufklärung der beA-Anwender und ein transparenterer Umgang mit derartigen Vorgängen durch die BRAK können das notwendige Vertrauen gerade in der schwierigen Umstellungsphase wieder festigen. Der EDV-Gerichtstag begrüßt daher die aktuelle Ankündigung der BRAK, „das beA-System erst wieder bereit(zu)stellen, wenn der technologische Dienstleister die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat“. Der EDV-Gerichtstag regt an, das beA durch eine externe Expertengruppe zu begutachten. Er bietet seine Mitwirkung hieran an.
Der elektronische Rechtsverkehr ist für die Digitalisierung in der Justiz wesentlich. Das beA ist der Kern des elektronischen Rechtsverkehrs und daher unverzichtbar. Seine Nutzung darf nicht zu Sicherheitslücken führen. Es muss zu einer nicht nur sicheren, sondern auch im Kanzleialltag in jeder IT-Umgebung nutzerfreundlicheren, schnellen und modernen Anwendung fortentwickelt werden.