Deutscher EDV-Gerichtstag: Das beA sollte durch eine externe Expertengruppe begutachtet werden

Am let­zten Arbeit­stag vor Wei­h­nacht­en, dem 22. Dezem­ber 2017, war das be­sondere elektro­nische Anwalts­postfach (beA) nicht mehr erre­ich­bar. Die Bundes­rechts­anwalts­kammer (BRAK) teilte mit, sie sei am Vortag darüber informiert wor­den, “dass ein für die beA-Anwen­dung not­wendiges Zer­ti­fikat nicht mehr gültig ist”. Der Hinter­grund war, dass der “Client Secu­ri­ty”, der auf jedem Rech­n­er in der Kan­zlei für die beA-Nutzung instal­liert wer­den muss, ein dafür nicht vorge­sehenes Zer­ti­fikat instal­lierte. Die Ausgabe­stelle des Zer­ti­fikats wurde von Drit­ten informiert, sie hat das Zer­ti­fikat nach den gel­tenden Reg­u­lar­ien umge­hend für ungültig erk­lärt.

Zur Fehler­behebung forderte die BRAK am gle­ichen Tag alle beA-Benutzer auf, ein zusätz­liches Zer­ti­fikat zu instal­lieren, und veröf­fentlichte auch eine Anleitung, nach der dieses Zer­ti­fikat als von ein­er vertrauens­würdigen Stamm­zertifizierungs­stelle kom­mend einzu­richten war. So war das beA wieder erre­ich­bar. Die Instal­la­tion dieses Zer­ti­fikat öffnete aber — von der BRAK ersichtlich nicht gewollt — eine Sicherheits­lücke für jede andere Kommuni­kation des Rech­n­ers nach außen (unab­hängig von der beA-Nutzung). Ein Beispiel:

Ein Recht­san­walt hat auf seinem Lap­top die Anleitung befol­gt und surft über einen WLAN-Hotspot im Netz. Ver­sierte andere Nutzer des WLAN-Hotspots kön­nen auch ver­schlüs­selte Verbindun­gen (zu beliebi­gen Web­sites) mitle­sen, ohne dass dem Rechts­anwalt auch nur eine War­nung angezeigt wird. Er bekommt nach wie vor eine ver­schlüs­selte Verbin­dung sig­nal­isiert. Notwendig ist nur, dass der Angreifer in die Kom­mu­nika­tion des Recht­san­walts ein­greifen kann; beim mit Kabel ver­net­zten Desk­top-Com­put­er in der Kan­zlei ist das recht schwierig, bei Nutzung offen­er WLANs ein­fach.
Prof. Dr. Christoph Sorge, Saar­brück­en

Dies wurde in den einschlä­gigen Blogs schnell heraus­ge­funden und beschrieben. Das beA wurde am 23. Dezem­ber 2017 bis über die Weihnachts­feiertage von der BRAK vom Netz genom­men, da “vere­inzelt Verbindungs­probleme zur beA-Weban­wen­dung” aufge­treten seien. Es wäre wünschens­wert gewe­sen, wenn die BRAK das während der Weih­nachts­tage nicht mehr nur in der Fach­öffentlich­keit disku­tierte Prob­lem offen ange­sprochen hätte.

Der EDV-Gericht­stag hat­te emp­fohlen, das Zer­ti­fikat zu dein­stal­lieren:

Die BRAK hat in ihrem Sonder­newsletter vom 22.12.2017 darauf aufmerk­sam gemacht, dass die weit­ere Funk­tion des beA nur bei Instal­la­tion eines Zer­ti­fikats gewähr­leistet ist, das auf der Web­site der BRAK zum Down­load ange­boten wurde. In der zuge­höri­gen Anleitung wird emp­fohlen, das Zer­ti­fikat zu den “vertrauens­würdigen Stamm­zertifizierungs­stellen” hinzuzufü­gen. Einem  Medien­bericht zufolge führt das Befol­gen der Anleitung zu einem schwer­wiegenden Sicherheits­problem. Der EDV-Gericht­s­­tag hat dieses Sicherheits­problem nach­vollzogen. Es kann dazu führen, dass die Schutz­wirkung von SSL- bzw. TLS-Ver­schlüs­selung in der Kom­mu­nika­tion mit beliebi­gen Web­sites (nicht nur mit dem beA) aufge­hoben wird.
Wir rat­en daher drin­gend davon ab, die genan­nte An­leitung zu befol­gen. Soll­ten Sie dies bere­its getan haben, ent­fer­nen Sie das Zer­ti­fikat wieder aus der Liste der vertrauens­würdigen Stamm­zertifizierungs­stellen, wie in im  erwäh­n­ten Bericht beschrieben.
Nach unserem Kenntnis­stand ist die Anleitung der BRAK für die Instal­la­tion des Zer­ti­fikats in Fire­fox kor­rekt; die War­nung richtet sich daher an Nutzer von Browsern, die den Zertifikats­speicher von Win­dows bzw. MacOS nutzen (Inter­net Explor­er, Edge, Chrome, Safari).
Unter  https://bea.tlsfun.de/ find­en Sie einen Test, ob Ihr Sys­tem von dem Prob­lem betrof­fen ist. Der Test stammt nicht vom EDV-Gericht­stag, wir übernehmen keine Gewähr für die Richtigkeit des Test­ergebnisses.

Nach den Weihnachts­tagen  rät nun auch die BRAK “drin­gend zur Dein­stal­la­tion, um sich aus dem Zer­ti­fikat mög­licher­weise ergebende Sicherheits­risiken für die indi­vidu­elle PC-Umge­bung auszuschließen”.

Die Sicher­heits­lücke durch das Zer­ti­fikat und das nach­folgende Infor­mations­verhalten der BRAK sind aus Sicht des EDV-Gericht­s­­tages ohne Not geeig­net, das Ver­trauen in das beA zu beein­trächtigen. Eine voll­stän­dige Auf­klärung der beA-Anwen­der und ein trans­parenterer Umgang mit derar­tigen Vor­gängen durch die BRAK kön­nen das not­wendige Ver­trauen ger­ade in der schwieri­gen Um­stellungs­phase wieder fes­ti­gen. Der EDV-Gericht­stag begrüßt daher die  aktuelle An­kündi­gung der BRAK, “das beA-Sys­tem erst wieder bereit(zu)­stellen, wenn der techno­logische Dienst­leister die Störun­gen voll­ständig behoben und einen sicheren Zugang gewährleis­tet hat”. Der EDV-Gericht­stag regt an, das beA durch eine externe Experten­gruppe zu begutacht­en. Er bietet seine Mit­wirkung hier­an an.

Der elek­tro­n­is­che Rechts­verkehr ist für die Digitali­sierung in der Jus­tiz wesentlich. Das beA ist der Kern des elektro­nischen Rechts­verkehrs und daher unverzicht­bar. Seine Nutzung darf nicht zu Sicherheits­lücken führen. Es muss zu ein­er nicht nur sicheren, son­dern auch im Kanzlei­alltag in jed­er IT-Umge­bung nutzer­freundlicheren, schnellen und mod­er­nen Anwen­dung fort­entwickelt wer­den.