© JUNGE FREIHEIT Verlag GmbH & Co. www.jungefreiheit.de 05/18 / 26. Januar 2018

Papier ist vertraulich
Justiz: Wegen erheblicher Sicherheitsmängel bleibt das „besondere elektronische Anwaltspostfach“ vorerst leer / Kritik an Verschlüsselung
Henning Lindhoff

Anwälte lieben das Fax. „E-Mails mögen wir nicht so sehr – zu unsicher“, meint der Rechtsanwalt und Kabarettist Dominik Herzog („Wer hat Recht?“). „Statt der unsicheren E-Mail wollten wir etwas Sicheres, etwas Eigenes.“ Heraus kam das „besondere elektronische Anw altspostfach“, kurz „beA“. 

Seit dem 1. Januar dieses Jahres sind die rund 165.000 praktizierenden Anwälte in Deutschland verpflichtet, das beA zu nutzen. Ursprünglich anvisierter Starttermin war Anfang 2016. Und schon seit 2015 zahlen die Juristen jährlich eine Umlage an die Bundesrechtsanwaltskammer (BRAK). Dazu kommen noch für jede Kanzlei die Kosten zur Einrichtung des Systems.   

Auf dem Spiel steht die     anwaltliche Schweigepflicht

Doch am 23. Dezember 2017 kam dann das vorläufige Aus: „Wir haben nicht in jedem Moment mit der erforderlichen Vorsicht agiert und uns zu schnell auf einen Lösungsvorschlag unseres technologischen Dienstleisters eingelassen.“ Mit diesen Worten bat Kammerpräsident Ekkehart Schäfer seine Kollegen um Entschuldigung. Der Grund, weshalb die BRAK das System kurz vor dem geplanten Start vom Netz nahm, war ein erhebliches Sicherheitsleck. Ein für den Zugang erforderliches Zertifikat war als unsicher eingestuft worden. 

Pikant: Erst drei Tage zuvor hatte das Bundesverfassungsgericht die Klage eines Anwalts gegen den gesetzlichen Zwang zur Nutzung des beA abgewiesen. Mutig daher die Behauptung im Schreiben der BRAK vom 23. Dezember: „Kein Dokument, das über das beA versendet wurde, war öffentlich, die Kommunikation ist stets vertraulich und verschlüsselt.“ Eine Garantie dafür gibt es nicht. Fragen und Beschwerden häufen sich bis heute.

Denn spezifische Angaben seitens der Kammer zur  bedenklichen sicherheitstechnischen Lage vermissen die Juristen. Sie müssen hier auf die Recherchen zweier Mitglieder des Chaos Computer Clubs (CCC) vertrauen. Markus Drenger und Felix Rohrbach vom Regionalclub in Darmstadt stellten ihre entsprechende Analyse auf dem Kongreß des Clubs Ende Dezember in Leipzig vor. Die beiden Informatiker unternahmen jedoch keinen Hack-Angriff auf die beA-Software, sondern analysierten einzig und allein öffentlich zugängliche Dokumente. 

Unter Berufung auf Geschäftsgeheimnisse hatte ihnen der beA-Lieferant, der französische IT-Dienstleister Atos, weitergehende Auskünfte verweigert. Doch bereits der Blick auf das für jedermann Zugängliche genügte, um erhebliche technische Mängel aufzudecken: So bremst der systemeigene Spamschutz die anwaltliche Arbeit in der Weise aus, daß Anwälte nur alle 15 Minuten eine E-Mail an Gerichte oder Kollegen schicken können. Mehr als 30 Megabyte können nicht versandt werden. Das größte Manko ist jedoch die Sicherheitsinfrastruktur des beA-Systems. 

Jede E-Mail wird vom Rechner des versendenden Anwalts verschlüsselt und an den Verteiler von beA gesandt. Hier tritt ein Modul in Aktion, das die E-Mail wieder entschlüsselt und für den Empfänger neu verschlüsselt. Zu diesem Zweck sind alle Kodierungsschlüssel aller Anwälte auf den zentralen beA-Servern gespeichert. „Eine Ende-zu-Ende-Verschlüsselung sieht anders aus“, kommentierte Markus Drenger dies treffend beim CCC-Kongreß. Denn wird der beA-Verteiler gehackt, lassen sich alle Mails entschlüsseln und mitlesen. Sein Kollege Felix Rohrbach berichtete über weitere Einzelheiten der Software, für die Hersteller Atos 38 Millionen Euro kassiert hatte. So werden einzelne quelloffene Bestandteile der Software bereits seit August 2015 nicht mehr gepflegt.

Ob und, falls ja, wann das besondere Anwaltspostfach wieder in Betrieb genommen werden kann, ist heute unklar. Markus Drenger gab zu Protokoll, daß die Sicherheitslücken nicht binnen drei bis vier Monaten zu beheben seien. Derweil zog die Bundesrechtsanwaltskammer erste Konsequenzen und stellte Ende Dezember die Zahlungen an den Softwaredienstleister Atos ein. 

Abgesehen vom finanziellen Schlag ins Kontor wurde aber vor allem das Vertrauen in die Bundesrechtsanwaltskammer erschüttert. Schließlich steht nicht weniger als die anwaltliche Schweigepflicht auf dem Spiel – und damit ein wichtiges Bestandteil des Rechtsstaats.

Das wissen Ekkehart Schäfer und seine Kollegen. Dem vielfach kritisierten Mangel an Transparenz haben sie bereits den Kampf angesagt. Neben allerlei externen Experten wollen sie nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die weitere Entwicklung mit einbeziehen. Ein entsprechendes Gutachten soll später öffentlich einsehbar sein. 

Jurist und Comedian Herzog hat unterdessen die teure Pleite zu einem kleinen satirischen Lied verarbeitet: „Ich brauch’ kein beA, / Leben ist wunderbar. / Schreibe wieder auf Papier. / Ja, das lob’ ich mir!“