In einem Rundschreiben wendet sich heute der Präsident der Berliner Rechtsanwaltskammer (RAK Berlin), Dr. Marcus Mollnau, an die Kollegen.
Wenn man Herrn Rechtsanwalt Dr. Mollnau kennt und weiß, wie höflich, distinguiert und diplomatisch er sich üblicherweise sonst ausdrückt, spürt den heiligen Zorn, den er – provoziert von den Funktionären der BRAK – nun in sich trägt, spätestens in diesen Worten:
Sehr geehrte Kolleginnen und Kollegen,
die Bundesrechtsanwaltskammer (BRAK) empfiehlt allen Rechtsanwältinnen und Rechtsanwälten, die für die bisherige beA-Nutzung erforderliche Client Security zu deinstallieren bzw. zu deaktivieren. Diese Empfehlung ist in einer Pressemitteilung enthalten, die die BRAK über den Verlauf des beAthon in den Abendstunden des 26.01.2018 veröffentlicht hat.
Es heißt dazu in dieser Pressemitteilung: „Die Deaktivierung der beA Client Security kann auf zwei Wegen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners.“
Der Rechtsanwaltskammer Berlin liegen über diese Presseerklärung hinaus leider keine weiteren Informationen oder Mitteilungen der BRAK vor. In der Presseerklärung der BRAK wird jedoch davon gesprochen, dass die bisher installierte Client Security „eine Lücke für einen externen Angriff darstellen“ kann. Deshalb empfiehlt die RAK Berlin dringend, die Deinstallation durchzuführen.
Nachdem die von der BRAK für die Einrichtung und den Betrieb des beA beauftragte Dienstleisterin, die Atos GmbH, ihre Teilnahme an dem beAthon der BRAK kurzfristig abgesagt hatte, veröffentlichte Atos erstmals eine eigene Erklärung (pdf). Darin heißt es, dass mit einer der BRAK zur Verfügung gestellten neuen Version der beA-Client-Anwendung die „potentielle Sicherheitslücke in der beA Browser-Anwendung geschlossen“ sei. „Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig“, so Atos weiter. Die Teilnehmer des beAthon haben diese von der Atos GmbH angebotene Lösung diskutiert.
Die RAK Berlin vertraut nicht allein auf Erklärungen der Atos GmbH oder der BRAK. Der Vorstand der RAK Berlin hat deshalb einstimmig beschlossen, dass eine Wiederinbetriebnahme des beA erst erfolgen darf, wenn durch externe Sachverständige nach vollständigen Prüfungen (White-Box-Tests) die Sicherheit des gesamten Systems und die absolute Vertraulichkeit der über das System zu versendenden Nachrichten gewährleistet und nachgewiesen sind. Diese Forderung wird die RAK Berlin in die Entscheidungsprozesse der Hauptversammlung der BRAK einbringen.
Ich pflichte dem weit hörbaren Schlag des Präsidenten der RAK Berlin mit der Faust auf dem Tisch bei. Es erscheint mir als eine Unverschämtheit der BRAK, unsere Kammer allein über Pressemitteilungen zu informieren; die Altvorderen der BRAK dürfen sich nicht wundern, wenn damit jedes Vertrauen in deren Zuverlässigkeit bis zum St. Nimmerleinstag perdu sein wird.
Und solange nicht hundertprozentig feststeht, daß unsere Schreiben nicht vor dem Zugriff Dritter geschützt sind, und die Software auch funktioniert, kommt mir das nicht nur vollkommen unhandliche, d.h. bislang praxisuntaugliche Zeug von Atos nicht ins Haus. Basta!
Fettdruck von mir. crh
__
Bild: Screen Shot von der Website der BRAK
Damit wäre meine Frage in dem letzten beA-Post wohl geklärt :-). Hoffentlich ziehen die anderen RAKn mit.
So viel ich weiß, sind keinerlei Schreiben von Anwälten, auch und gerade solche, die postalisch verschickt werden, hundertprozentig vor dem Zugriff Dritter sicher.
„Und solange nicht hundertprozentig feststeht, daß unsere Schreiben nicht vor dem Zugriff Dritter geschützt sind“
Ist das nicht schon gegeben? *SCNR*
„solange nicht hundertprozentig feststeht, daß unsere Schreiben nicht vor dem Zugriff Dritter geschützt sind…“
Den Berichten zufolge geht es bei den jetzt herausgekommenen Sicherheitsproblemen ja schon gar nicht mehr „nur“ um den sicheren Austausch von Nachrichten. Es geht jetzt darum, dass ein Anwaltsrechner, auf dem die im beAthon untersuchte Version des beA-Clients läuft, komplett für Angreifer geöffnet ist. Auch außerhalb des beA-Kontexts. („Gut, dass ich alles verschlüssele“? Dann installiert der Angreifer halt einen Keylogger und liest damit das Passwort aus. Komplett heisst komplett.) Und wenn die Kanzlei ein internes Netzwerk hat, kommt der Angreifer darüber auch in alle anderen Rechner der Kanzlei, die dem beA-„infizierten“ Rechner zugänglich sind.
Dass eine so schwere Sicherheitslücke seitens der BRAK anscheinend nur mitten in einer allgemeinen Pressemitteilung kommuniziert wird, und nicht per Dringlichkeit-hoch Email mit dem Betreff „beA-Client: sofort deaktivieren!!“ direkt an die betroffenen Anwälte – das ist für mich schon, maximal gelinde gesagt, erstaunlich. Vulgärsprachlich: ich find’s kriminell.
Das sehe ich so wie Sie!
Und bin gespannt auf die Haltung der RAK M-V.
Freundliche kollegiale Grüße,
A.M. Wesener, RAin
@ThomasM, das dürfte hier eher auf das Design des beAs zielen. Wenn CRH über das beA eine Nachricht an einen anderen Anwalt schickt, wird die zwar verschlüsselt übertragen. Aber „nur“ bis zum Zentralserver vom beA, der dann einen Teil entschlüsselt und neuverschlüsselt weiterschickt.
Es ist doch schon bekannt, dass die Nachrichten NICHT gegen Zugriff Dritter geschützt sind, und zwar by design. Ich bin mir auch fast sicher, dass das Pflichtenheft Punkte enthält, die das unmöglich machen.
Es wäre also an der Rechtsanwaltschaft, der BRAK JETZT auf die Füße zu treten und sowas entfernen zu lassen, anstatt zu warten, bis eine „sichere“ Lösung nach Pflichtenheft entsteht, bei der der Schutz gegen Dritte darin besteht, dass die Dritten versichern, da schon nciht reinzuschauen.
Vertretungsregelung hieße dann: Ein zentraler Server speichert signiert vom vertretenden Anwalt, an wen der Client des Versenders ein verschlüsseltes CC senden soll.
Nachträglich können nur noch Nachrichten an den Absender geschickt werden, bitte nochmal an einen anderen Anwalt zu senden oder es wird selbst weitergeleitet. Ist ja bei Briefpost auch nicht anders.
@Thomas M.
Natürlich kann man versuchen, einen einzelnen Brief abzufangen. Man kann auch einen Anwalt in einen dunklen Keller sperren und so lange mit dem Schraubenzieher bearbeiten, bis man alle Zugangsdaten von ihm hat. Diese Möglichkeiten gab es vor dem beA, diese Möglichkeiten gibt es mit dem beA. Das Problem ist, dass man beim beA prinzipienbedingt *alle* Nachrichten „in der Mitte“, nämlich in diesem Umschlüsselungsmodul auslesen kann und dass man eine Software entwickeln könnte, die als Virus/Trojaner verteilt alle Anwalts-PC infiziert (etwa nach der Methode „Stuxnet“).
Während die traditionellen Möglichkeiten durch beispielsweise ausländische Dienste bisher jedenfalls nicht flächendeckend angewendet werden konnten, sind die neuen Szenarien durchaus realistisch für den Angriff durch insbesondere „befreundete“ und befeindete Dienste.
Es ist seit der Snowden Affaire defintiv bekannt, dass die Dienste der USA, des UK und Israels in Deutschland Wirtschaftsspionage betreiben. Rußland und China sowieso. Für Frankreich (=Atos) gibt Indizien in diese Richtung.
Wenn man nun Zugriff auf quasi die gesamte Anwaltskorrespondenz hat, bietet sich viel unmittelbare Spionage an (Geheimverträge, Patentschriften vor Offenlegung usw.) und noch mehr Erpressungsmöglichkeiten (dreckige Wäsche aus dem Scheidungsverfahren vom Pförtner, an dem man vorbei muss, um an der Quelle abzugreifen).
Das Design des beA ist purer Wahnsinn. Ob der auch Methode hat (frei nach Hamlet), sei mal dahingestellt.
Mir ist erst jetzt das Logo vom beA richtig aufgefallen. Schon irgendwie wieder gut: Von den drei Schlagworten stimmt gerade mal eins, die anderen zwei erwiesenermaßen (!) nicht.
[…] RAK Berlin – kein Vertrauen in Atos und die BRAK, oder: #beA-los, durch die Nacht … […]
Hier müsste man zustimmend mit schweren Schuhen auf den Tisch springen! Genau so ist es. Eigentlich gehört dieser Mist entsorgt und als OpenSource-Lösung neu entwickelt. Alles andere ist meiner Meinung nach Schwachsinn.