Gesetzlich vorgeschriebenes Programm macht Anwalts-Computer unsicher

beA erzeugt auf den Rechnern eine Fehlermeldung
beA erzeugt auf den Rechnern eine Fehlermeldung
Es ist eine Posse, wie sie eigentlich nicht besser hätte inszeniert werden können. Doch die Posse ist nicht erdacht – sie trifft alle Rechtsanwälte, Gerichte und Justizbehörden in Deutschland. Seit vier Tagen müssten diese über ein angeblich sicheres E-Mail-System erreichbar sein. Doch das „beA“ genannte System sorgte stattdessen für große Sicherheitslücken auf den Computern der Anwälte. Darüber berichtete ich für MDR Aktuell.

beA, das besondere elektronischen Anwaltspostfach, sollte dafür sorgen, dass Post elektronisch geschützt über ein eigenes E-Mail-System zwischen den Anwälten und Justizbehörden hin und her verschickt werden kann. Sicher und schnell war die Devise, denn immerhin sollten hierüber beispielsweise Klagen und Mandantenakten versendet werden. Doch sicher war das System nicht und deshalb wurde es schnell abgeschaltet, bevor es ab Jahresbeginn gesetzlich in jeder Kanzlei vorhanden sein sollte. Der Leipziger Rechtsanwalt Uwe Steinmetz bringt das Problem auf den Punkt:

Seit 1.1.18 müsste es online sein. Ist es aber leider nicht, so dass wir Anwälte uns gegenwärtig eigentlich nicht ganz gesetzeskonform verhalten.

Markus Drenger, ein IT-Experte des Chaos Computer Clubs, hatte kurz vor Weihnachten entdeckt , was zuvor in der 15 monatigen Probephase niemanden aufgefallen war. Im Computerdeutsch – die Übersetzung folgt anschließend – umschreibt er es so:

Da gab es zum Beispiel ein Server-Zertifikat und war sozusagen auf dem lokalen Rechner installiert inklusive dem privaten Schlüssel. Einem Schlüssel, den der Anbieter nicht hätte herausgeben dürfen.

Für Nicht-IT-Experten: Der Zustand war so, als würde ein Türschlüssel direkt neben dem Türschloss an der Wand hängen.

Ja, genau. Und in der Regel hält man den geheimen Schlüssel privat, es ist halt ein digitaler Ausweis. Und mit dem digitalen Ausweis hätten sich andere Leute sozusagen als diese Firma ausgeben können und so Leute täuschen können.

Markus Drenger informierte darüber die Bundesrechtsanwaltskammer, die für beA zuständig ist. Diese wiederum wandte sich an den Hersteller Atos. Und dieser installierte ein neues Zertifikat. Doch statt alles zu verbessern, war danach nicht nur das besondere Anwaltspostfach betroffen, sondern jeder Anwaltscomputer, auf dem das Zertifikat installiert worden war:

Ja, das war in der Tat sehr viel schlimmer. Damals wäre es möglich gewesen, für Dritte, verschlüsselte Verbindungen der Kanzleien abzuhören. Das heißt, Angreifer hätten Passwörter und Pins mitlesen können.

Die Bundesrechtsanwaltskammer zog die Notbremse, setzte beA offline und bat alle Anwälte in Deutschland, das Zertifikat unbedingt von ihren Rechnern zu löschen. Für den Leipziger Rechtsanwalt Uwe Steinmetz ist all das ein Unding:

Anwälte haben nun einmal eine Verschwiegenheit, dafür haben wir uns im Mittelalter foltern lassen. Das ist ein absolut hohe Gut. Da darf auch keiner ran. Deswegen sind die Anwälte da auch schon bisschen pikier, dass es jetzt eingentlich durch das neue Zertifikat schlimmer geworden ist, als vorher. Weil: Die Verschwiegenheit geht über alles.

Der IT-Experte des Chaos Computer Clubs hat noch weitere Sicherheitsprobleme entdeckt. Die Bundesrechtsanwaltskammer hat inzwischen unabhängige Sachverständige mit der Prüfung des Programms beauftragt.