beA-Desaster: Was jetzt passieren muss

Das besondere elektronische Anwaltspostfach (beA) hat eine Pannen-Serie hinter sich. Der beA-Start wurde zur peinlichen Angelegenheit für die Bundesrechtsanwaltskammer (Brak) und den technischen Dienstleister.

„Man muss rückblickend kritisch fragen, ob es klug war, die Bundesrechtsanwaltskammer mit der Einführung des beA zu beauftragen. Als Selbstverwaltungskörperschaft hat sie weder die Erfahrung noch die nötige Kompetenz für ein so komplexes IT- Projekt“, kommentiert Matthias Bergt, Rechtsanwalt und Partner bei Boetticher Rechtsanwälte in der aktuellen NJW (3/2018).

Bergt weiter:

„Man muss auch kritisch fragen, ob mit der Firma Atos GmbH der richtige Dienstleister ausgewählt wurde. Immerhin hat er ein schon im Ansatz unsicheres System gebaut und in Betrieb genommen. Schlimmer noch: Auf das wegen Sicherheitsproblemen gesperrte offizielle Zertifikat hat er mit einer hochgefährlichen Bastel- Lösung reagiert, die mit keiner IT­ Policy vereinbar ist – wohl in der Erwartung, es werde schon niemand merken.

Bergt fordert nun von den Verantwortlichen „absolute Transparenz“. Das gesamte beA müsse „komplett offengelegt werden von der Client- Software über die Server- Implementierung und die Schnittstellen bis hin zur Hard- und Software von beA- Karte und Hardware- Sicherheits- Modul im Rechenzentrum“.

beA-Desaster: BSI als Problemlöser?

Sicherheitsprofis sollten die Technologie nun „auf Herz und Nieren“ testen. Und Bergt hat auch schon eine Idee, wer den Job übernehmen könnte: das Bundesamt für Sicherheit in der Informationstechnik BSI. Dieses könne mit dem Sicherheitsaudit betraut werden und sollte anschließend die Audit-Berichte öffentlich zugänglich machen.

Was ist Ihre Meinung zum „beA-Gate“? 

3 Antworten
  1. Johannes
    Johannes says:

    Als erstes würde es *mir* als eine gute Idee erscheinen, damit aufzuhören, das ganze als „Panne“ bzw. „Pannenserie“ zu bezeichnen.

    Das ist nicht einmal ein Unfall, sonder schon eher mit Absicht vor die Wand gefahren. Und in anbetracht der Kosten ist das auch keine Panne, sondern eher ein „GAU“.

  2. Enrico Weigelt, metux IT consult
    Enrico Weigelt, metux IT consult says:

    Wie ich schon in der LTO geäußert hatte, muß ich das Projekt als Totalschaden einstufen.

    1. Web-Anwendung und E2E ist ein Widerspruch in sich. Die großen Schwachpunkte Webserver und Browser. Sowohl XSS-Leaks als auch Manipulationen am Server (bösartiger Javascript-Code) ermöglichen das Abgreifen der noch bzw. schon entschlüsselten Nachrichten. Es ist ein lokaler Client nötig.

    2. d
    Das „ClientSecurity“ (augescheinlich von Governikus/BOS gebaut – jedenfalls gemäß der Namensgebung der Java-Klassen) muß gewaltig umgebaut werden, weil der Grundansatz schon falsch ist. Das Zertifikat für die Verbindung Browser“ClientSecurity“ muß lokal (auf dem Anwalts-PC) erzeugt (und der private Schlüsssel darf diesen nicht verlassen), und muß dann noch in den verschiedensten Browsern autorisiert werden. Das Ganze muß auch für den Laien beherrrschbar sein, möglichst automatisiert (schließlich muß es ja auch regelmäßig erneuert werden!). Es gibt dazu verschiedene Möglichkeiten, aber die sind alles andere als trivial.

    3. Die „Umverschlüsselung“ mittels HSM ist komplett überflüssig. Da die Empfänger bzw. Leser vorher bekannt sind (vom Anwalt mittels Keycard authorisiert), kann der Nachrichten-Schlüssel (wird für jede Nachricht individuell erzeugt) für alle Leseberechtigten verschlüsselt werden.

    All das hatte ich schon 2013 in einer Studie für die Notare ausgeführt. Wurde leider beim beA nicht beachtet.

    Genau genommen konnte ich damals schon keine plausible Notwendigkeit für das exotische und proprietäre OSCI erkennen. Die Aufgabe hätte sich auch – mit kleinen Erweiterungen – wie SMTP+Co lösen lassen.
    (iW. fehlt SMTP eine forensisch taugliche Zustellverfolgung – E2E-Verschlüsselung ist schon seit 20 Jahren mit PGP/GPG verfügbar).

    Wenn die Redaktion weitere Fragen hat, stehe ich gern zur Verfügung.

    Gruß

  3. HGO
    HGO says:

    Das BSI als Problemlöser. Nette Idee.
    Ausweislich der Selbstdarstellung von ATOS unter https://atos.net/de/deutschland/oeffentlicher-sektor heißt es unter der Überschrift „Atos ist BSI-zertifizierter IT-Sicherheitsdienstleister“:
    „Atos ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Sicherheitsdienstleister zertifiziert für die Bereiche Informationssicherheitsberatung und Informationssicherheitsrevision. Atos ist damit berechtigt, Sicherheitskonzepte und Risikoanalysen zu erstellen, Audits und Revisionen auf Basis der BSI-IT-Grundschutzanforderungen durchzuführen, Sicherheitsmaßnahmen von Kunden mithilfe von Penetrationstest zu prüfen und entsprechende Lösungen sowie Managementsysteme zu implementieren. Für viele Kunden aus dem öffentlichen Bereich wie für Betreiber von kritischen Infrastrukturen leisten wir hier seit Jahren wertvolle Dienste.“

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.