Zertifikat als unsicher eingestuft
Seitdem die Bundesrechtsanwaltskammer (BRAK) im November 2016 den Auftrag zur Entwicklung der Kommunikationslösung vergeben hat, sind 11 Millionen Entwicklungskosten entstanden. Eine sichere Lösung gibt es allerdings bis heute nicht.
Ein für den Zugang erforderliches Zertifikat ist als unsicher eingestuft worden, ist auf der beA-Web-Anwendung zu lesen. Die Liste der Mängel ist laut IT-Security-Experten jedoch länger:
- Die geforderte Ende-zu-Ende-Verschlüsselung wird nicht gewährleistet : mit dem an die EGVP-Infrastruktur gekoppelte beA ist es möglich nur eine Mail an ein Gericht oder einen Anwalt mit maximal 30 Mbyte großem Anhang zu versenden. Ein weiterer Versand kann erst 15 Minuten später erfolgen. Die zum beA-Verteiler gesendete Mail wird von einem Hardware-Sicherheits-Modul (HSM) ent- und für den Zielempfänger neu verschlüsselt. Da die privaten Schlüssel aller am System registrierten Anwälte hinterlegt sind, kann das HSM bei Überlastung der Zieladresse die Mail an andere Anwälte umleiten.
- BeA wurde mit veralteter Software und einem veralteten Anwendungskonzept entwickelt: Der Linux-Client arbeitet mit Java-Libraries, die schon im August 2015 nicht mehr aktuell waren.
- Unsachgemäße Verteilung von privaten Schlüsseln und Zertifikaten
- Cross Site Scripting-Lücke, die zur Übernahme der gesamten Webanwendung hätte führen können
beA-Plattform online, wenn Störungen behoben
„Die BRAK wird die beA-Webanwendung erst wieder bereitstellen, wenn der Entwickler der beA-Plattform die Störungen vollständig behoben hat und einen sicheren Zugang gewährleisten kann.“ Wann wird das sein? Die Frage bleibt bis auf weiteres offen. Auf dem EDV-Gerichtstag Anfang März wurde verkündet, dass Anwälte den EGVP Classic Client bis Mai 2018 nutzen können. Dahinter verbirgt sich eine elektronische Kommunikationsinfrastruktur für die verschlüsselte Übertragung von Dokumenten und Akten zwischen authentifizierten Teilnehmern.
Alternativ kann auch ein DE-Mail genutzt werden. Die Einrichtung eines solchen Postfaches kann jedoch einige Wochen dauern. In Deutschland sind alle Gerichte zur Unterhaltung eines De-Mail-Postfaches verpflichtet, welches sie im öffentlichen Verzeichnis veröffentlichen müssen. Jedoch können hier Störungen auftreten. So waren Anfang März die Adressen von Gerichten, eines Anbieters nicht auffindbar. Das kann wiederum zu erheblichen Verzögerungen im Mail-Verkehr und Datenaustauch führen. Gerade bei einzuhaltenden Abgabefristen erfordert dies einen Nachweis zur Rechtfertigung des verspäteten Versands.
Eine weitere Frage bleibt - auch wenn beA je für Anwälte in Deutschland funktionieren sollte: Wie kommunizieren sie dann über Ländergrenzen hinweg? Rechtsstreitigkeiten machen nicht vor Grenzen halt. Wie können deutsche Rechtsanwälte mit ausländischen Gutachtern, Mandanten, Zeugen vertrauliche Informationen elektronisch austauschen?
beAGate beenden mit Cryptshare
Sicher, schneller, einfacher - vor allem ad-hoc und über alle Ländergrenzen hinweg ist der digitale Dateiaustausch mit Cryptshare. Die Kommunikationslösung ermöglicht den Austausch vertraulicher Daten und unbegrenzt großer Dateien jeglicher Dateiformate. Sie bietet zudem volle Nachvollziehbarkeit und mehrere Schnittstellen unter anderem zu Archivierungssystemen.
Der BRAK sind derzeit Kosten in Höhe von 38 Millionen Euro für die Entwicklung einer nicht funktionierenden Kommunikationslösung entstanden. Ob die Anwälte letztlich tatsächlich bereit sind für ein nicht funktionierendes System zu zahlen, wird sich noch zeigen. Wir empfehlen den Roll-out einer bereits jahrelang etablierten Lösung wie Cryptshare in Betracht zu ziehen. Diese Kosten sind planbar und kalkulierbar anstatt weiter auf ein Fass ohne Boden zu setzen.
