summaryrefslogtreecommitdiff
path: root/updates/2018/bea.md
blob: 4b2778fa76597304acdbf49e404b9e0b8a24245a (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
title: Besonderes elektronisches Anwaltspostfach muss Freie Software werden
date: 2018-01-18 23:01:00 
updated: 2018-01-19 09:18:51 
author: 46halbe
tags: update, pressemitteilung
previewimage: /images/pmpc.jpg

Das besondere elektronische Anwaltspostfach (beA) sollte eigentlich seit Anfang 2018 verschlüsselte Kommunikation mit und unter Rechtsanwälten ermöglichen. Allerdings sorgen grundlegende Sicherheitslücken und technische Mängel dafür, dass der Dienst nicht wie erwartet funktioniert. Wir fordern von der auftraggebenden Bundesrechtsanwaltskammer (BRAK), durch die Veröffentlichung des Programmcodes unter einer Freie-Software- und Open-Source-Lizenz verloren gegangenes Vertrauen der Anwälte und Mandanten wiederherzustellen.

<!-- TEASER_END -->

Gemeinsam mit der Free Software Foundation Europe (FSFE), weiteren
Organisationen der Zivilgesellschaft und Juristen fordern wir, dass das
besondere elektronische Anwaltspostfach (beA) Freie Software werden
soll. [\[1\]](https://fsfe.org/campaigns/publiccode/bea)

Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen
das Projekt, das sich schon seit einigen Jahren in Entwicklung befindet.
Eigentlich müssen Rechtsanwälte seit dem 1. Januar 2018 über diese
Software erreichbar sein, doch zahlreiche [bekannt gewordene
Sicherheitslücken](https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html)
verhindern den geplanten Start des Dienstes. So wurde etwa die
verschlüsselte Verbindung der Anwender nicht nur über das beA, sondern
auch zu sämtlichen anderen Webseiten ausgehebelt. Vor allem aber ist die
Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software,
grundlegend gefährdet, da die Bundesrechtsanwaltskammer offenbar Zugang
zu allen privaten Schlüsseln und damit den eigentlich vertraulichen
Nachrichten ihrer Rechtsanwälte hat. Es steht zu befürchten, dass durch
die ebenfalls öffentlich gewordene Implementierung zahlreicher längst
veralteter und anfälliger Komponenten weitere Sicherheitslücken
existieren.

Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma
stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute
nicht veröffentlicht wurde, ist die ganze Tragweite der fehlerhaften
Programmierung erst Ende 2017 bekannt geworden. Damit hat das Projekt,
das die Rechtsanwälte bisher etwa 38 Millionen Euro kostet, bereits
jetzt sein Vertrauen verspielt. Angesichts der zahlreichen Fehler ist
die Vertraulichkeit der gesendeten Nachrichten nicht mehr zu
gewährleisten – und das, wo die Nutzung der Software ab 2022 für den
gesamten Dokumentenverkehr mit Gerichten Pflicht wird.

### Freie Software als Grundlage für die Zukunft

An den zahlreichen Problemen des besonderen elektronischen
Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre
Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher
auszuschließen, sollte die Bundesrechtsanwaltskammer nun die gesamte
Software unter einer Freie-Software- und Open-Source-Lizenz
veröffentlichen und den weiteren Entwicklungsprozess transparent machen.
Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller
Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden.

Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten,
bereits frühzeitig potentielle Sicherheitslücken zu melden, damit diese
behoben werden; dass eine Geheimhaltung des Quellcodes und der in
Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich
nun ein weiteres Mal erwiesen. Freie Software garantiert zudem die
dringend nötige Herstellerunabhängigkeit.

Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare
Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz
verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das
etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in
Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung
wie etwa die verschlüsselte Weiterleitung an Vertretungen und
Assistenzen könnten auf dieser Basis ebenfalls als Freie Software
veröffentlicht werden und dieselben Vorteile der Transparenz genießen.
Warum Freie Software generell für öffentliche digitale Dienste Standard
sein sollte, zeigt die aktuelle FSFE-Kampagne [Public Money, Public
Code](https://publiccode.eu/de).

Ganz gleich, ob die Bundesrechtsanwaltskammer sich für eine komplette
Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen
Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist
unumgänglich, um das Projekt überhaupt noch zu retten und die
Sicherheitserwartungen zu gewährleisten.

 

**Links**:

\[1\] [Das besondere elektronische Anwaltspostfach (beA) muss Freie
Software werden](https://fsfe.org/campaigns/publiccode/bea)

\[2\] Das besondere elektronische Anwaltspostfach (beA):
<http://bea.brak.de/>

\[3\] [Offener Brief: Public Money? Public
Code!](/de/updates/2017/public-money-public-code)