Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Verschlüsselter Dateitransfer - Boxcryptor's Whisply als sichere Alternative zum beA
Jobs Icons Marketing

Jonas Braun | Cyber Security Writer

Das besondere elektronische Anwaltspostfach (beA)

Das besondere elektronische Anwaltspostfach ist ein Programm, mit dem der sichere Dateitransfer zwischen Mandanten, Anwältinnen und Gericht gewährleistet werden soll. Bei der Software wurden jedoch erhebliche Mängel festgestellt. Lesen Sie hier die ganze Geschichte und erfahren Sie, welche beA Alternative es gibt.

Das beA und seine Macher

Nach erheblichen Startschwierigkeiten ist das besondere elektronische Anwaltspostfach seit dem 03. September 2018 in Betrieb, nachdem sie aufgrund mangelnder Sicherheit zunächst vom Netz genommen werden musste.

Grund für die Entwicklung dieses Postfachs war zum einen eine flächendeckende Kommunikation zwischen den rund 164.000 Anwältinnen und Anwälten, deren 300.000 Mitarbeiterinnen und Mitarbeitern und den Gerichten zu ermöglichen. Zum anderen wollte man gewährleisten, dass wichtige Dokumente sicherer und schneller zugestellt werden als über den üblichen Mail-, Brief- oder Faxverkehr. Spätestens im Jahr 2022 sollen Schriftsätze nur noch elektronisch bei den Gerichten eingereicht werden.

Bereits im Oktober 2014 wurde die international operierende Firma Atos IT Solutions and Services GmbH nach einem Vergabeverfahren von der Bundesrechtsanwaltskammer (kurz: BRAK) mit der Entwicklung des beA beauftragt. Oberste Priorität bei der Entwicklung war, die Software mit einem hohen Maß an Informationssicherheit und einer leichten Bedienbarkeit zu versehen. Ab 2016 sollten die Bedingungen erfüllt sein, um das Postfach den Anwältinnen und Anwälten zur Verfügung zu stellen. Ende November 2015 wurde die Bereitstellung des beA allerdings aufgrund mangelnder Nutzerfreundlichkeit auf den 29. September 2016 vertagt.

Für eine weitere Verzögerung der Aktivierung sorgten zwei Anwälte aus Berlin und Köln. Das elektronische Postfach war bis dato fertiggestellt. Die beiden Anwälte jedoch erwirkten eine einstweilige Anordnung. Diese verpflichtete die BRAK dazu, das beA für Anwältinnen und Anwälte, welche ihre ausdrückliche Zustimmung noch nicht abgegeben hatten, nicht freizuschalten. Aufgrund der technischen Architektur war eine Steuerung der Empfangsbereitschaft einzelner Postfächer allerdings nicht möglich. Erst nachdem diese technischen Hindernisse beseitigt wurden, konnte das besondere elektronische Anwaltspostfach erstmals am 28. November 2016 live gehen.

Sicherheitslücken und mangelhafte Verschlüsselung

Überraschenderweise musste das beA bereits am 22. Dezember 2017, neun Tage vor Beginn der passiven Nutzungspflicht, wieder vom Netz genommen werden. Grund dafür war ein Zertifikat, welches für den Zugang erforderlich ist. Dieses Zertifikat wurde als unsicher eingestuft und musste umgehend gesperrt werden.

Dieser Umstand hatte eine vom Bundesamt für Sicherheit und Informationstechnik (BSI) verordnete Sicherheitsprüfung durch die zertifizierte Gutachterfirma Secunet AG zur Folge.
Bereits von Beginn an, hatten viele Anwältinnen und Anwälte das besondere elektronische Anwaltspostfach kritisch gesehen. Nun bekam das Projekt noch einmal zusätzlichen Gegenwind.

Die technische Infrastruktur des beA ist so gestaltet, dass verschlüsselte Nachrichten vom Sender an das Rechenzentrum geleitet werden, wo eine „Umschlüsselung“ stattfindet. Erst danach wird die Nachricht dann an die Empfängerin oder den Empfänger zugestellt. Diese Form der Datenübermittlung bietet jedoch einen Ansatzpunkt für Angriffe: Man kann schlicht nicht mehr sicher sein, dass die Daten noch dieselben sind, die ursprünglich gesendeten wurden. Ebenso wenig kann man sich darauf verlassen, dass die Inhalte nicht ausgelesen wurden. Umschlüsseln bedeutet nämlich, dass die Daten für einen Moment unverschlüsselt vorliegen, also ungeschützt sind. Zwar kann man diese Umschlüsselung in einem speziellen (geschützten) Hardware-Modul machen, letzten Endes erschwert es den Angriff aber lediglich, und ist keine Garantie, dass er nicht mehr möglich ist.

Kritische Stimmen sehen darin eine Gefahr für das Mandatsgeheimnis und fordern deshalb die Nachrüstung mit einer Ende-zu-Ende-Verschlüsselung (E2EE). Das wäre eine einfache technische Lösung, zumal E2EE zum derzeitigen Sicherheitsstandard gehört und bereits von vielen bekannten Unternehmen und Messenger-Diensten wie Signal oder WhatsApp benutzt wird.

Das ca. 90 seitige Gutachten wurde der BRAK schließlich am 20. Juni 2018 vorgelegt. Es zeigte sich, dass das unsichere Zertifikat lediglich die Spitze des Eisbergs war. Analysen zeigten auf, dass der Datenschutz durch Verschlüsselung nicht in vollem Umfang erreicht wurde. Ein Penetrationstest konnte außerdem insgesamt 36 Fehler finden, von denen vier als „betriebsverhindernd“ eingestuft wurden. In einer außerordentlichen Präsidentenkonferenz beschlossen die Präsidentinnen und Präsidenten der 28 Rechtsanwaltskammern deshalb, das beA vorsichtshalber nur in einem zweistufigen Prozess wieder in Betrieb zu nehmen.

Das Gutachten wurde zunächst nicht in voller Länge veröffentlicht. Die Plattform FragdenStaat hat die Originalversion im Jahr 2020 freigeklagt und stellt sie nun zum Download bereit. Hintergründe zu diesem Vorgang kann man bei Golem.de nachlesen.

Als erstes wurde die Client Security am 04. Juli 2018 zum Download zur Verfügung gestellt. Mit ihr wurde eine Erstregistrierung am beA wieder möglich. Im zweiten Schritt wurden alle nötigen Schwachstellen beseitigt, die für eine Inbetriebnahme nötig waren. Die Beseitigung der übrigen technischen Fehler sollte anschließend während des Betriebes stattfinden. Dazu zählt auch das bislang implementierte Hardware Security Module (HSM). Laut den Gutachtern wäre dies „bei voller Ausnutzung der kryptographischen Möglichkeiten“ gar nicht mehr notwendig.

Der aktuelle Stand beim beA

Das besondere elektronische Anwaltspostfach ist seit dem 03. September 2018 wieder in Betrieb und stellt jedem Rechtsanwalt ein automatisch eingerichtetes elektronisches Postfach zur Verfügung.

Allerdings konnten Anwälte bereits am 04. September 2018 eine Lücke entdecken, bei der es möglich ist, sich den Status der Nachrichten im Postfach eines Anwalts der Gegenseite anzeigen zu lassen. Durch die bestehende passive Nutzungspflicht gelten Nachrichten in dem Postfach von Anwälten, die sich noch gar nicht für das beA registiert haben als zugestellt, unabhängig davon, ob sie bereits aufgerufen wurden oder nicht. Dies könnte Rechtsnachteile für Mandanten bedeuten, sollten dadurch Fristen versäumt werden.

Urteil des Bundesgerichtshof vom 22. März 2021

Eine Initiative aus der Anwaltschaft hat, unterstützt von der Gesellschaft für Freiheitsrechte (GFF) eine Klage vor dem Bundesgerichtshof geführt. Das Ziel war es, die „Umschlüsselung“ abzuschaffen und eine echte Ende-zu-Ende-Verschlüsselung für das beA zu erzwingen. Das Gericht hat diese Klage abgelehnt. Einen Bericht über das Verfahren kann auf der Webseite der GFF nachgelesen werden: beA – aber sicher!.

Verschlüsselter Dateitransfer - Whisply als sichere Alternative zum beA

2-1 Whisply

Wer sich nun nicht vollständig auf beA verlassen möchte, um mit Mandantinnen und Mandanten, Kolleginnen und Kollegen verschlüsselte Dateien auszutauschen, für den stellt die Webanwendung Whisply eine sichere Alternative dar. Mit Whisply ist es ganz einfach Dateien aus dem Browser zu verschicken, die durch Ende-zu-Ende-Verschlüsselung geschützt sind.

Man kann bei Whisply zusätzliche Sicherheitsstufen einfügen. Es besteht die Möglichkeit, für den Download einer verschlüsselten Datei einen Weblink zu übermitteln, der sich nach einer bestimmten Zeit selbst zerstört, sodass die Datei nur für eine gewisse Zeit heruntergeladen werden kann. Für zusätzlichen Schutz kann man den Link mit einem PIN oder einem Passwort versehen. Senden sie ganz einfach den Link und die PIN (oder das Passwort) über zwei verschiedene Kanäle (z.B. via Email und via SMS) um für die höchste Sicherheit zu sorgen.

Selbstverständlich können Sie die Whisply-Links auch mittels beA versenden um die Nutzungspflicht nicht zu verletzen. So können Dateien sicher ausgetauscht werden, ohne dass Sie sich auf die „Umschlüsselung“ verlassen müssen.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.