davit und Berliner Anwaltsverein – Status des beA und digitale Anwaltschaft
Sehr geehrte Kolleginnen und Kollegen, am 1. Februar 2018 fand auf Einladung der davit (Arbeitsgemeinschaft IT-Recht im DAV) gemeinsam mit dem Berliner Anwaltsverein ein Expertentalk mit öffendicher Diskussion mit Kolleginnen und Kollegen sowie Interessierten zum “Status des beA und digitaler Anwaltschaft” statt.
Der Einladung folgten ca.150 Kolleginnen und Kollegen und interessierte. Zahlreiche weitere Kolleginnen und Kollegen verfolgten die Veranstaltung über den Livestream. Die Aufzeichnung können Sie hier ansehen: Opens external link in new https://www.youtube.com/watch?v=_qsoEVn8tBA
Nach einer Einteitung erläuterte Markus Drenger vom Chaos Computer Club Darmstadt die von ihm Ende letzten Jahres entdeckten Sicherheitslücken beim beA. Im Verlauf des Abends wies Herr Drenger mehrfach darauf hin, dass er keinen Zugriff auf den Quellcode hatte und die Beseitigung der von ihn gefundenen und am 20.12.2017 bekannt gemachten erheblichen Schwachstellen nicht bedeuten wird, dass das beA ohne andere Sicherheitslücken erneut an den Start gehen würde.
Meine Kollegen aus dem Geschäfsführenden Ausschuss (Karsten Bartels, Florian König, Prof. Dr. Peter Bräutigam, Dr. Thomas Lapp, Dr. Bernhard Hörl), deren Beirat (Prof. Dr. Jochen Schneider) und Gebietsleiter (Stephan Schmidt, Markus Timm, Christian Kast) der davit und ich leiteten anschließend die Diskussion und Fragerunde der Teilnehmer. Wir hatten eingeladen mit der Ankundigung, die drängenden Fragen gebündelt an die Bundesrechtsanwaltskammer weiter zu geben. In Abstimmung mit dem Präsidenten des DAV übermtteln wir die Fragen. Wir verbinden dies mit der Erneuerung des Angebots des DAV der fachkundigen Unterstutzung z.B. durch die davit in einem etwaig zu gründenden Fachbeirat und/oder Nutzerforum.
Wir bitten Sie also um die Beantwortung der nachfolgend zusammengefassten 15 Fragen. Ihre Antworten werden wir im davit-Newsletter und auf der Website der davit sowie im Berliner Anwaltsblatt veröffentlichen.
Wir sind lhnen fur eine kurzfristige Beantwortung dankbar, möglichst bis Ende des Monats:
1. Ist absehbar, wann das beA vorraussichtlich wieder einsetzbar sein wird?
2. Von welchen Kriterien macht die BRAK die Entscheidung über die Wiederaufnahme des beA-Betriebs unabhängig von der Einschätzung des Dienstleisters und dessen Fehler- oder Mangelbeseitigungsanzeige abhängig?
3. Warum wurde keine echte Ende-zu-Ende-Verschlüsselung eingesetzt, obwohl dies als erhebliches Unterscheidungskriterium zur DE-Mail-Lösung genannt wurde?
4. Warum kommt ein HSM zum Einsatz, wenn – wie Herr Drenger bestätigte – über das “Knacken” des HSM gleich alle 165.000 Nachrichtenwege zugänglich wären, während bei einer echten Ende-zu-Ende-Verschlüsselung jeder einzelne Nachrichtenweg gehackt werden müsste?
5. Welche technischen und organisatorischen Sicherheitsvorkehrungen werden zur Überwachung des HSM eingesetzt, die bei Missbrauch des HSM die Anwendung automatisch offline nimmt und den Angriff, den Missbrauch und die Sicherheitslücken dokumentiert (Solche Verfahren sind unseres Erachtens Stand der IT-Sicherheitstechnik und Teil eines Risikomanagementprozesses und kommen z.B. so auch bei den Providern der DE-Mail-Anwendung zum Einsatz.)?
6. Hat eine Abnahme des Auftrags mit den etwaig beauftragten Change Requests bereits stattgefunden? Wenn ja, wer hat die Abnahme vorgenommen bzw. besaß die abnehmende Partei entsprechende Sachkompetenz? Wer wird das Update der bekannt gemachten Sicherheitslücken abnehmen?
7. Wird es nach den aktuellen Erkenntnissen einen White-Box-Test für die betreffenden Anwendungsteile und die Gesamtlösung vor einem erneuten Go-Live geben?
8. Wie auch immer der Test der Funktionsweise und der Sicherheitsarchitektur des beA erfolgt, müsste das Ergebnis nicht veröffentlicht werden, um das verlorene Vertrauen wiederherzustellen?
9. Den Pressemeldungen war zu entnehmen, dass zwar seitens der BRAK geplant ist, das Gutachten zum Client zu veröffentlichen. Sollte nicht auch das Gutachten zum Server veröffentlicht werden und die Störung des Systems historisiert werden? Die jetzt diskutierten Sicherheitslücken beziehen sich offenbar nur auf den Client und es fehlen aktuell Aussagen zu den serverseitigen Anwendungen sowie die Anbindung und Infrastruktur.
10. Da das beA für alle zugelassenen Anwältinnen und Anwälte in Deutschland zur Verfügung gestellt werden soll, gibt es entsprechende Lasttests, die darstellen, dass die Funktionsfähigkeit des beA bei gleichzeitiger Nutzung aller Anwältinnen und Anwälte und deren befugten Mitarbeiter gewährleistet ist?
11. Welche Vereinbarungen gibt es zum laufenden Betrieb und der Weiterentwicklung entsprechend der Nutzeranforderungen und den sich verändernden Sicherheitsanforderungen?
12. Werden alle Anwendungen in Deutschland gehostet? Hat die BRAK die Serverstruktur erworben oder erfolgen Hosting und Pflege als Serviceleistungen auf mietvertraglicher Basis?
13. Welche Support- und Pflegevereinbarungen gibt es? Wie sind die Konditionen des Service-Level-Agreements und auf welche Verfügbarkeiten können sich die Kolleginnen und Kollegen verlassen? Wird es automatische Downtime-Meldungen in die beA-Postfächer geben? Werden diese Servicebedingungen nunmehr veröffentlicht?
14. Wie kann der einzelne Kollege oder die einzelne Kollegin den unter anderem nach der Datenschutzgrundverordnung geforderten Sicherheitsbestimmungen / Datenschutzfolgenabschätzung sowie den berufsrechtlichen Anforderungen im Zusammenhang mit dem beA genügen? Wann werden die hierzu erforderlichen lnformationen und Vereinbarungen seitens der BRAK veröffentlicht werden und wie werden die Kolleginnen und Kollegen Teil dieser Vereinbarungen?
15. Hat die BRAK ausschließliche Nutzungsrechte mit dem Recht der Bearbeitung und Weiterentwicklung an allen Lösungsteilen erworben und wie ist die lntegration von Lösungsteilen unter Open Source Software Lizenz erfolgt? lst der BRAK der Quellcode mit allen Werkzeugen und der gesamten Dokumentation übergeben worden? Was spricht gegen die Veröffentlichung unter einer Open Source Software Lizenz?
Aus dem Kreis der Kolleginnen und Kollegen darf ich lhnen den dringenden Appell übermitteln, die Forderung nach Transparenzzubeherzigen, um das verloren gegangene Vertrauen auch und gerade bei den Kolleginnen und Kollegenwieder zu gewinnen, die ungeduldig auf den medienbruchfreien Einsatz der elektronischen Kommunikation in ihren Kanzleien warten. Hierbei regen wir eine detaillierte Prüfung der Reichweite der Vertraulichkeitsvereinbarungen und deren Wirksamkeit gegenüber dem/den Dienstleistern an sowie erforderlichenfalls Verhandlungen mit diesen über die Veröffentlichung einzelner bzw. relevanter Teile aus der vertraglichen Vereinbarung sowie Projektdokumentation an.
ln diesem Zusammenhang bitten wir auch im Namen der Kolleginnen und Kollegen, Lasten und Pflichtenheft, gegebenenfalls Protokolle/Spezifikationen offenzulegen und den Stand der Abnahme der Software dazulegen. Die Mitteilung dieser lnformationen sehen wir als Grundvoraussetzung für die Arbeit eines Fachbeirats und als wichtigen Schritt zur Wiedergewinnung des Vertrauens der Kollegenschaft.
Mit freundlichen kollegialen Grüßen
Dr. Astrid Auer-Reinsdorf
Rechtsanwältin, Fachanwältin IT-Recht
Vorsitzende davit
Dateien:
beA_Anschreiben_15_2_2018.pdf274 Ki