IT-Sicherheit:Warum Anwälte ihrem elektronischen Postfach misstrauen

Richterrobe

Wo die Richterrobe hängt: Viele Urteile ergehen erst nach Absprachen mit den Prozessbeteiligten.

(Foto: Jens Kalaene/dpa)
  • Das besondere elektronische Anwaltspostfach ist der Versuch, die neue Welt der digitalen Kommunikation mit einem für den Anwaltsberuf wesentlichen Grundsatz in Einklang zu bringen - dem Anwaltsgeheimnis.
  • Doch das Postfach hat sicherheitstechnische Mängel.
  • Deshalb sammelt die Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte derzeit Spenden für eine mögliche Klage vor dem Anwaltsgerichtshof.

Von Wolfgang Janisch, Karlsruhe, und Hakan Tanriverdi

Anwälte gelten als eher nüchterne Menschen, aber wer auf eine emotionale Reaktion aus ist, der sollte es einfach mal mit dem Kürzel beA versuchen. Ungläubiges Kopfschütteln oder ein kehlig-bitteres Auflachen sollte das Mindeste sein, was dabei herausspringt; manche werden regelrecht zornig.

Das besondere elektronische Anwaltspostfach, kurz beA genannt, ist der Versuch, die neue Welt der digitalen Kommunikation mit einem uralten, für den Anwaltsberuf wesentlichen Grundsatz in Einklang zu bringen - dem Anwaltsgeheimnis, auf das sich jeder Klient verlassen können muss, vom scheidungswilligen Ehepaar bis zum fusionsbereiten Großunternehmen. Zum 1. Januar sollte das Postfach für alle Anwälte verpflichtend sein. Doch was in den vergangenen Monaten vorgefallen ist, hat vieles ausgelöst, aber keinesfalls das Vertrauen in die Sicherheit des Postfachs gestärkt.

Anwälte klagen über die "optisch hässliche" Anwendung

Kurz vor Weihnachten stieß Markus Drenger vom Chaos Computer Club in Darmstadt auf eine Sicherheitslücke - Anwälte hatten über die "optisch hässliche" Anwendung geklagt. Oder, wie Drenger es ausdrückt: "Das Look-and-Feel der Software war sehr Neunzigerjahre." Dabei deckte er ein gravierendes Problem des Sicherheitszertifikats auf: Das Postfach ruft auf dem Rechner lokal eine Webseite auf, die über ein Zertifikat gesichert ist, eine Art digitalen Ausweis. "Der Ausweis soll verhindern, dass Anwälten eine manipulierte Webseite untergeschoben wird."

Das aber setzt voraus, dass der private Schlüssel des Zertifikats geheim bleibt.

Tatsächlich aber wurde der Schlüssel per Software-Download an alle Anwälte verteilt - und war damit öffentlich. Damit wird die Fälschung von Webseiten möglich. Zwei Tage nach der Entdeckung wurde das elektronische Postfach, damals im Probelauf, abgeschaltet und ist seither offline. Es folgte eine Welle der Kritik an der Bundesrechtsanwaltskammer (BRAK), die für seine Einrichtung verantwortlich ist und damit einen Dienstleister betraut hat.

Mangelnde Kommunikation und Intransparenz wurde ihr vorgeworfen, in den regionalen Anwaltskammern macht sich seither Unmut breit; die Kammer in Berlin forderte gar den Rücktritt des BRAK-Präsidenten Ekkehart Schäfer und seines Stellvertreters Martin Abend. Inzwischen prüft das Bundesjustizministerium das Programm, während die Kammer die Gutachterfirma secunet Security Networks eingeschaltet hat.

Ist das Programm sicher genug für sensiblen Schriftverkehr?

Unterdessen hat sich der Konflikt zwischen der Bundeskammer und ihren Kritikern weiter verschärft. Die Gesellschaft für Freiheitsrechte, ein Verein, der sich für die Verteidigung der Grundrechte einsetzt, sammelt Spenden für eine mögliche Klage vor dem Anwaltsgerichtshof. Und dieses Mal geht es nicht um isolierte Pannen mit Zertifikaten oder veralteter Software. Es geht um die Grundfrage, ob die Struktur des Programms für einen derart sensiblen Schriftverkehr sicher genug ist.

Stein des Anstoßes ist die sogenannte Ende-zu-Ende-Verschlüsselung. Mit diesem Begriff ist der neue Kommunikationsweg bisher umschrieben worden, auf der Homepage der Bundeskammer wie auch in einem Beschluss des Bundesverfassungsgerichts vom Dezember, in dem es um die Beschwerde eines Anwalts ging. Nur ist das, was die Anwaltskammer plant keine echte Ende-zu-Ende-Verschlüsselung."Ende-zu-Ende ist ein Sicherheitsversprechen, dass man dem Postboten nicht vertrauen muss, weil er die Nachricht nicht lesen kann", sagt Markus Drenger.

Wenn die Mail auf einem der Server, auf denen sie zwischengelagert wird, geöffnet würde, bekäme man nur wirre Zahlen und Buchstaben zu lesen. Nur die Person, die über einen privaten Schlüssel verfügt, kann die Botschaft lesen.

Die Ergebnisse eines Sicherheitschecks stehen noch aus

Doch das elektronische Anwaltspostfach funktioniert anders. "Ende-zu-Ende" wäre sozusagen ein Direktflug - doch es wurde ein Zwischenstopp eingeplant. Denn die Mails werden nicht direkt an die Absender geschickt, sondern erst an ein Sicherheitsmodul, das die Anwaltskammer betreibt. Auf diesem Server findet eine "Umschlüsselung" statt. Anstatt die Mails direkt an die Anwälte zu schicken, mit deren persönlichen Privatschlüsseln, gibt es also erst einen Umweg.

Das Sicherheitsmodul bringt zwar Vorteile, weil es das Mitlesen durch Kanzleimitarbeiter oder Vertretungsanwälte erleichtert. Es fordert den Anwälten aber das Vertrauen ab, dass die Sicherheitsmodule korrekt konfiguriert sind, fehlerfrei funktionieren und sicher sind vor Hacker-Angriffen. Doch das Vertrauen in die Bundesanwaltskammer hat gelitten.

Schwer abzusehen, ob eine Klage erfolgreich wäre

Aus Sicht der Gesellschaft der Freiheitsrechte macht die "Umschlüsselung" auf einem Server der Kammer das Postfach "extrem verwundbar", weil dort die gesamte Anwaltskommunikation mitgelesen werden könne. Dies sei eine Gefahr für eine Säule des Rechtsstaats - für das anwaltliche Berufsgeheimnis, heißt es dort.

Ob eine Klage erfolgreich wäre, ist schwer abzusehen - ausdrücklich vorgeschrieben ist die Ende-zu-Ende-Verschlüsselung nach dem Wortlaut der einschlägigen Paragrafen nicht. Und BRAK-Präsident Schäfer beteuert in einem Schreiben, dass die Nachrichten jedenfalls "durchgängig verschlüsselt" seien. "Niemand außer dem vorgesehenen Empfänger (oder einer von diesem berechtigten Person) kann von dem Inhalt der Nachricht Kenntnis nehmen."

Ob die Kammer dabei bleibt, dürfte sich aber erst entscheiden, wenn Ende März die Ergebnisse des Sicherheitschecks vorliegen. Und spätestens dann steht ohnehin die große Abrechnung an - dann tagt die Hauptversammlung der Bundesrechtsanwaltskammer.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: