beA - Hilfe für Anwender naht ...

... vom Chaos Computer Club.
Das beA war gestern ein Thema auf dem 34. C3 (Chaos Communication Congress) in Leipzig. Markus Drenger und Felix Rohrbach berichteten über ihre Erkenntnisse zur (mangelhaften) technischen Umsetzung der Vorgaben der Bundesrechtsanwaltskammer (BRAK) durch die damit beauftragte Fa. Atos.

Das Fazit des Vortrags, der unter dem Titel "einfach. digital. kaputt." stand, ist bei Heise nachzulesen.


Trotz einiger ärgerlicher Unrichtigkeiten, die der fehlenden Kenntnis des Autors von der Rechtslage entspringen, ist der Artikel aber für jede/n beA-Anwender/in lesenswert. Die Hauptkritikpunkte in Stichworten:

  • die Programmierung durch Atos ist mit schon damals (08/2015) veralteten Java-Libraries (Programmbibliotheken) erfolgt,
  • die Herstellung der Verbindung zur beA-Seite der BRAK  (https://www.bea-brak.de) ist nicht sicher, sondern für Dritte angreifbar.
  • Das von Atos für den Verbindungsaufbau verwendete Protokoll (TLS 1.2) ist mit einer seit 1998 (!) bekannten ROBOT-Attacke verwundbar,
    der private Schlüssel des Anwenders zum Verschlüsselungszertifikat bis zum 21.12.2017 im "Keystore" abgelegt und öffentlich einsehbar.

Dagegen fällt die Kritik des CCC am Aussehen und der Gestaltung der Programmoberfläche (keine Nutzung von HTML 5 - Funktionalitäten) nicht mehr ins Gewicht. Wenn das beA nach dem nun überfälligen, gründlichen Relaunch tatsächlich "einfach. digital. sicher." ist, wird damit jedem Rechtsanwalt ein Werkzeug zur Verfügung stehen, dass den immer noch steinzeitlichen Arbeitsmitteln und Vorstellungen der deutschen Justiz weit überlegen ist. Bezahlt haben die 160.000 zugelassenen Rechtsanwälte dafür schon - nun wird es höchste Zeit, dass auch geliefert wird.