tldr: Das beA bietet im eigentlichen Sinne keine Ende-zu-Ende-Verschlüsselung. D.h. nicht, dass das Postfach irgendeiner Hinsicht unsicher sein könnte. Das beA ist ein wichtiger Schritt zur Einführung des elektronischen Rechtsverkehrs.
Nach § 31a, der durch das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten in die BRAO eingefügt wurde, ist die Bundesrechtsanwaltskammer (BRAK) verpflichtet zum 1. Januar 2016 für jeden Rechtsanwalt und jede Rechtsanwältin ein besonderes elektronisches Anwaltspostfach (beA) zur Verfügung zu stellen.[1] Darüber sollen die Einrichtungen der Rechtspflege spätestens bis zum Jahr 2022 verpflichtet werden nur noch elektronisch zu kommunizieren, also den elektronischen Rechtsverkehr zu 100% umsetzen.[2]
Technisch ist das Anwaltspostfach in der Umsetzung der BRAK eine Art Webanwendung mit der Nachrichten zentral auf einem Server abgelegt werden. Dieser Server, der unter der Regie der BRAK steht, empfängt vom Benutzer eine Nachricht und legt sie im Postfach des Empfängers ab, bis dieser sie von dort löscht. Die Nachricht wird dabei auf dem PC des Absenders verschlüsselt und soll prima vista erst wieder auf dem PC des Empfängers entschlüsselt werden.
Zum Versand wird eine Kombination aus asymmetrischer und symmetrischer Verschlüsselung verwendet. Symmetrische Verschlüsselung setzt das Wissen eines gemeinsamen Schlüssels bei Sender und Empfänger voraus[3]. Mit ihr wird die komplette Nachricht, die über das beA versandt wird verschlüsselt. Dazu wird ein Schlüssel verwendet, der auf dem Sender-PC zufällig erzeugt wird. Dieser wird asymmetrisch verschlüsselt und an die Nachricht angehängt.
Asymmetrische Verschlüsselung besteht aus zwei Schlüsseln, von denen einer öffentlich ist und ein zweiter privat[4]. Der öffentliche Schlüssel des Empfängers dient zur Verschlüsselung des oben genannten Passworts und wird über den Verzeichnisdienst des beA bezogen. Der dazugehörige private Schlüssel, der das Passwort für die Nachricht entschlüsseln kann, liegt auf der beA-Karte. Beim Abholen einer Nachricht durch den Empfänger wird die Nachricht verschlüsselt auf den Computer des Empfängers übertragen und dort erst entschlüsselt.
Ende-zu-Ende-Verschlüsselung
Die BRAK hebt dieses Verfahren als Ende-zu-Ende-Verschlüsselung besonders hervor:
Entscheidend für die Vertraulichkeit der Übertragung von Nachrichteninhalten im beA ist eine durchgehende („Ende-zu-Ende“) Verschlüsselung – vom Webbrowser bzw. der Kanzleisoftware des Absenders bis zur Entschlüsselung durch den Empfänger. So gibt es keine Zwischenstationen, in denen die Nachrichten im Klartext vorliegen.[5]
Die Bundesregierung geht in einer parlamentarischen Anfrage der Grünen auch davon aus, dass das beA Ende-zu-Ende verschlüsselt ist:
Die darüber versandten Nachrichten würden „Ende-zu-Ende verschlüsselt“, versichert Maas‘ Staatssekretär.[6]
Fraglich ist aber, ob bei der verwendeten Technik wirklich eine abhörsichere Ende-zu-Ende-Verschlüsselung vorliegt. Der Begriff der Ende-zu-Ende-Verschlüsselung ist zumindest im Sprachgebrauch der IT-Sicherheit eindeutig definiert:
End-to-end encryption is a system of communication where only the people communicating can read the messages. No eavesdropper can access the cryptographic keys needed to decrypt the conversation, including telecom providers, Internet providers and the company that runs the messaging service.[7]
Die BRAK gibt in ihren Publikationen einen Hinweis darauf, dass die Nachrichten auch außerhalb des Sender- bzw. Empfänger-Computers lesbar sein müssen. So heißt es zu der sicheren Rechteverwaltung innerhalb des beA:
Zur Abbildung einer Kanzleiorganisation aus mehreren Rechtsanwälten sowie Mitarbeitern stellt das beA eine umfassende Rechteverwaltung zur Verfügung, die es dem Postfachinhaber u.a. ermöglicht, anderen Personen Zugriff auf Nachrichten in seinem Postfach zu gewähren.[8]
Der Prozess, um mehreren Empfängern den Zugriff auf Nachrichten eines Absenders zu geben, wird über eine sogenannte „Umschlüsselung“ auf den beA-Servern im Rechenzentrum der BRAK realisiert. Dazu werden die beA-Nachrichten mit Hilfe eines sogenannten Hardware Security Module (HSM)[9] mit einem neuen Schlüssel versehen, damit sie der neue Empfänger mit seiner beA-Karte entschlüsseln kann.
Im Falle des beA sind alle privaten Schlüssel auf diesem HSM
abgespeichert und erlauben es so, das asymetrisch verschlüsselte Passwort für die symetrische Verschlüsselung der Nachricht
zu entschlüsseln und in einem
folgenden Arbeitsschritt mit dem öffentlichen Schlüssel eines weiteren Empfängers zu
verschlüsseln und diesem die Nachricht zuzustellen.
Update 2018: Wie sich im Rahmen des #beaGate herausgestellt hat, wird das symetrische Passwort der Nachricht nicht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, sondern mit einem Postfachschlüssel, dessen privater Teil vom HSM errechnet werden kann.[14] Update Ende
Die BRAK hebt die hohen Sicherheitsanforderungen an dieses HSM hervor. So ist das HSM gegen jede Art der Manipulation sowie gegen Abhören geschützt und der genaue Ort der beA-Rechenzentren wird nicht veröffentlicht[10]. Die Nachricht selbst soll bei dem beschriebenen Verfahren niemals unverschlüsselt - d.h. im Klartext - und der Nachrichtenschlüssel außerhalb des HSM niemals unverschlüsselt vorliegen.
Zumindest bei der Umschlüsselung müssen aber alle notwendigen Informationen zur Entschlüsselung einer Nachricht im Speicher der umschlüsselnden Systeme vorliegen: die symmetrisch verschlüsselte Nachricht im Softwaresystem, dass die Umschlüsselung anstößt, und das dazugehörige durch den im HSM vorliegenden privaten asymetrischen Schlüssel entschlüsselte Passwort, bevor dies mit dem öffentlichen Schlüssel des neuen Empfängers wieder verschlüsselt wird.
Da in dem beA-System also alle Informationen zur Entschlüsselung der Nachrichten vorliegen, ist es nur eine Frage der Ausgestaltung der beA-Software, dass diese Informationen nicht zusammengeführt oder missbraucht werden können. So könnte beispielsweise das Rechtemanagement dahingehend manipuliert werden, dass Nachrichten auf nicht autorisierte Konten umgeschlüsselt werden[11].
Gerade dies widerspricht aber der oben zitierten Definition einer „Ende-zu-Ende-Verschlüsselung“ der Nachrichten. Es sei denn „Ende-zu-Ende“ ist in einem anderen Kontext zu sehen.
Man wird der BRAK nicht unterstellen können, dass sie die oben beschriebene theoretische Möglichkeit der Entschlüsselung von Nachrichten missbraucht. Aber gerade die Enthüllungen um Edward Snowden haben gezeigt, dass das technisch Mögliche auch irgendwann von Dritten ausgenutzt wird.
Aus Sicht von Bedarfsträgern der inneren Sicherheit stellt die theoretische Möglichkeit des Zugriffs auf die Kommunikation eines Anwalts eine wunderbare Verlockung dar. Zwar ist das beA vorerst noch nicht für die breite Mandantenkommunikation angelegt, aber mit der Anbindung von Anwaltssoftware an das beA und mit denkbaren Gateways zu DE-Mail oder anderen Kommunikationssystemen ist die Möglichkeit gegeben, dass sich das beA zu einer zentralen Sammelstelle der Anwaltskommunikation entwickelt. Auch die Möglichkeit der Mandantenkommunikation mit dem frei verfügbaren EGVP-Client, kann hier einen Trugschluss einer durchgehend verschlüsselten Kommunikation erzeugen.
Update 28.12.2017
Mit Beschluss vom 20.12.2017 hat das Bundesverfassungsgericht festgestellt, dass das besondere elektronische Anwaltspostfach Ende-zu-Ende-verschlüsselt ist:
Das beA verwendet zur sicheren Übermittlung eine so genannte Ende-zu-Ende-Verschlüsselung (vgl. § 20 Abs. 1 RAVPV).[12]
Hier zu fällt mir nur der Witz mit dem Mathematiker ein, der eine Dose mit Bohnen öffnen soll: halbverhungert murmelt er nur: "Ich definiere diese Dose als offen".
Update 31.01.2018
Update 06.03.2018
Spannender wird der Sachverhalt vor dem Hintergrund der Begründung des Verordnungsgebers zu § 19 Abs. 2 RAVPV. Diese lautet:
Dies kann insbesondere die Kommunikationsmöglichkeiten erfassen, die bereits jetzt in der Struktur des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP), in die auch das besondere elektronische Anwaltspostfach eingebettet ist, vorgesehen sind (dort ist derzeit z.B. ein sogenannter „Bürger-Client“ eingerichtet). Soweit auch dabei stets die Beachtung der elementaren Grundelemente des besonderen elektronischen Anwaltspostfachs (wie beispielsweise die Ende-zu-Ende-Verschlüsselung von Nachrichten) sichergestellt sein muss, wird dies dadurch gewährleistet, dass auch für die Kommunikation mit anderen Stellen und Personen die Vorgaben des § 20 Absatz 1 RAVPV gelten. [13]
Das Bundesministerium der Justiz und für Verbraucherschutz geht also davon aus, dass es zu den Grundelementen des elektronischen Anwaltspostfaches gehört, dass die Nachrichten Ende-zu-Ende-verschlüsselt werden. Nimmt man als gegeben an, dass es nicht möglich ist, informatische Grundbegriffe durch semantische Taschenspielertricks zu umgehen, dann hat die BRAK mit ihrer Wahl der beA-Architektur und des Einsatzes eines HSM die gesetzlichen Vorgaben nicht eingehalten.
Update 17.04.2018
Auf der BRAK-Präsidentenkonferenz am 15.04.2018 wurde ein Sicherheitsgutachten der Firma secunet erörtert. Dazu schreibt der Präsident der Berliner Kammer an seine Mitglieder:
In den Erörterungen haben die Vertreter der Secunet AG bestätigt, dass das beA-System keine Ende-zu-Ende-Verschlüsselung darstellt. Eine weitere Verwendung dieses Begriffes zur Beschreibung des Systems wäre unzutreffend.[15]
[1] Der ursprüngliche Starttermin wurde auf den 29. September 2016 verschoben. Am 28. November 2016 ging das beA online.
[2] http://bea.brak.de/wann-kommt-das-bea/
[3] https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem
[4] https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem, man spricht vom öffentlichen und geheimen Schlüssel
[5] Brosch/Fiebig, BRAKMagazin 4/2015, 10 - 12
[7] https://en.wikipedia.org/wiki/End-to-end_encryption, auch https://www.wired.com/2014/11/hacker-lexicon-end-to-end-encryption/
[8]
Brosch/Fiebig, BRAKMagazin 4/2015, 10 - 12, im Detail: "Dabei ist wichtig zu wissen, dass die in einem besonderen elektronischen Postfach und damit auf den Servern der BRAK gespeicherten Nachrichten jederzeit verschlüsselt bleiben. Es existiert kein Generalschlüssel, mit dem etwa ein Administrator auf die Nachrichten zugreifen könnte. Den passenden Schlüssel haben immer nur der Postfachinhaber und die durch ihn berechtigten Personen. Und der Zugriff auf das beA kann nur mittels zwei Zugangsberechtigungen erfolgen: Einsatz eines Sicherheits-Tokens (z.B. beA-Karte) und Kenntnis der dazugehörigen PIN.
Zur Abbildung einer Kanzleiorganisation aus mehreren Rechtsanwälten und Mitarbeitern stellt das beA ein umfassendes Rechtemanagement zur Verfügung. Damit kann der Postfachinhaber anderen Personen u.a. Zugriff auf Nachrichten in seinem Postfach gewähren. Hierfür kommt ein sog. Hardware Security Module (HSM) zur Anwendung. Dieses Gerät kann nur spezielle, vorab definierte kryptographische Funktionen ausführen und ist gegen jede Art der Manipulation sowie gegen Abhören geschützt. Durch den Einsatz des HSM kann eine Nachricht im beA mehreren berechtigten Personen zum Lesen bereitgestellt werden, ohne dass sie zu irgendeinem Zeitpunkt unverschlüsselt im System vorliegt."
[9] Mit dem HSM können kryptografische Operationen vorgenommen werden, um Daten im Hintergrund zu verschlüsseln oder auch zu entschlüsseln (https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul)
[10] Brosch/Fiebig, BRAKMagazin 4/2015, 10 - 12
[12] BVerfG, Beschluss der 1. Kammer des Ersten Senats vom 20. Dezember 2017 - 1 BvR 2233/17 - Rn. 5
[13] Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (Rechtsanwaltsverzeichnis- und -postfachverordnung - RAVPV)
[14] [...]Hat sich der Empfänger gegenüber dem HSM authentifiziert, schlüsselt das HSM das Codebuch für diese Nachricht vom Postfachschlüssel auf den persönlichen (öffentlichen) Schlüssel des Empfängers um.[...]
Erwähnungen dieses Beitrags: