BRAK (German Federal Bar Association) halts beA platform development

beA, the new communications platform between courts and lawyers, which was due to go live on January 1st 2018, has been taken off the net due to serious security concerns which were reported by an independent investigator. As a result of the so-called “beAGate”, is that Phoenix has had to put the development of our eagerly anticipated beA-Gateway on hold. Following on from an email communication from our Director of Continental Europe, Christiane Mueller Haye, below is a list of key resources surrounding the recent news as well as a short summary of each.

Since this issue only effects members of the German Bar, this information below is in German.

  • Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) sehen keinen Handlungsbedarf

    - Golem schreibt: Bei der Konstruktion von beA liegen grundlegende Missverständnisse über den Sinn und Zweck einer Ende-zu-Ende-Verschlüsselung vor. Ende-zu-Ende Verschlüsselung verträgt sich nicht mit Webtechnologien.
    - Laut CCC-Mitglied Drenger ist das nicht in drei bis vier Monaten machbar, BRAK-Präsident Ekkehart Schäfer erklärt bislang nur, dass das beA sicherlich nicht im Januar wieder zur Verfügung stehen werde.
    - Nach eigenen Angaben will die BRAK neben von Atos beauftragten externen Experten auch eigene externe und unabhängige Expertise einholen. 

  • Dr. Henning Müller:
    ERV mit den Gerichten ab 1.1.2018 – ohne beA: Welche Möglichkeiten gibt es noch?

    - Die EGVP-Infrastruktur steht weiterhin zur Verfügung
    - Zwar wurde der bisherige kostenlose Bürgerclient zum 14.2.2018 abgekündigt. Aber es stehen diverse Drittprodukte als Ersatz zur Verfügung, z.B. der Governikus Communicator
    - Als weitere Alternative zum beA kommt die De-Mail in Betracht
    - Dr. Müller ist Richter am Hess. Landesozialgericht und Autor der Veröffentlichung "eJustice - Praxishandbuch: Ein Kompendium zum beA, EGVP und zur eAkte für Rechtsanwälte, Behörden und Gerichte (2. Aufl.)"

  • RA Andreas Schwartmann:
    beA-Gate und die Pflicht zur Eröffnung eines sicheren Übermittlungswegs,

    - Nach §174 Abs. 3 Satz 4 ZPO in der neuen Fassung ab 1.1.2018 sind Anwälte verpflichtet einen "sicheren Übermittlungsweg für die Zustellung elektronischer Dokumente zu eröffnen".
    - Auf absehbare Zeit ist hierfür DE-Mail die einzige Alternative
    - Umstritten ist, ob und in welchem Umfang eine Nichteröffnung sanktioniert würde.

Ein großes Ärgernis war aus Sicht vieler Anwälte lange Zeit die Krisenkommunikation der BRAK. Mittlerweile bemüht man sich seitens der BRAK um eine bessere Informationspolitik:

  • beA-Sondernewsletter der BRAK vom 27.12.2017
    - beA muss vorerst offline bleiben – Sicherheit und Datenschutz haben Priorität
    - Nutzungsverpflichtung im Mahnverfahren
    - Schutzschriftenregister

  • Fragen und Antworten: E. beA muss vorerst offline bleiben
  • Deinstallationsanleitung: Anleitung zur Anpassung der beA-Konfiguration (PDF, Stand 27.12.2017)

    - Anleitung zur Deinstallation des ursprünglich am 22.12. zur Installation empfohlenen und später zurückgezogenen Ersatzzertifikats

Entlang der Historie

    • Markus Böhm und Judith Horchert für Spiegel Online:
      Chaos um beA: Die Postfach Pleite

    • Pia Lorenz und Christian Dülpers für Legal Tribute Online:
      BRAK nimmt Anwalts­post­fach wegen "ver­ein­zelter Ver­bin­dungs­pro­b­leme" offline

      - Zusammenfassung der LTO vom ersten Weihnachtsfeiertag

      - Zu diesem Zeitpunkt war das beA lt. BRAK nur über Weihnachten und wegen "vereinzelter Verbindungsprobleme" zu Wartungszwecken offline gestell

      - Am Abend des 27.12. ist klar: Das beA ist nach Weihnachten nicht wieder online gegange

      - "Hacker" Drenger widerspricht der Darstellung der BRAK, dass die Sicherheit und die Datensicherheit beim beA jederzeit gewährleistet gewesen seien.
      - Ihre Formulierung, das beA sei durch Markus Drenger kompromittiert worden, erklärt die BRAK für missverständlich.


Die folgenden Artikel beschreiben etwas detaillierter, wie die Situation am 22. Dezember eskalierte - und gehen etwas detaillierter auf die Sicherheitslücke und die damit verbundenen Risiken ein:

  • Hanno Blöck für GOLEM.de:
    Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

    - Markus Drenger vom Darmstädter Ableger des Chaos Computer Club entdeckt die unsachgemäße Verteilung eines privaten Schlüssels, worauf das Zertifikat von der T-Systems/Telesec gesperrt wird.
    - Die Nachbesserungsversuch seitens ATOS als Hersteller der beA-Software verschlimmert das Problem noch.
    - Die BRAK entfernt den Aufruf zur Nachinstallation des neuen Zertifikats ohne auf die Sicherheitsrisiken zu informieren.
    - GOLEM stellt einen einfachen Online-Test bereit, mit dem Anwälte überprüfen können, ob sie nach der Nachinstallation und der versuchten Deinstallation von dem (zweiten) Sicherheitsproblem betroffen sind

  • Constantin an Lijnden für FAZ Einspruch:
    Kein beA zum neuen Jahr

    - Erklärung der Hintergründe von #beagate, der Sicherheitsrisiken und möglicher Lösungen

Am 28.12.2017 halten die Darmstädter "Hacker" Markus Drenger und Felix Rohrbach auf 34. Jahreskonferenz des Chaos Computer Club (CCC) einen Vortrag über die Ergebnisse ihrer Analysen:

- Bericht über den Vortrag von Markus Drenger und Felix Rohrbach auf der 34C3.
- Die beiden Hacker haben keinen Angriff auf die Software unternommen, sondern nur öffentlich zugängliche Dokumente analysiert.
- Neben den o.g. Problemen mit den offen gelegten privaten Schlüsseln, haben beide weitere Schwachstellen des beA-Systems identifiziert, z.B. die Verwendung von Java-Libraries, die seit August 2015 "End of Life" sind.
- Drenger/Rohrbach äußern Zweifel an der von der BRAK zugesagten Ende-zu-Ende-Verschlüsselung.

Artikel zum Thema Ende-zu-Ende-Verschlüsselung:

- Detaillierte Beschreibung des Verschlüsselungsprinzips des beA, soweit dieses aus den Unterlagen auf der bea.brak.de ersichtlich ist.
- Entspricht wohl im Kern der Darstellung von Drenger/Rohrbach.
- Vermutlich werden die Mitteilungen/Dateien/etc. bei der Übermittlung vom Sender an den Empfänger nichtentschlüsselt.
- Aber: Die BRAK könnte die Dateien vermutlich entschlüsseln (sie hat Zugriff auf alle dafür benötigten Schlüssel).

 

Our latest news and events

Want to know who we’ve been working with in the professional services sector? Or see how our products, services and solutions are making a difference for businesses just like yours?  Read our latest news or come and see us at our next event.

View all news & events