Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/ https://fsfe.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

97 lines
5.0KB

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <html newsdate="2018-01-11">
  3. <version>1</version>
  4. <head>
  5. <title>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</title>
  6. </head>
  7. <body>
  8. <h1>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</h1>
  9. <p>Das <a href="http://bea.brak.de/">besondere elektronische
  10. Anwaltspostfach</a> sollte eigentlich seit Anfang 2018 verschlüsselte
  11. Kommunikation mit und unter Rechtsanwälten ermöglichen. Allerdings sorgen
  12. zahlreiche Sicherheitslücken dafür, dass der Dienst vorerst offline bleiben
  13. muss. Die Free Software Foundation Europe empfiehlt der auftraggebenden
  14. Bundesrechtsanwaltkammer (BRAK), durch die Veröffentlichung des Programmcodes
  15. unter einer <a href="/about/basics/freesoftware.html">Freie-Software- und
  16. Open-Source-Lizenz</a> verloren gegangenes Vertrauen wiederherzustellen.</p>
  17. <p><strong>Update:</strong> Mittlerweile wurde ein <a
  18. href="/campaigns/publiccode/bea">Offener Brief mit unseren Forderungen
  19. an die BRAK</a> von dutzenden Juristen und acht Organisationen
  20. unterzeichnet. Wir freuen uns über weitere Unterzeichnende.</p>
  21. <p>Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das
  22. Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich
  23. müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar
  24. sein, doch wegen <a
  25. href="https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html">bekannt
  26. gewordener Sicherheitslücken</a> wurde die Plattform auf unbestimmte Zeit
  27. vorerst abgeschaltet. So wurde etwa die verschlüsselte Verbindung der Anwender
  28. nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten
  29. ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich
  30. Hauptmerkmal der Software, grundlegend gefährdet, da die
  31. Bundesrechtsanwaltkammer offenbar Zugang zu allen privaten Schlüsseln und damit
  32. den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu
  33. befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung
  34. zahlreicher längst veralteter und anfälliger Komponenten weitere
  35. Sicherheitslücken existieren.</p>
  36. <p>Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma
  37. stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht
  38. veröffentlicht wurde, ist die ganz Tragweite der fehlerhaften Programmierung
  39. erst kürzlich bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte
  40. bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt.
  41. Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten
  42. Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software
  43. ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.</p>
  44. <h2>Freie Software als Grundlage für die Zukunft</h2>
  45. <p>An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs
  46. besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen
  47. und unabhängige Sicherheitsforscher auszuschließen, sollte die
  48. Bundesrechtsanwaltkammer nun die gesamte Software unter einer Freie-Software-
  49. und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess
  50. transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer,
  51. also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt
  52. werden. Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten,
  53. bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben
  54. werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen
  55. Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal
  56. erwiesen.</p>
  57. <p>Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare
  58. Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz
  59. verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das
  60. etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in
  61. Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie
  62. etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten
  63. auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und
  64. dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für
  65. öffentliche digitale Dienste Standard sein sollte, zeigt die FSFE in ihrer
  66. aktuellen <a href="https://publiccode.eu/de">Public Money, Public
  67. Code</a>-Kampagne.</p>
  68. <p>Ganz gleich ob die Bundesrechtsanwaltkammer sich für eine komplette
  69. Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung
  70. entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich,
  71. um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu
  72. gewährleisten.</p>
  73. <p>Sie sind Rechtsanwalt und möchten, dass das beA Freie Software wird? Bitte
  74. <a href="/contact/">melden Sie sich bei uns</a>.</p>
  75. </body>
  76. <tags>
  77. <tag key="bea">Besonderes elektronisches Anwaltspostfach</tag>
  78. <tag key="pmpc">Public Money Public Code</tag>
  79. </tags>
  80. <author id="mehl" />
  81. </html>