FSFE
/
fsfe-website
25
26
Fork 67
Code Issues 63 Pull Requests 5 Releases Wiki Activity
Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/ https://fsfe.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
42400 Commits
8 Branches
0 Tags
1.3 GiB
 
 
 
 
 
 
Branch: master
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'master'
${ noResults }
fsfe-website/news/2018/news-20180111-01.de.xhtml

96 lines
5.0 KiB
Raw Permalink Blame History

<?xml version="1.0" encoding="UTF-8"?>
<html newsdate="2018-01-11">
<version>1</version>
<head>
<title>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</title>
</head>
<body>
<h1>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</h1>
<p>Das <a href="http://bea.brak.de/">besondere elektronische
Anwaltspostfach</a> sollte eigentlich seit Anfang 2018 verschlüsselte
Kommunikation mit und unter Rechtsanwälten ermöglichen. Allerdings sorgen
zahlreiche Sicherheitslücken dafür, dass der Dienst vorerst offline bleiben
muss. Die Free Software Foundation Europe empfiehlt der auftraggebenden
Bundesrechtsanwaltkammer (BRAK), durch die Veröffentlichung des Programmcodes
unter einer <a href="/freesoftware/freesoftware.html">Freie-Software- und
Open-Source-Lizenz</a> verloren gegangenes Vertrauen wiederherzustellen.</p>
<p><strong>Update:</strong> Mittlerweile wurde ein <a
href="/activities/publiccode/bea">Offener Brief mit unseren Forderungen
an die BRAK</a> von dutzenden Juristen und acht Organisationen
unterzeichnet. Wir freuen uns über weitere Unterzeichnende.</p>
<p>Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das
Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich
müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar
sein, doch wegen <a
href="https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html">bekannt
gewordener Sicherheitslücken</a> wurde die Plattform auf unbestimmte Zeit
vorerst abgeschaltet. So wurde etwa die verschlüsselte Verbindung der Anwender
nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten
ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich
Hauptmerkmal der Software, grundlegend gefährdet, da die
Bundesrechtsanwaltkammer offenbar Zugang zu allen privaten Schlüsseln und damit
den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu
befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung
zahlreicher längst veralteter und anfälliger Komponenten weitere
Sicherheitslücken existieren.</p>
<p>Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma
stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht
veröffentlicht wurde, ist die ganz Tragweite der fehlerhaften Programmierung
erst kürzlich bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte
bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt.
Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten
Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software
ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.</p>
<h2>Freie Software als Grundlage für die Zukunft</h2>
<p>An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs
besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen
und unabhängige Sicherheitsforscher auszuschließen, sollte die
Bundesrechtsanwaltkammer nun die gesamte Software unter einer Freie-Software-
und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess
transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer,
also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt
werden. Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten,
bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben
werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen
Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal
erwiesen.</p>
<p>Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare
Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz
verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das
etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in
Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie
etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten
auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und
dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für
öffentliche digitale Dienste Standard sein sollte, zeigt die FSFE in ihrer
aktuellen <a href="https://publiccode.eu/de">Public Money, Public
Code</a>-Kampagne.</p>
<p>Ganz gleich ob die Bundesrechtsanwaltkammer sich für eine komplette
Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung
entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich,
um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu
gewährleisten.</p>
<p>Sie sind Rechtsanwalt und möchten, dass das beA Freie Software wird? Bitte
<a href="/contact/">melden Sie sich bei uns</a>.</p>
</body>
<tags>
<tag key="bea">Besonderes elektronisches Anwaltspostfach</tag>
<tag key="pmpc">Public Money Public Code</tag>
</tags>
<author id="mehl" />
</html>