Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/
https://fsfe.org
You can not select more than 25 topics
Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
96 lines
5.0 KiB
96 lines
5.0 KiB
<?xml version="1.0" encoding="UTF-8"?> |
|
|
|
<html newsdate="2018-01-11"> |
|
<version>1</version> |
|
|
|
|
|
<head> |
|
<title>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</title> |
|
</head> |
|
<body> |
|
|
|
<h1>Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist</h1> |
|
|
|
<p>Das <a href="http://bea.brak.de/">besondere elektronische |
|
Anwaltspostfach</a> sollte eigentlich seit Anfang 2018 verschlüsselte |
|
Kommunikation mit und unter Rechtsanwälten ermöglichen. Allerdings sorgen |
|
zahlreiche Sicherheitslücken dafür, dass der Dienst vorerst offline bleiben |
|
muss. Die Free Software Foundation Europe empfiehlt der auftraggebenden |
|
Bundesrechtsanwaltkammer (BRAK), durch die Veröffentlichung des Programmcodes |
|
unter einer <a href="/freesoftware/freesoftware.html">Freie-Software- und |
|
Open-Source-Lizenz</a> verloren gegangenes Vertrauen wiederherzustellen.</p> |
|
|
|
<p><strong>Update:</strong> Mittlerweile wurde ein <a |
|
href="/activities/publiccode/bea">Offener Brief mit unseren Forderungen |
|
an die BRAK</a> von dutzenden Juristen und acht Organisationen |
|
unterzeichnet. Wir freuen uns über weitere Unterzeichnende.</p> |
|
|
|
<p>Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das |
|
Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich |
|
müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar |
|
sein, doch wegen <a |
|
href="https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html">bekannt |
|
gewordener Sicherheitslücken</a> wurde die Plattform auf unbestimmte Zeit |
|
vorerst abgeschaltet. So wurde etwa die verschlüsselte Verbindung der Anwender |
|
nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten |
|
ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich |
|
Hauptmerkmal der Software, grundlegend gefährdet, da die |
|
Bundesrechtsanwaltkammer offenbar Zugang zu allen privaten Schlüsseln und damit |
|
den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu |
|
befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung |
|
zahlreicher längst veralteter und anfälliger Komponenten weitere |
|
Sicherheitslücken existieren.</p> |
|
|
|
<p>Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma |
|
stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht |
|
veröffentlicht wurde, ist die ganz Tragweite der fehlerhaften Programmierung |
|
erst kürzlich bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte |
|
bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt. |
|
Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten |
|
Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software |
|
ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.</p> |
|
|
|
<h2>Freie Software als Grundlage für die Zukunft</h2> |
|
|
|
<p>An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs |
|
besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen |
|
und unabhängige Sicherheitsforscher auszuschließen, sollte die |
|
Bundesrechtsanwaltkammer nun die gesamte Software unter einer Freie-Software- |
|
und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess |
|
transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, |
|
also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt |
|
werden. Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, |
|
bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben |
|
werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen |
|
Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal |
|
erwiesen.</p> |
|
|
|
<p>Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare |
|
Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz |
|
verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das |
|
etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in |
|
Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie |
|
etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten |
|
auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und |
|
dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für |
|
öffentliche digitale Dienste Standard sein sollte, zeigt die FSFE in ihrer |
|
aktuellen <a href="https://publiccode.eu/de">Public Money, Public |
|
Code</a>-Kampagne.</p> |
|
|
|
<p>Ganz gleich ob die Bundesrechtsanwaltkammer sich für eine komplette |
|
Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung |
|
entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, |
|
um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu |
|
gewährleisten.</p> |
|
|
|
<p>Sie sind Rechtsanwalt und möchten, dass das beA Freie Software wird? Bitte |
|
<a href="/contact/">melden Sie sich bei uns</a>.</p> |
|
|
|
|
|
</body> |
|
<tags> |
|
<tag key="bea">Besonderes elektronisches Anwaltspostfach</tag> |
|
<tag key="pmpc">Public Money Public Code</tag> |
|
</tags> |
|
<author id="mehl" /> |
|
</html>
|
|
|