Datensicherheit des besonderen elektronischen Anwaltspostfachs
der Abgeordneten Dr. Wieland Schinnenburg, Stephan Thomae, Renata Alt, Christine Aschenberg-Dugnus, Nicole Bauer, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Sandra Bubendorfer-Licht, Dr. Marco Buschmann, Christian Dürr, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Reginald Hanke, Peter Heidt, Katrin Helling-Plahr, Markus Herbrand, Torsten Herbst, Dr. Gero Hocker, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Pascal Kober, Carina Konrad, Konstantin Kuhle, Ulrich Lechte, Alexander Müller, Dr. Martin Neumann, Matthias Seestern-Pauly, Dr. Hermann Otto Solms, Bettina Stark-Watzinger, Benjamin Strasser, Katja Suding, Manfred Todtenhausen, Nicole Westig, Katharina Willkomm und der Fraktion der FDP
Vorbemerkung
Die Bundesrechtanwaltskammer (BRAK) hat am 28. November 2016 für jeden Rechtsanwalt in Deutschland ein besonderes elektronisches Anwaltspostfach (beA) eingerichtet (erreichbar über www.bea-brak.de). Nach anfänglichen Startproblemen und gerichtlichen Auseinandersetzungen ist das beA für alle Rechtsanwälte seit 1. Januar 2018 zu nutzen (https://www.lto.de/recht/juristen/b/brak-praesident-bea-anwaelte-rechtsstaat-datenschutz). Auch von Unstimmigkeiten bei der Begutachtung von Sicherheitsrisiken war die Rede (https://www.golem.de/news/bundesrechtsanwaltskammer-originalfassung-von-bea-sicherheitsgutachten-freigeklagt-2010-151190.html). Die Anforderungen an das Sicherheitslevel des beA scheinen mittlerweile geklärt zu sein (https://www.heise.de/newsticker/meldung/Gericht-Durchgehende-Verschluesselung-beim-Anwaltspostfach-nicht-noetig-4586672.html), allerdings wirft der Wechsel vom bisherigen Dienstleister Atos zu Wesroc neue Sicherheitsfragen auf. Es sei nicht auszuschließen, dass der alte Dienstleister noch über Sicherheitsschlüssel verfüge. Darauf hatte ein Sachverständiger in der Sitzung des Rechtsausschusses am 16. November 2020 hingewiesen. Es bestehe die Gefahr, dass die gesamte Kommunikation, die über das beA abgewickelt wird, mitgelesen werden könne. Über eine Ende-zu-Ende-Verschlüsselung, die das verhindern würde, verfüge das beA nicht. Aus Sicht eines Experten sollte deshalb zügig auf die Herstellung neuer Sicherheitsschlüssel hingewirkt werden. Die Frage, ob der rechtmäßige Betrieb des beA eine Ende-zu-Ende-Verschlüsselung erfordert, liegt dem Bundesgerichtshof zur Beantwortung vor (AnwZ (Brfg) 2/20). Durch Unsicherheiten in der Nutzung der elektronischen Infrastruktur leidet das Vertrauen der Bürger in den elektronischen Rechtsverkehr. Das muss nach Ansicht der Fragesteller verhindert werden.
Wir fragen die Bundesregierung:
Fragen32
Trifft es nach Kenntnis der Bundesregierung zu, dass die BRAK beziehungsweise ihre technischen Dienstleister rein technisch jede Nachricht entschlüsseln können?
Wenn ja, wie ist diese Zugriffsmöglichkeit mit dem Schutz der Vertraulichkeit von Anwalt-Mandanten-Korrespondenz zu vereinbaren?
Wenn nein, warum wurde der Hinweis laut eines Presseberichts im Originalgutachten der Secunet Security Networks AG entfernt (https://www.golem.de/print.php?a=151190)?
Liegen die Daten während der Umschlüsselung unverschlüsselt vor und könnten diese Daten von Dritten oder von der BRAK gelesen werden?
Wie wird ein „sicherer Übermittlungsweg“ im Sinne des § 130a der Zivilprozessordnung (ZPO) sichergestellt?
Wie wird der Verzicht auf eine Ende-zu-Ende-Verschlüsselung beim beA nach Kenntnis der Bundesregierung begründet?
Wie wird bzw. ist ausgeschlossen, dass Dritte einen Zugriff auf den „privaten Schlüssel“ erhalten?
Wie wurde sichergestellt, dass durch den Wechsel der Dienstleister keine Kopien der „privaten Schlüssel“ erstellt wurden?
Wären (rein theoretisch) Konstellationen denkbar, in denen es möglich wäre, auf die „privaten Schlüssel“ Zugriff zu erhalten?
Trifft es zu, dass die „privaten Schlüssel“ ohne Aufsicht der BRAK erstellt wurden?
Ist aus der Sicht der Bundesregierung erforderlich, dass auf die Herstellung neuer Schlüssel hingewirkt wird?
Wenn ja, welche Schritte unternimmt sie?
Wenn nein, warum nicht?
Wie oft werden die jeweilig verwendeten Schlüssel und Zertifikate jeweils erneuert?
Welche Schwachstellen beim beA sind nach Freischaltung aufgedeckt und beseitigt worden (bitte anhand Zeitstrahl detailliert auflisten)?
Gibt es aktuell Sicherheitslücken, an deren Behebung nach Kenntnis der Bundesregierung aktuell gearbeitet wird?
Wenn ja, welche sind das, und bis wann werden sie behoben?
Wenn nein, wie werden Sicherheitslücken ausgeschlossen, bzw. woran kann man das Nichtbestehen solcher Lücken festmachen?
Wie wird das aktuelle Sicherheitsregelwerk beschrieben?
Wie und durch wen werden Störungen der IT-Sicherheitsarchitektur nach Kenntnis der Bundesregierung behoben?
Gibt es einen Notfallplan, und wie sieht er aus?
Wenn nein, warum nicht?
Welche Sicherheitstests und Sicherheitsanalysen des beA hat es nach Kenntnis der Bundesregierung bisher gegeben, und was waren jeweils die Ergebnisse?
Auf welcher Serverarchitektur wird das beA nach Kenntnis der Bundesregierung betrieben?
Welche Betriebssysteme in welcher Version werden verwendet?
Welche Webserver-Software in welcher Version wird verwendet?
Welche Webserver-Module und Erweiterungen in welchen Versionen werden verwendet?
Ist es nach Kenntnis der Bundesregierung geplant, die Authentifizierung beim beA zu vereinfachen und etwa auch eine App-basierte Authentifizierung oder weitere Verfahren einzuführen?
Ist nach Kenntnis der Bundesregierung eine Offenlegung des beA-Quellcodes geplant?
Sollten Lizenzrechte Dritter einer vollständigen Offenlegung entgegenstehen, ist eine teilweise Offenlegung der übrigen Teile des Quellcodes geplant?
Falls nein, warum nicht?
Hat die Bundesregierung Kenntnis über Pläne die Weiterentwicklung hin zu einem sogenannten beA 2.0 betreffend, welches konzeptionelle Schwächen der aktuellen Version, insbesondere den Verzicht auf durchgehende Ende-zu-Ende-Verschlüsselung, angeht?