Das besondere elektronische Anwaltspostfach (beA) muss Freie Software werden
Das besondere elektronische Anwaltspostfach (beA) sollte eigentlich seit Anfang 2018 verschlüsselte Kommunikation mit und unter Rechtsanwälten ermöglichen. Allerdings sorgen grundlegende Sicherheitslücken und technische Mängel dafür, dass der Dienst nicht wie erwartet funktioniert. Wir, Organisationen der Zivilgesellschaft und Juristen, empfehlen und fordern von der auftraggebenden Bundesrechtsanwaltskammer (BRAK), durch die Veröffentlichung des Programmcodes unter einer Freie-Software- und Open-Source-Lizenz verloren gegangenes Vertrauen der Anwälte und Mandanten wiederherzustellen.
Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar sein, doch zahlreiche bekannt gewordene Sicherheitslücken verhindern den geplanten Start des Dienstes. So wurde etwa die verschlüsselte Verbindung der Anwender nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, grundlegend gefährdet, da die Bundesrechtsanwaltskammer offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung zahlreicher längst veralteter und anfälliger Komponenten weitere Sicherheitslücken existieren.
Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht veröffentlicht wurde, ist die ganz Tragweite der fehlerhaften Programmierung erst Ende 2017 bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt. Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.
Freie Software als Grundlage für die Zukunft
An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher auszuschließen, sollte die Bundesrechtsanwaltskammer nun die gesamte Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden.
Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal erwiesen. Freie Software garantiert zudem die dringend nötige Herstellerunabhängigkeit.
Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für öffentliche digitale Dienste Standard sein sollte, zeigt die FSFE in ihrer aktuellen Public Money, Public Code-Kampagne.
Ganz gleich, ob die Bundesrechtsanwaltskammer sich für eine komplette Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten.
Die Unterzeichnenden erwarten von der Bundesrechtsanwaltskammer (BRAK)
- die Veröffentlichung der bisherigen und zukünftigen Entwicklung der beA-Software unter einer gängigen Freie-Software-Lizenz,
- öffentliche Audits des gesamten Programmcodes durch unabhängige IT-Sicherheitsforscher,
- Kompatibilität der Software zu allen aktuellen Betriebssystemen (u.a. GNU/Linux, Windows, MacOS).
Unterzeichnende Organisationen und Juristen
Diese Kernforderungen wurden von verschiedenen Organisationen und Juristen unterzeichnet, die über die erheblichen Mängel der beA-Software besorgt sind. Andere Organisationen und Juristen sind dazu eingeladen, die Erklärung ebenfalls zu unterzeichnen. Bitte helfen Sie uns, Bewusstsein für dieses Thema zu schaffen. Um öffentlich zu unterzeichnen, kontaktieren Sie bitte den Koordinator dieser Kampagne.
Alle anderen bitten wir, unseren Offenen Brief für Public Money, Public Code zu unterzeichnen.
RAin Helene Anders (Berlin) | Erstunterzeichnerin |
Dr. Ulf Buermeyer LL.M. (Berlin) | Erstunterzeichner |
RA Dipl.-Ing. Horst Fabisch (Barsinghausen) | Erstunterzeichner |
RA Axel Fachtan (Fürstenwalde/Spree) | Erstunterzeichner |
RA André Feske (Berlin) | Erstunterzeichner |
RA Ralph Hecksteden (Saarbrücken) | Erstunterzeichner |
RA Dr. Till Jaeger (Berlin) | Erstunterzeichner |
Nuri Khadem (Berlin) | Erstunterzeichner |
RA Matthias Macha (Berlin) | Erstunterzeichner |
Andreas Mantke (Duisburg) | Erstunterzeichner |
RAin Sonja Meinecke (Berlin) | Erstunterzeichnerin |
RA Michael Schinagl (Berlin) | Erstunterzeichner |
RA Jens-Uwe Schrieber (Bremen) | Erstunterzeichner |
RAin Dr. Claudia von Seck (Wiesbaden) | Erstunterzeichnerin |
RA Meinhard Starostik (Berlin) | Erstunterzeichner |
RegR Volkmar Stein (Berlin) | Erstunterzeichner |
RA Kai Oliver Thon (Berlin) | Erstunterzeichner |
RA Dominik Tobschall (Münster) | Erstunterzeichner |
RA Dr. Torsten Walter (Berlin) | Erstunterzeichner |
RA Christian Wolff (Saarbrücken) | Erstunterzeichner |
RA Benjamin Wunderle (Berlin) | Erstunterzeichner |
RA Rainer Ahues (Bremen) | |
RA Matthias Bergt (Berlin) | |
RA Christian Bibelriether (Passau) | |
RA Thorsten Deppner (Berlin) | |
RA Marcus Dury (Saarbrücken) | |
RA Thomas Ebinger LL.M. (Berlin) | |
RA Dietrich-Wilhelm Fortmann (Bochum) | |
RA Jan-Alexander Fortmeyer (Frankfurt am Main) | |
RA Jens Frick (Potsdam) | |
RA Conrad Graf (München) | |
RA Carsten Hartisch LL.M. (Essen) | |
RA Klaus Dietrich Haupt (Mayen) | |
RA Uwe Heichel (Berlin) | |
RAin Julia Hesse (Berlin) | |
RA Karl Jägen (Mönchengladbach) | |
RA Dr. Welf Kienle (Koblenz) | |
RA Dr. Wolfgang Loderbauer (Essenbach) | |
RA Dominique Maier (Aachen) | |
RA Benjamin Manthey (Freising) | |
RA Felix Melzer (Leipzig) | |
RA Ludwig Wilhelm Mieth (Forchheim) | |
RA Christoph R. Müller (Leipzig) | |
RA Nils Petersen (Bautzen) | |
RAin Kerstin Reck (Berlin) | |
RA Christian Schmoll (München) | |
RA Michael Seidlitz (Berlin) | |
RA Christian Stetter (München) | |
RA Frank Venetis (Berlin) | |
RA Michael Zapf (Augsburg) | |
RA Alexander Zieschang LL.M. (Dresden) |