beA Digital.Einfach.Kaputt.

Das Hardware-Security-Modul (HSM) der Bundesrechtsanwaltskammer im beA – oder das neue Schlüsselhinterlegungs- und Aufbewahrungsgesetz (SchlAG)*

von Rechtsanwalt Alexander Zieschang

Das Internet ist für manche immer noch Neuland. Zumindest bei der Kommunikation der Anwaltschaft mit Behörden, Gerichten oder anderen Anwälten hat der Gesetzgeber die stufenweise, zwingenden Umstellung der traditionellen und bewährten Schriftform auf die ausschließlich elektronische Kommunikation beschlossen – beginnend ab dem 1.1.2018. Mit der Umsetzung dieses Projektes wurden die Selbstverwaltungsorgane der Anwaltschaft beauftragt, konkret die Bundesrechtsanwaltskammer (BRAK). Die BRAK beauftragte wiederum den IT-Dienstleister ATOS mit der Erstellung eines besonderen elektronischen Anwaltspostfaches (beA). So begann man – teilweise unter allerstrengster Geheimhaltung – für jede Anwältin und jeden Anwalt ein solches Postfach zu entwickeln. Nach ca. 3 Jahren Entwicklung, begleitet von einer fast einjährigen Testphase, durften sich alle Anwälte auf eine schicke Smart-Card, einen Chipkartenleser, einen bea-Security-Client sowie ein neues elektronisches Postfach im altbackenen Look der 1990’er Jahre freuen. Aber wer wird bei Äußerlichkeiten kleinlich sein, schließlich kommt es doch auf die inneren Werte an. Und werthaltig ist das Projekt auf jeden Fall, wo doch – je nachdem welchen kolportierten Zahlen man vertrauen darf – allein zur Startfinanzierung zwischen 11 bis 38 Millionen Euro investiert wurden. Die jährlichen Folgekosten sollen sich auf ca. 11 Millionen Euro pro Jahr belaufen. Da sollten doch gute Softwarequalität und größtmögliche Sicherheit eigentlich selbstverständlich sein. Schließlich heißt es doch immer: Der Kunde ist König!

„beA Digital.Einfach.Sicher“

„beA Digital.Einfach.Sicher“, so lautet der Spruch, den sich die BRAK extra markenrechtlich schützen ließ und mit dem sie für das beA eifrig wirbt. Die Verschlüsselung im besonderen elektronischen Anwaltspostfach (beA) ist nach Darstellung der BRAK vertrauenswürdig und sicher**. Alle Nachrichten würden demnach sicher durch eine Ende-zu-Ende-Verschlüsselung geschützt. Der Schutz von Mandantendaten und damit von Bürgerrechten vor einem ausufernden Überwachungsstaat gebietet es schließlich, auch im „Neuland“ die bestmöglichen Sicherheitsstandards zu nutzen.

Seit dem 22.12.2017 – eine reichliche Woche vor dem offiziellen und vom Gesetz geforderten Start des Projektes – ist dieser schöne Traum erst einmal zerplatzt.

Eine clevere Gruppe von Computerexperten aus Darmstadt hatte das Projekt genauer unter die Lupe genommen. Markus Drenger und Felix Rohrbach vom Chaos-Computer-Club erklärten dazu am 28.12.2017 auf dem 34. Kongress des Vereins in Leipzig, dass das beA unter erheblichen Sicherheitsmängeln leide. So sei notwenige Wissen des von der BRAK beauftragten Dienstleisters darum, Sicherheitslücken zu finden und zu vermeiden, eher auf dem Niveau eines Anfängerprogrammierers im ersten Studiensemester der Informatik anzusiedeln, so die Computerexperten. Demnach wurden geheimzuhaltende Sicherheitszertifikate in der Software des beA-Security-Clients durch den Hersteller ATOS öffentlich gemacht. Der Zertifikatherausgeber (die Fa. T-Systems) sah sich deshalb dazu gezwungen, das kompromittierte Zertifikat sofort zu widerrufen. Daraufhin bot die BRAK allen Anwälten die Installation eines neu erstellten Root-Zertifikates mit dem gleichen innewohnenden Fehler an – nur das diesmal auch noch die Sicherheitsarchitektur des jeweiligen PC-Systems gefährdet worden wäre. Da ist es nicht verwunderlich, dass die Browser die größtenteils verunsicherte Anwaltschaft bei dieser Installation mit folgenden Worten warnten: „Seriöse Banken oder Geschäfte würden so etwas von Ihnen nie verlangen.“ Schlussendlich ermöglichte die qualitativ mangelhaft programmierte Software auch noch sogenanntes Cross-Site-Scripting. Dies ist eine Sicherheitslücke, über die ein Angreifer Schadcode auf dem Computer des Opfers unter Zuhilfenahme speziell präparierter Webseiten ausführen kann.

Mittlerweile ist das Projekt bis auf weiteres gestoppt – Sicherheit und Datenschutz gehen vor.

Aber gibt es da noch mehr Sicherheitsrisiken? Lautet doch das Versprechen der BRAK, dass alle Nachrichten im beA durch eine sichere Ende-zu-Ende-Verschlüsselung geschützt würden. Nach den Erfahrungen mit den gravierenden Sicherheitslücken im sogenannten beA-Client sind da wohl berechtigte Zweifel angebracht. Die Idee einer sicheren Ende-zu-Ende-Verschlüsselung soll deshalb hier nochmals anhand der öffentlichen Aussagen der BRAK nachvollzogen werden.

„Sichere“ Übermittlung?

Die BRAK beschreibt die „sichere“ Übermittlung wie folgt: „Die Nachricht wird vor ihrer Übermittlung auf dem Computer des Absenders mit einem zufällig erzeugten symmetrischen Nachrichtenschlüssel verschlüsselt.“

Wenn es sich um wirklich zufällig erzeugte Einmalschlüssel handeln würde, die nur der Empfänger bereits kennt, weil sie vorher auf einem sicheren Weg ausgetauscht wurden, wäre dies wohl tatsächlich hinreichend sicher (sog. OneTimePad). Auch asymmetrische Verschlüsselungsverfahren wie das bewährte PGP, bei dem zwischen einem öffentlichen und einem streng geheimzuhaltenden privaten Schlüssel unterschieden wird, sind hinreichend sicher.

Im beA wird jedoch ein anderer Weg gegangen. Die Nachricht wird erst mit einem zufällig erzeugten symmetrischen Schlüssel verschlüsselt und dieser symmetrische Nachrichtenschlüssel muss dann noch irgendwie möglichst sicher zum Empfänger gesendet werden. Daher wird er anschließend mit dem wirklich wichtigen asymmetrischen öffentlichen Schlüssel des Empfängerpostfaches verschlüsselt, welcher im sogenannten SAFE-Verzeichnis der BRAK hinterlegt ist. Dabei wird nur der symmetrische Schlüssel nochmals verschlüsselt, nicht jedoch die eigentliche Nachricht.

Angemerkt sei, dass eine richtig implementierte Ende-zu-Ende-Verschlüsselung dafür sorgt, dass Nachrichten, die mit dem öffentlichen asymmetrischen Schlüssel des Empfängers verschlüsselt wurden, ausschließlich vom Empfänger mit dessen privatem asymmetrischem Schlüssel entschlüsselbar sein sollten. Soweit so gut.

Wenn aber ein Dritter – egal, ob Geheimdienst, Strafverfolgungsbehörde oder Hacker – den geheimen privaten asymmetrischen Schlüssel des Empfängers kennen würde, könnte dieser Dritte damit erst den symmetrischen Nachrichtenschlüssel entschlüsseln und mit diesem symmetrischen Nachrichtenschlüssel dann die eigentliche schützenswerte Nachricht dechiffrieren und lesen.

„Postfachschlüssel im HSM“

Wie beschreibt die BRAK nun den Weg einer beA-Nachricht?

Verschlüsselte Nachricht und verschlüsselter Nachrichtenschlüssel werden an das Empfängerpostfach übertragen. Ok, soweit so gut.

Weiter heißt es: „um die Aufgabenverteilung innerhalb einer Kanzlei abzubilden (…) kommt ein Hardware Security Module (HSM) zum Einsatz“.

„Das HSM schlüsselt (…) den Nachrichtenschlüssel für den jeweiligen berechtigten Leser um. (…) Nur das HSM ist in der Lage, Nachrichten umzuschlüsseln, da die Postfachschlüssel im HSM (…) abgelegt sind (…).“ Eingeführt wurde die Idee der „Umschlüsselung“, damit auch Kanzleimitarbeiterinnen und Kanzleimitarbeiter auf Nachrichten der Anwälte zugreifen können.

Wir erinnern uns, nur der geheime Schlüssel des Empfängers sollte im Endeffekt Zugang zur Nachricht gewähren. Im HSM des beA soll der asymmetrisch verschlüsselte symmetrische Schlüssel nun „umgeschlüsselt“ werden. Dies kann technisch aber nur funktionieren, wenn das HSM den hochgeheimen privaten asymmetrischen Schlüssel des Empfängers kennt. Ja, es muss sogar sämtliche geheimen privaten Schlüssel aller ca. 160.000 zugelassenen Anwältinnen und Anwälte kennen, denn sonst wäre die sogenannte „Umschlüsselung“ mit den bisherigen technischen Strukturen des beA technisch gar nicht möglich.

Keine echte Ende-zu-Ende-Verschlüsselung im beA

Also liegen im HSM die physikalischen Daten aller (!) hochgeheimen privaten Schlüssel aller (!) zugelassenen Rechtsanwältinnen und Rechtsanwälte zentral an einer Stelle. Ob diese nochmal verschlüsselt sind – zum Beispiel mit dem Schlüssel eines Serveradministrators oder eines Datenschutzbeauftragten -, spielt für die Frage einer sicheren Ende-zu-Ende-Verschlüsselung aber keine wirkliche Rolle mehr. Denn wenn die hochgeheimzuhaltenden privaten Schlüssel außer auf der Smart-Card des Benutzers noch an einem anderen Ort gespeichert sind, kann man keines Falls von einer sicheren Ende-zu-Ende-Verschlüsselung sprechen. Oder würden Sie Ihre Wohnung oder Ihr Haus für sicher halten, wenn Sie bei der Polizei für jede Tür und jeden Safe einen Nachschlüssel hinterlegen müssten?

Gottvertrauen auf die Zuverlässigkeit des HSM

In die klassisch analoge Welt übertragen, würde die Idee des HSM Folgendes bedeuten:

Die Deutsche Post hätte das eingeräumte Recht, einen zweiten Kanzleitürschlüssel zu nutzen und die Briefumschläge der gelieferten Post zu öffnen und die Schreiben in die Postkörbe der jeweiligen Mitarbeiterinnen und Mitarbeiter zu legen. Ob die Post die geöffneten Schreiben dabei nur ungelesen in die Postkörbe sortiert oder ob die geöffneten Briefe doch heimlich gelesen werden, hinge vom Gottvertrauen auf die Zuverlässigkeit der Briefzusteller ab.

Wenn wir uns nun wieder der Idee einer sicheren digitalen Kommunikation zuwenden, so ist festzustellen, dass eine echte Ende-zu-Ende-Verschlüsselung einen erheblichen Sicherheitsgewinn gegenüber der klassischen Briefpost oder einer unverschlüsselten E-Mail darstellen würde. Beim Hardware-Security-Modul der BRAK-Dienstleister muss die Anwaltschaft aber darauf hoffen, dass diese „Hardware“ nicht professionell agierenden Dritten die gesamte Kanzleipost offenbart. Prüfen darf dies der einzelne Nutzer nämlich nicht, denn die BRAK hält die Serverstandorte geheim – aus Sicherheitsgründen.

„Made in Germany“

Eine sichere und echte Ende-zu-Ende-Verschlüsselung ist im beA – technisch bedingt durch die Konstruktion einer HSM-Blackbox – derzeit nicht möglich. Ein echter Sicherheitsgewinn durch „Made in Germany“ sieht anders aus. Wenn zudem der technische Dienstleister der BRAK beim HSM die gleiche Unprofessionalität an den Tag legt, wie bei der desaströsen und grob fehlerhaften Programmierung des beA-Clients, werden schützenswerte Mandantendaten in grob fahrlässiger Weise unnötig gefährdet. Ein Schutz von Bürgerrechten sieht anders aus.

Kurzum, um es am Schluss mit dem legendären Komiker Heinz Erhardt zu sagen: „Made in Germany“ – da ist derzeit der Wurm drin…

*eine Hommage an den leider schon viel zu früh verstorbenen Dresdner Informatikprofessor Andreas Pfitzmann, der bereits in den 1990’er Jahren in der Debatte um die Zulässigkeit von Kryptographie vor staatlichen Nachschlüsseln warnte.

https://de.m.wikipedia.org/wiki/Andreas_Pfitzmann

https://events.ccc.de/congress/1995/div/pfitz/satire.htm

** http://bea.brak.de/technische-informationen-zum-verschluesselungsverfahren-beim-bea/

http://bea.brak.de/wie-sicher-ist-das-bea/sichere-nachrichtenuebermittlung/