Die Bundesrechtsanwaltskammer (BRAK) hat im Desaster um das Anwaltspostfach „beA“ nicht nur offenbar viele Millionen Euro verschwendet – sie ist im Umgang mit der Entwicklung der Software außerdem weiterhin äußerst intransparent. FragDenStaat und die Gesellschaft für Freiheitsrechte (GFF) wollen das ändern: Sie verklagen die BRAK auf Herausgabe verschiedener beA-Dokumente.
In der Klage geht es zum einen um den Vertrag der BRAK mit dem IT-Dienstleister Atos, der die Software entwickelt hat. Die BRAK will die Rahmenbedingungen des Auftrags nicht offenlegen. Dabei beruft sie sich auf das angebliche Vorliegen von Betriebs- und Geschäftsgeheimnissen. Vermutlich liegen solche allerdings höchstens an wenigen Stellen des Vertrags vor – diese Stellen könnten geschwärzt und der Rest müsste herausgegeben werden.
Zum anderen wollen die Kläger-Organisationen die Ergebnisse von Sicherheitstests der BRAK erfahren. In den Jahren 2015 und 2016 gab die BRAK ein Sicherheitsaudit sowie einen Penetrationstest zum beA in Auftrag. Sie bescheinigten der Software fälschlicherweise, sicher zu sein. Wie später der CCC aufdeckte, ist dies nicht der Fall. Auch die Sicherheitstests will die BRAK wegen angeblicher Betriebs- und Geschäftsgeheimnisse nicht herausgeben, obwohl die Tests solche Geheimnisse kaum enthalten dürften. Und sofern die Gutachten Sicherheitslücken enthalten, so müssten diese längst geschlossen sein – sonst dürfte das beA überhaupt nicht wieder in Betrieb genommen werden. Nicht nur das angefragte alte, sondern auch ein neues Gutachten von Secunet steht in der Kritik, unter anderem die Verschlüsselung von beA nicht ausreichend untersucht zu haben.
Klage ist spendenfinanziert
Das Verwaltungsgericht Berlin wird voraussichtlich Anfang 2019 über die Klage entscheiden. Die GFF hat bereits in einem vorigen Fall Klage gegen die BRAK eingereicht. In der GFF-Initiatve „beA – aber sicher!“ geht es um die Nachrüstung der bisher unsicheren Software mit einer echten Ende-zu-Ende-Verschlüsselung. Für die Finanzierung der Klage bitten die Organisationen um Spenden.
Welche Gründe könnte es wohl geben, der Gesellschaft für Freiheitsrechte und FragdenStaat Einblick in die Vertragsbeziehung der Rechtsanwaltskammer mit ihrem Serviceprovider zu gewähren?
Welche Interessen verfolgen die beiden Organisationen, dass sie Interna anderer Organisationen beanspruchen? Die „Freiheit“ anderer als der Rechtsanwälte ist damit nicht betroffen, „Transparenz“ als Selbstzweck ? Oder gar mit dem Ziel, die vertrauliche Kommunikation zu stören?
Man kann vermuten, dass das Anwaltspostfach unsicher ist. Wen das betrifft? Im Zweifel uns alle. Stell dir vor du wirst verklagt und man kann den Schriftverkehr deines Anwaltes und des Gerichts durch eine Sicherheitslücke mitlesen. Oder stell dir vor du bekommst ein Urteil nach Hause geschickt was gegen dich ergeht weil du die Klage anerkannt hast. Du sagst dann du hast den Klageinhalt nie anerkannt. Dann sagt das Gericht das aber ein Schreiben deines Anwaltes vorliegt wo du die Schuld anerkennst. Dein Anwalt weiß von nichts. Aber jemand hat eine Lücke im vermeintlich sicheren Signaurverfahren genutzt um unter der Identität deines Anwalts Nachrichten zu verschicken. Niemand glaubt dir und deinem Anwalt das es „Hacker“ waren weil die Software als „sicher“ zertifiziert wurde.
Und wegen dieser Vermutung muss man den Inhalt der Vertragsbeziehung zwischen der Rechtsanwaltskammer und dem Serviceprovider kennen? Dafür kommt es doch auf die technische Ausgestaltung an. Der Inhalt des Auskunftverlangens kann sich also auf diesen Teil reduzieren.