Das beA muss Freie Software werden

Dr. Michael Stehmann anwalt at rechtsanwalt-stehmann.de
Mi Jan 24 08:41:30 UTC 2018 


Am 24.01.2018 um 08:27 schrieb Bernhard Reiter:

> Am Donnerstag 11 Januar 2018 14:42:32 schrieb Dr. Michael Stehmann:
>> beA ist IMO "broken by design"
> 
> Der Punkt ist mir noch nicht ganz klar, was meinst Du damit?
> 
> Aus den Medienberichten konnte ich entnehmen:
> * Es ist keine Ende-zu-Ende Verschlüsselung, 
>   da Umschlüsselung auf einem Server.

Das ist der erste grundlegende Fehler, denn es wurde
"Ende-zu-Ende-Verschlüsselung" versprochen.

> Heise Artikel 
> https://www.heise.de/newsticker/meldung/Fataler-Konstruktionsfehler-im-besonderen-elektronischen-Anwaltspostfach-3944406.html
> "Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat 
> als auch das Kennwort dazu kennt. [..]Das lässt sich nur heilen, indem man 
> den Client anders konzipiert. "
> 
> Das ließe sich technisch durchaus mit überschaubaren Aufwand tun:
> Der "Client" könnte ein geheimes Zertifikate selbst pro Anwender erzeugen und 
> dann in den Browser importieren. Oder gleich einen Browser selbst mitbringen.
> 
> Wo ist als der fundamentale Design-Fehler?
> 
Es wurde auf den Rechnern der Anwälte ein Webserver (Ja: "Server")
installiert, der zwingend https können muss. Dessen Zertifikat muss dann
vom Browser des Anwenders akzeptiert werden.

Für diesen Server gibt es sogar einen DNS-Eintrag bei der DENIC (der auf
127.0.0.1 verweist).

Hintergrund ist, dass die Clientsoftware auf den Cardreader zugreifen soll.

Es gibt ferner bewusst keine Kanzleipostfächer, sondern jeder
Rechtsanwalt hat eins, manche (Syndikusanwälte mit allgemeiner
Zulassung) AFAIK sogar zwei.

Wie merkwürdig das Ganze konzipiert ist, mag man daraus ersehen, dass
man einstellen kann (was durchaus im Rahmen dieses Systems sinnvoll sein
kann), dass man eine E-Mail (unverschlüsselt)  mit einer
Benachrichtigung bekommt, wenn im beA etwas eingegangen ist.

Was sich noch herausstellen wird, weiß man noch nicht (auch das könnte
man unter Berücksichtigung des Standes der kryptographischen
Wissenschaft seit 1883 einen Designfehler nennen [0]).

Wie das Ganze dann, wenn die Gerichte mit Anwälten nur noch über beA
kommunizieren wollen, mit Anwälten aus anderen EU-Staaten funktionieren
soll, die ebenfalls mit deutschen Gerichten kommunizieren dürfen
(Dienstleistungsfreiheit), ist mir nicht bekannt. Dabei gibt es
Kampagnen der Anwaltschaft, den "Justizstandort Deutschland" zu stärken.

Gruß
Michael

[0] hierzu https://freie-software.org/betrieb-und-verwaltung/bea.html




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20180124/5782d232/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de