Anwaltspostfach beA: Einfach. Digital. Sicherheitsdesaster.
Gefühlt erhielt ich über die letzten drei Wochen mindestens 20 E-Mails mit dem Hinweis auf das elektronische Anwaltspostfach beA – oder vielmehr auf das damit einhergehende Sicherheitsdesaster für Anwälte. Ich möchte auf die Thematik gar nicht im Detail eingehen, sondern verweise auf zwei Beiträge zu diesem Thema:
- Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre
- Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach
Ganz kurz meine Einschätzung: Das beA ist in seiner aktuellen Form ein Sicherheitsdesaster. Es bleibt abzuwarten, ob die Probleme überhaupt gelöst werden können, oder ob sich die Einführung des elektronischen Anwaltspostfachs auf unbestimmte Zeit verschiebt – der BER lässt grüßen…
Das beA ist auch wieder der beste Beweis dafür, dass Zertifizierungen so viel Aussagekraft haben, wie die Wahlversprechen unserer Politiker. Entweder wurde im Anforderungskatalog die (dringend notwendige) Bewertung der Verschlüsselungskonzeption schlichtweg vergessen oder die Zertifizierung erfolgte derart stümperhaft, dass die Konstruktionsfehler nicht entdeckt wurden. Beides zeigt: Wenn Zertifizierungen nicht einmal grundlegende Schutzziele der IT-Sicherheit erfassen bzw. bewerten, dann kann man darauf auch gänzlich verzichten und sollte sich nicht mit diesen vermeintlichen »Lorbeeren« schmücken.
Anwaltspostfach beA: Transparenz-Antrag eingereicht
Anwaltspostfach beA: Miserable Sicherheitsvorkehrungen auf bea.brak.de
Informationssicherheit: Zertifikate überwiegend wertlos
beA: Sicherheitsvorkehrungen auf bea.brak.de erhöht | Schwachstelle beseitigt