Erste Ergebnisse der Sicherheitsanalyse: beA bleibt vorerst weiterhin offline

Am 28. März 2018 informierte der Präsident der Bundesrechtsanwaltskammer die Präsidentinnen und Präsidenten der Rechtsanwaltskammern in einem internen Rundschreiben:

„Am 27. März 2018 stellte die secunet AG der BRAK erste vorläufige Ergebnisse ihrer Sicherheitsanalyse des beA-Systems und der Client Security vor.

Wichtiges Ergebnis der Sicherheitstest ist, dass das beA Schwachstellen hat, die wir vor dem Wiedereintritt in den online-Betrieb beseitigen werden. Das beA kann also im Augenblick noch nicht wieder starten. Aus den vorläufigen Einschätzungen des bisherigen Befundes geht aber auch hervor, dass keine der bislang identifizierten Schwachstellen eine grundsätzliche Überarbeitung der beA-Systemarchitektur erfordert.

Die BRAK hat sich bereits mit Atos in Verbindung gesetzt, um die ausgemachten Sicherheitslücken zu beheben. Weil dies einige Wochen dauern wird, hat sich das Präsidium entschlossen, das so entstehende Zeitfenster zu nutzen und eine umfassende Bewertung des beA-Systems durch secunet vornehmen zu lassen. Die BRAK hat diese Sicherheitsanalyse, die auch eine Bewertung des HSM umfasst, beauftragt. secunet wird die Prüfung ab Mitte Mai abschließen und dann auch das vollständige Sicherheitsgutachten vorlegen.

Selbstverständlich bleibt es dabei, dass die BRAK das komplette Sicherheitsgutachten veröffentlichen wird. In der kommenden Woche wird die BRAK erstmals eine schriftliche Stellungnahme von secunet zu den bisher identifizierten Schwachstellen des beA erhalten. Ich werde Sie über den Inhalt zeitnah informieren. Ebenso ist beabsichtigt, öffentlich zu den vorläufigen Ergebnissen zu kommunizieren.

Bitte haben Sie Verständnis dafür, dass dieses Rundschreiben der internen Information und Transparenz dient, es ist derzeit nicht für die breite Öffentlichkeit bestimmt.“