BRAK unterstützt keine Standardsignaturkarten mehr

Lesedauer: 5 Minuten

Benutzer des besonderen elektronischen Anwaltspostfachs (beA) aufgepasst. Die Bundesrechtsanwaltskammer (BRAK) hat beschlossen, künftig nur noch die eigenen Signaturkarten aus dem Hause der Bundesnotarkammer (BNotK) zu unterstützen. Dies geht aus einer aktuellen Meldung der BRAK hervor1)https://bea.brak.de/2019/11/14/software-update-mit-downtime-am-19-11-2019-und-anpassung-des-verschluesselungsverfahrens-am-20-11-2019/.

Alle anderen Signaturkarten werden ab 20.11.2019 nicht mehr vom beA System unterstützt. Das bedeutet, dass jeder Anwender, der seinerzeit eine andere Signaturkarte gekauft hat, neue bestellen muss.

Derzeit noch im Einsatz sind zahlreiche Standardkarten, die auch für andere Systeme wie beispielsweise von Ärzten für die Telematikinfrastruktur der Krankenkassen verwendet werden.

Telesec Karten der T-Systems International GmbH

Die Deutsche Telekom AG bietet bereits seit 1994 allgemein gültige Signaturkarten an. Sie war indes auch der erste Hersteller, der bundesweit die Genehmigung zur Ausgabe von Zertifikaten für die digitale Signatur gemäß dem Deutschen Signaturgesetz (SigG) durch die Regulierungsbehörde für Telekommunikation und Post (heute BNetzA) erhielt. Darüber hinaus ist der Service der Telekom auch ein nach der europäischen eIDAS Verordnung akkreditierter Vertrauensdienst, der kontinuierlich weiterentwickelt wird (https://www.telesec.de/de/signaturkarte)).

Die Anwendungsfälle dieser Signaturkarte sind vielfältig, insbesondere wurde diese auch für die Verwendung im beA System vorgesehen2)https://www.telesec.de/de/signaturkarte/support/anwendungen.

Angeblich wegen einer (undokumentierten) Änderung des beA Systems können diese Karten, die beA Nutzer für viel Geld beschafft haben, künftig nicht mehr verwendet werden. Weder für die Anmeldung am beA, noch zum Signieren außerhalb der Anwendung3)https://bea-abc.de/blog/gute-karten-schlechte-karten-performance-und-mehr-transparenz-beim-bea/.

Bundesdruckerei Karten der D-Trust GmbH

Bundesdruckerei klingt doch super sicher. Immerhin stellt die Bundesdruckerei alle deutschen Pass- und Ausweisdokumente her und viele ausländische Staaten setzen auf deren langjähriges Know-How4)https://www.bundesdruckerei.de/de/Loesungen-Produkte/Hoheitliche-Loesungen/Pass-und-Ausweissysteme.

Doch wer glaubt, mit einer Karte der Bundesdruckerei auch mit dem beA System auf der zukunftssicheren Seite zu sein, der irrt leider. Denn auch für diese Karten stellt die BRAK die Unterstützung ein und eine Anmeldung am beA System wird damit ab 20.11. nicht mehr möglich sein5)https://bea-abc.de/blog/gute-karten-schlechte-karten-performance-und-mehr-transparenz-beim-bea/. Auch hier angeblich, weil diese die „aktuellen Verschlüsselungsmethoden“ des ach so sicheren beA Postfachs nicht mehr unterstützen6)https://bea.brak.de/2019/11/14/software-update-mit-downtime-am-19-11-2019-und-anpassung-des-verschluesselungsverfahrens-am-20-11-2019/.

Karten der Deutschen Gesundheitsnetz GmbH (DGN):

Last but not least fliegt auch noch der Kartenanbieter DGN aus der Liste unterstützter Signaturkartenlieferanten beim beA raus. Zwar hat auch die Deutsche Gesundheitsnetz GmbH extra noch Karten zur Verfügung gestellt, die beA und EGVP kompatibel sind und eine sichere Verschlüsselung ermöglichen7)https://www.dgn.de/bea/. Wie so oft hat die BRAK aber ihre ganz eigene Meinung dazu8)https://bea.brak.de/2019/11/14/software-update-mit-downtime-am-19-11-2019-und-anpassung-des-verschluesselungsverfahrens-am-20-11-2019/.

Persönlicher Kommentar

Über Sinn und Unsinn ließ sich bei den Sicherheitsbewertungen der BRAK schon immer vorzüglich streiten.

Zu den technischen Hintergründen erfährt man wie immer nichts aus den Häusern der Bundesrechtsanwaltskammer9)https://bea.brak.de/2019/11/14/software-update-mit-downtime-am-19-11-2019-und-anpassung-des-verschluesselungsverfahrens-am-20-11-2019/ oder auch der Bundesnotarkammer. Es wirkt wie eine Vetternwirtschaft zu Lasten des zwangsweise zur Nutzung verpflichteten Anwalts.

Fachleute fordern seit jeher, dass das beA System zeitgemäße Sicherheitstechnologien einsetzen sollte10)https://www.lto.de/recht/juristen/b/reaktionen-brak-praesidentenkonferenz-sondersitzung-bea-anwaltspostfach-totalschaden-falsch-irrefuehrend/11)https://diercks-digital-recht.de/wp-content/uploads/2018/01/BRAK-offener-Brief-in-Sachen-beA-07012018.pdf. Die nächsten Klagen stehen an, da auch mit dem Anbieterwechsel keine Besserung in Sicht ist12)https://bea.brak.de/wp-content/uploads/2019/11/AGH_Urt.-v.-14.11.2019_I-AGH_6-18.pdf. Davon unbeirrt verbarrikadiert sich die BRAK immer weiter in ihrer dubiosen Abschottungspolitik13)https://www.haufe.de/recht/kanzleimanagement/brak-zur-offenlegung-des-secunet-bea-gutachtens-gezwungen_222_494024.html. Nun sind also auch keine Standardsignaturkarten mehr möglich, sondern man ist auf die „Black Box“ Karten der BNotK angewiesen.

Eine sicherheitstechnische Legitimation ist nicht erkennbar. Wieso die absolut gängigen Standardkarten renommierter Signaturkartenanbieter plötzlich nicht mehr verwendet werden können lässt sich nicht erkennen.

Zwei mögliche Gründe erscheinen aber naheliegend:

  1. Signaturkarten sind, was die Herstellungskosten angeht, Cent-Artikel. Bisher gab es günstige alternative Anbieter. Die BNotK zwängt nun aber allen Nutzern auf, die eigenen Karten für 55,- € zzgl. USt jährlich zu kaufen14)https://zertifizierungsstelle.bnotk.de/signaturkarte/kosten#:~:targetText=Kosten%20f%C3%BCr%20die%20Signaturkarte&targetText=USt.,Jahresgeb%C3%BChr%20199%2C00%20EUR%20zzgl.. Bei schätzungsweise mindestens 200.000 beA Karten, die wohl im Umlauf sein müssen15)https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/, macht das jährlich wiederkehrende Einnahmen in Höhe von elf Millionen Euro netto. Ausgeschrieben sieht das so wenig aus, hier noch einmal die Zahl: 11.000.000,00 Euro netto.
  2. Das von der BRAK verfolgte Sicherheitsprinzip „Security by Obscurity“16)https://kryptografie.de/kryptografie/security-by-obscurity.htm geht in die nächste Runde. Nicht nur bietet das beA bis heute keine in der IT Sicherheit seit Jahrzehnten übliche Ende-zu-Ende Verschlüsselung17)https://www.security-insider.de/was-ist-ende-zu-ende-verschluesselung-e2ee-a-727147/, nein, künftig wird offenbar auch noch der zugrunde gelegte Verschlüsselungsstandard nicht offengelegt18)https://www.lto.de/recht/juristen/b/anwaltspostfach-brak-atos-vertraege-laufen-aus-neue-ausschreibung-transparenzantrag-koeln-e2e-verschluesselung/. Es ist ja auch hinlänglich bekannt, dass die gravierenden Sicherheitsmängel des beA Postfachs auch mit dem angestrebten Anbieterwechsel keineswegs behoben werden19)https://www.heise.de/newsticker/meldung/Bundesrechtsanwaltskammer-schreibt-beA-neu-aus-4357574.html. Die BRAK hat ganz offensichtlich noch immer nicht verstanden, dass man IT Sicherheit nicht dadurch erreicht, dass man die Methoden geheim hält.

#brakbashing

Quellenverzeichnis

Quellenverzeichnis
1, 6, 8, 9 https://bea.brak.de/2019/11/14/software-update-mit-downtime-am-19-11-2019-und-anpassung-des-verschluesselungsverfahrens-am-20-11-2019/
2 https://www.telesec.de/de/signaturkarte/support/anwendungen
3, 5 https://bea-abc.de/blog/gute-karten-schlechte-karten-performance-und-mehr-transparenz-beim-bea/
4 https://www.bundesdruckerei.de/de/Loesungen-Produkte/Hoheitliche-Loesungen/Pass-und-Ausweissysteme
7 https://www.dgn.de/bea/
10 https://www.lto.de/recht/juristen/b/reaktionen-brak-praesidentenkonferenz-sondersitzung-bea-anwaltspostfach-totalschaden-falsch-irrefuehrend/
11 https://diercks-digital-recht.de/wp-content/uploads/2018/01/BRAK-offener-Brief-in-Sachen-beA-07012018.pdf
12 https://bea.brak.de/wp-content/uploads/2019/11/AGH_Urt.-v.-14.11.2019_I-AGH_6-18.pdf
13 https://www.haufe.de/recht/kanzleimanagement/brak-zur-offenlegung-des-secunet-bea-gutachtens-gezwungen_222_494024.html
14 https://zertifizierungsstelle.bnotk.de/signaturkarte/kosten#:~:targetText=Kosten%20f%C3%BCr%20die%20Signaturkarte&targetText=USt.,Jahresgeb%C3%BChr%20199%2C00%20EUR%20zzgl.
15 https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
16 https://kryptografie.de/kryptografie/security-by-obscurity.htm
17 https://www.security-insider.de/was-ist-ende-zu-ende-verschluesselung-e2ee-a-727147/
18 https://www.lto.de/recht/juristen/b/anwaltspostfach-brak-atos-vertraege-laufen-aus-neue-ausschreibung-transparenzantrag-koeln-e2e-verschluesselung/
19 https://www.heise.de/newsticker/meldung/Bundesrechtsanwaltskammer-schreibt-beA-neu-aus-4357574.html
patrick.ruppelt