Ist der „Sicherheitskorridor“ des beA „sicher im Rechtssinne“?
Anmerkung zum Urteil des AGH Berlin v. 14.11.2019, I AGH 6/18
Im Juni 2018 hatten mehrere Rechtsanwältinnen und Rechtsanwälte, koordiniert durch die Gesellschaft für Freiheitsrechte e.V. (GFF), die Bundesrechtsanwaltskammer (BRAK) verklagt. Die Klage richtete sich gegen die Sicherheitsarchitektur des besonderen elektronischen Anwaltspostfachs (beA), welche keine Ende-zu-Ende-Verschlüsselung vorsieht. Der Anwaltsgerichtshof Berlin (AGH) hat die Klage am 14. November 2019 abgewiesen.
Vorgeschichte und technischer Hintergrund
Mehr oder weniger Nutzungspflicht des beA
Das beA wurde 2016 erstmals in Betrieb genommen. Eigentlich gilt bereits seit dem 1.1.2018 eine passive Nutzungspflicht gem. § 31a Abs. 6 BRAO. Das heißt, Rechtsanwälte müssen ihr beA-Postfach bereithalten und über das beA empfangene Dokumente zur Kenntnis nehmen – vorausgesetzt, es ist nicht gerade offline. Spätestens ab dem 1.1.2022 gibt es eine aktive Nutzungspflicht, die teilweise jetzt schon gilt. Anwälte müssen dann Dokumente an Gerichte elektronisch über das beA übermitteln. Das beA ist also vor allem für die Kommunikation zwischen Rechtsanwälten und Gerichten vorgesehen, kann aber auch von anderen Personen (etwa Mandanten) benutzt werden.
Skandal um Sicherheitspannen und Downtime
Ende 2017 wiesen Mitglieder des Chaos Computer Clubs (CCC) auf gravierende Sicherheitslücken des beA hin. Einige Tage darauf wurde das beA gesperrt und erst im September 2018 wieder zur Verfügung gestellt. Vor der Wiederinbetriebnahme hatte die BRAK ein Gutachten bei dem IT-Dienstleister secunet in Auftrag gegeben. Dieses bestätigte, dass die schwerwiegendsten Sicherheitsmängel überwiegend behoben wurden. Dort heißt es auch, grundsätzlich sei das Verschlüsselungskonzept geeignet, Vertraulichkeit zu gewährleisten. Der AGH stützt sich in seiner Entscheidung vor allem auf dieses Gutachten. In der Folgezeit wurden jedoch noch weitere Sicherheitsmängel bekannt.
„Hintertüren“ in der Sicherheitsarchitektur des beA
Neben diesen akuten Sicherheitslücken kritisieren die Kläger schon die Grundkonzeption des beA. Die privaten Schlüssel zur Entschlüsselung befinden sich nämlich nicht ausschließlich in Besitz der Kommunikationspartner. Stattdessen werden die Nachrichten im sog. Hardware Security Module (HSM) „umverschlüsselt“. Dazu werden sog. Master-Schlüssel verwendet, die der Betreiber so verwahrt, dass nur bestimmte Mitarbeiter gemeinsam darauf Zugriff haben. Letztendlich wird Sicherheit also nicht auf kryptographischem Wege, sondern durch physikalisch-organisatorische Maßnahmen erreicht. Dadurch ergeben sich zum einen zusätzliche Schwachstellen, die von Dritten ausgenutzt werden können. Zum anderen erfordert es diese Lösung, den Betreibern des beA zu vertrauen. Gerechtfertigt wird das HSM damit, dass z.B. Kanzleipostfächer und Vertretungsregelungen ermöglicht werden sollen. Jedoch hätte dies technisch und organisatorisch auch mit Ende-zu-Ende-Verschlüsselung umgesetzt werden können. Brisant dabei ist: Im Vorfeld hatte die BRAK immer wieder behauptet, das beA sehe eine Ende-zu-Ende-Verschlüsselung vor. Dass dies tatsächlich nicht der Fall ist, wurde erst 2016 bekannt.
AGH Berlin: Keine Ende-zu-Ende-Verschlüsselung des beA erforderlich
Der AGH war der Ansicht, aus den gesetzlichen Vorschriften zum beA ergebe sich kein Anspruch auf Unterlassung des Betriebs des beA ohne Ende-zu-Ende-Verschlüsselung. Es gebe zudem keine Verpflichtung der BRAK, das beA in einer bestimmten Weise, nämlich mit Ende-zu-Ende-Verschlüsselung, zu betreiben.
Keine unmittelbaren Vorgaben durch die gesetzlichen Vorschriften
Ein solches Erfordernis ergebe sich zum einen nicht unmittelbar aus den gesetzlichen Vorschriften. § 31a Abs. 3 BRAO fordert ein „sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln“, § 174 Abs. 3 S. 3 ZPO den Schutz „gegen unbefugte Kenntnisnahme durch Dritte“ auf einem „sicheren Übermittlungsweg“ i.S.d. § 130a Abs. 4 Nr. 2 ZPO. Weder Wortlaut, Systematik, Historie noch Sinn und Zweck dieser Vorschriften, so der AGH, schreiben ein bestimmtes kryptographisches Verfahren vor. Die Einzelheiten der technischen Ausgestaltung des beA sollen eigentlich durch die §§ 19, 20 der Rechtsanwaltsverzeichnis- und -postfachverordnung (RAVPV) geregelt werden. Dort wird der OSCI-Standard oder ein „künftig nach dem Stand der Technik an dessen Stelle tretenden Standard“ vorgesehen. Bei dem OSCI-Standard handelt es sich um einen recht alten Protokollstandard, der beim elektronischen Gerichts- und Verwaltungspostfach eingesetzt wird. Dieser sieht allerdings eine Ende-zu-Ende-Verschlüsselung vor. In der Begründung der Verordnung wird die Ende-zu-Ende-Verschlüsselung zu den „elementaren Grundelementen des beA“ gezählt.
Der AGH ließ jedoch sowohl die Verordnung als auch deren Begründung ganz außer Betracht. Die Verordnung folge der BRAO und der ZPO zeitlich und normenhierarchisch nach, weshalb die Materialien zur Verordnung gar nicht zur Auslegung von BRAO und ZPO heranzuziehen seien. Davon abgesehen bezweifelte der AGH, dass der Verordnungsgeber tatsächlich davon ausging, dass eine Ende-zu-Ende-Verschlüsselung notwendig sei. Die Formulierung in der Begründung rühre vielmehr daher, dass die BRAK über Jahre hinweg kommuniziert habe, das beA sei Ende-zu-Ende-verschlüsselt. Der Verordnungsgeber soll deshalb davon ausgegangen sein, dass das beA diese Anforderungen erfülle.
Ein „halbwegs sicheres“ beA ist sicher „im Rechtssinne“
Auch mittelbar ergebe sich nichts anderes aus dem Erfordernis des „sicheren Übertragungsweges“. Sicherheit sei ein unbestimmter Rechtsbegriff, also durch das Gericht nachprüfbar. Dennoch habe die BRAK einen weiten Beurteilungsspielraum, was als „sicher im Rechtssinne“ gelten kann. Der AGH führt hier den Begriff des „Sicherheitskorridors“ ein. Danach könne eine Maßnahme auch dann als sicher gelten, wenn sie anderen Lösungen zwar unterlegen, aber dennoch in den unteren Bereich dieses Sicherheitskorridors einzustufen ist. Nach dem relativen Sicherheitsbegriff sei Sicherheit immer nur ein relativer Zustand der Gefahrenfreiheit. Da absolute Sicherheit nicht erreicht werden kann, sei stets ein verbleibendes Risiko hinzunehmen. Ein Zustand könne demnach als sicher gelten, wenn er unter Berücksichtigung der Funktionalität und Standards frei von unvertretbaren Risiken ist. Dazu sei eine Risikoanalyse erforderlich, d.h. denkbare Bedrohungen seien einzuschätzen und die jeweilige Wahrscheinlichkeit zu beurteilen. Der AGH spricht außerdem das Risiko der staatlichen Beschlagnahme von Postfächern an. Es verstehe sich jedoch von selbst, dass die BRAK nicht dazu verpflichtet sei, den rechtmäßigen Zugriff durch Justiz und Polizeibehörden zu verhindern. Sicherheit sei vielmehr auch normativ zu verstehen. Unter Bezugnahme auf das secunet-Gutachten beurteilt der AGH das beA als „sicher im Rechtssinne“. Deshalb verletze der Betrieb des beA auch nicht die Berufsausübungsfreiheit der Klägerinnen und Kläger.
Kritik an der Entscheidung des AGH
Irreführende Kommunikation der BRAK im Gesetzgebungsverfahren
Auch wenn der AGH die Verordnung sowie deren Begründung unberücksichtigt ließ, wäre auch ein „Missverständnis“ des Verordnungsgebers hinsichtlich der Ende-zu-Ende-Verschlüsselung zumindest denkwürdig. Die irreführende Kommunikation der BRAK kann doch kein überzeugender Grund dafür sein, hinterher von diesen selbstgesetzten Vorgaben abzuweichen – erst recht nicht, wenn sie dazu diente, die Akzeptanz des beA zu erhöhen.
„Sicherheit im Rechtssinne“ muss den rechtlichen Rahmen berücksichtigen
Besonders problematisch ist aber, dass der AGH die „Sicherheit im Rechtssinne“ definiert, ohne auf berufs-, datenschutz- und IT-sicherheitsrechtliche Anforderungen zurückzugreifen. Es ist doch davon auszugehen, dass der Gesetzgeber mit Formulierungen wie „sicheres Verfahren“, „sicherer Übermittlungsweg“ und „Schutz gegen unbefugte Kenntnisnahme durch Dritte“ bezwecken wollte, dass das beA technische und organisatorische Maßnahmen nach dem Stand der Technik vorsieht. Die BRAK hätte mit dem beA nicht nur aus politischen Gründen eine Vorreiterrolle einnehmen müssen. Angesichts der Nutzungspflicht stellt der Betrieb des beA bei Nichtbeachtung dieser Vorgaben auch eine Grundrechtsverletzung dar.
Vertraulichkeit erfordert Maßnahmen im oberen Bereich des „Sicherheitskorridors“
Zutreffenderweise legt der AGH einen „relativen Sicherheitsbegriff“ zugrunde, wonach nur zumutbare und risikoadäquate Maßnahmen vorzunehmen sind. Die Orientierung am secunet-Gutachten darf jedoch keine rechtliche Abwägung ersetzen. So heißt es auch im secunet-Gutachten, dass dieses keine rechtliche Beurteilung vornimmt. Insbesondere wird dort klargestellt, dass der Verlust von Vertraulichkeit aus juristischer Sicht nicht bewertet wurde. Eine richtige Ende-zu-Ende-Verschlüsselung wäre technisch grundsätzlich möglich und auch zumutbar gewesen. Wenig überzeugend ist die Äußerung des AGH, dass Maßnahmen im unteren Bereich eines „gedachten Sicherheitskorridors“ ausreichend seien. Gerade für den elektronischen Rechtsverkehr, der unter Umständen einer besonderen Vertraulichkeit bedarf, hätten besonders hohe Anforderungen an die IT-Sicherheit gestellt werden müssen. Weder die konkrete Umsetzung von Vertretungsregelungen noch Gefahrenabwehr- und Strafverfolgungsinteressen rechtfertigen es, das IT-Sicherheitsniveau des beA herabzusetzen und so auch mehr Angriffsfläche für Kriminelle zu bieten.
Kontext des secunet-Gutachtens muss beachtet werden
Aufgrund des im Verwaltungsprozess geltenden Amtsermittlungsgrundsatzes darf das secunet-Gutachten in seiner Bedeutung nicht überbewertet werden. Zwar sahen auch die Klägerinnen und Kläger letztendlich keine weitere Beweiserhebung zur Risikoanalyse als erforderlich an. Im secunet-Gutachten selbst wird jedoch schon auf dessen Grenzen hingewiesen. Davon abgesehen, dass das Gutachten nur aktuelle Sicherheitslücken zu einem bestimmten Stichtag untersucht, ist es teilweise sehr vage gehalten. Dies hängt einerseits damit zusammen, dass das Gutachten mit Hinweis auf geschützten Quellcode für die Öffentlichkeit gekürzt wurde, also gar nicht alle Sicherheitslücken erwähnt. Andererseits verlässt man sich teilweise auf Aussagen des Entwicklers, welcher das beA nur mangelhaft dokumentiert hat. Weder konnte die Verschlüsselung im Detail nachvollzogen werden, noch lag den Gutachtern ein vollständiges Sicherheitskonzept mit Bedrohungs- und Risikoanalyse vor. Daher nimmt secunet ausdrücklich keine abschließende Einschätzung insbesondere der physikalisch-organisatorischen Maßnahmen vor. Diese seien aber auch nicht notwendig, wenn das beA eine Ende-zu-Ende-Verschlüsselung umgesetzt hätte. An dieser Stelle ist auch zu betonen, dass die zum Teil sehr gravierenden Sicherheitsmängel nur durch das freiwillige Engagement von „Hackern“ entdeckt wurden und nicht durch entsprechende Prüfmechanismen seitens des Betreibers des beA. Das Ergebnis des secunet-Gutachten muss auch in diesem Kontext gesehen werden.
Fazit und Ausblick: Wie geht es weiter?
Das Urteil des AGH ist nicht nur rechtsdogmatisch fragwürdig, sondern setzt auch ein verheerendes Signal für die IT-Sicherheit in Deutschland. Es bleibt zu hoffen, dass der Anwaltssenat des BGH das Zusammenspiel von Recht und Technik besser meistert als der AGH. Die GFF hatte auf Twitter angekündigt, Berufung einlegen zu wollen, und zu Spenden für das Verfahren aufgerufen. Trotz neuem Dienstleister des beA gibt es bisher keine Hinweise darauf, dass die BRAK ein Ende-zu-Ende-verschlüsseltes „beA 2.0“ schafft.
