Das Bundesjustizministerium hat das „besondere elektronische Anwaltspostfach“ (beA) wegen recht massiven Sicherheitsproblemen auf Eis gelegt und bemüht sich um Schadensbegrenzung.
Trotzdem wurde am 14. Februar 2019 offiziell die Notar-Variante, das „besondere elektronischen Notarpostfach“ (beN) in Dienst gestellt. Zeitgleich fanden sich auf Einladung des Deutschen EDV-Gerichtstages in den Räumen der Bundesrechtsanwaltskammer geladene Notare, Politiker und ein Vertreter des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Vorstellung des neuen Projektes ein.
Nur drei Monate antwortet die Bundesregierung auf eine Anfrage der Bundestagsfraktion der Grünen zum beN und räumt Probleme sowie Sicherheitsbedenken ein. Genannt werden dabei vor allem Probleme mit der Vertraulichkeit der laufenden Kommunikation und die Abwehr von Cyberangriffen.
Zentralisierung der privaten Schlüssel unrechtmäßig
Das derzeitige beN Verfahren schreibt vor, dass den teilnehmenden Notaren PINs für private Schlüssel zugeteilt und danach zentral gespeichert werden. Laut Bundesnotarkammer sei diese Vorgehensweise ein „bewusste Designentscheidung auf Grundlage einer Risikoabschätzung“. Damit sollte eine „unkomplizierte“ Übergabe des Postfachs an Amtsnachfolger gewährleistet werden. Dieses Vorgehen widerspricht aber den Gesetzesvorgaben der Bundesnotarordnung, des Notarverzeichnisses und denen des beN, deshalb waren Nachbesserungen erforderlich.
Schwammige Antwort des Ministeriums
Jetzt wurde vom Bundesjustizministerium mitgeteilt, dass neue Zertifikate „ausschließlich lokal“ generiert und private Schlüssel nicht mehr zentral gespeichert werden. Zudem werden in der Version „XNotar“ keine privaten Schlüssel mehr übermittelt. Die Bundesnotarkammer steht in der gesetzlichen Pflicht, die „beN“ für alle zugehörigen Mitglieder vorzuhalten, muss aber die Sicherheit der Zugänge mittels zweier unabhängiger Schutzmechanismen gewährleisten. Als übergeordnete Behörde regelt das Bundesjustizministerium die rechtlichen Details und die Gesamtaufsicht über alle Abläufe und Verfahrenswege.
Die Antwort der Bundesregierung auf die Anfrage der Grünen schließt eine „Denial-of-Service-Attacke“ nicht aus, da ein einheitlicher Account und einfache Login Namen das System angreifbar machen. Auch bei der Frage nach der „echten Ende-zu-Ende-Verschlüsselung“ äußert sich das Bundesressort eher vage und schreibt, dass „diese Sicherheitsmaßnahme den rechtlichen Vorgaben auch nicht als Voraussetzung für die Einrichtung des Notarpostfaches normiert“ sei und keiner festgelegten Definition unterliege. Es wurden laut Infoschreiben keine „Auditierungen zur IT Sicherheit und zwei Faktor Authentifizierung“ durchgeführt, was die Grünen-Fraktion als bedenklich ansieht und fordert, dass alle eventuellen Sicherheitsbedenken ausgeräumt werden müssen.