Eigentlich haben die Verantwortlichen bei der Bundesrechtsanwaltskammer (BRAK) Wesentliches richtig gemacht: Sie haben sich schon bei der Auftragsvergabe für das "besondere elektronische Anwaltspostfach" (beA) durch ein renommiertes Unternehmen beraten lassen. Sie haben dann den Auftrag an ein großes internationales Unternehmen erteilt. Und schließlich haben sie noch ein Audit durch ein ebenfalls renommiertes Unternehmen vornehmen lassen.
Und dennoch ist das Ergebnis eine Katastrophe. Wegen erheblicher Mängel, vor allem hinsichtlich der IT-Sicherheit, musste das beA abgeschaltet werden. Es würde den Rahmen sprengen, die Einzelheiten und den Werdegang aufzuführen.
Daher soll, der Aufforderung zu konstruktiver Kritik folgend, der Blick in die Zukunft gerichtet werden. Was ist nun bei der Entwicklung des beA zu beachten?
Der nächste Schritt erfordert von den Verantwortlichen bei der BRAK Mut und Entschlossenheit. Großen Mut erfordert es, sich der Einsicht nicht zu verschließen, dass die vorliegende Software "broken by design" (im Ansatz defekt) ist. Dies ist nicht leicht. Denn diese Erkenntnis bedeutet zugleich, sich einzugestehen, dass der bisherige erhebliche Aufwand, nicht nur in finanzieller Hinsicht, zum allergrößten Teil vergebens gewesen ist. Entschlossenheit erfordert es, den notwendigen Neuanfang zu wagen. Entschlossenheit erfordert es auch, dabei den Rat derer zu akzeptieren, die in bester Absicht die bisherige Lösung als nicht nur mangelhaft, sondern als untauglich und gefährlich entlarvt haben. Ohne den Mut, auf das Kind zu hören, bleibt der Kaiser nackt.
Sodann gilt es eine Erkenntnis anzuwenden, die bereits seit 1883 Stand der kryptographischen Wissenschaft ist. Auguste Kerckhoffs veröffentlichte im Jahre 1883, also geraume Zeit vor dem Inkrafttreten des BGB, seine Schrift "La Cryptographie militaire". Dort formulierte er einen noch heute aktuellen Grundsatz der modernen Kryptographie. Dieser besagt, dass die Sicherheit eines Verschlüsselungsverfahrens auf der Geheimhaltung des Schlüssels beruhen muss und gerade nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus. Besonders in der modernen Kryptographie sprechen einige gute Gründe für die Einhaltung dieses als das Kerckhoffs’sche Prinzip oder die Kerckhoffs’ Maxime bezeichneten Grundsatzes. Geheime Algorithmen können nämlich beispielsweise durch sogenanntes Reverse Engineering aus Software- oder Hardware-Implementierungen rekonstruiert werden. Auch werden Fehler in öffentlichen Algorithmen leichter entdeckt, wenn sich möglichst viele Fachleute damit befassen. Und nicht zuletzt es ist leichter, in proprietären Verschlüsselungsverfahren eine Hintertür zu verstecken - und sei es nur unabsichtlich.
Gerade die bisherige Entwicklung des beA lehrt, dass "Security by obscurity" zu einem Verlust von Sicherheit führt. Sicherheitsmethoden können nämlich nicht von unabhängigen Dritten auf ihre Wirksamkeit überprüft und unwirksame Methoden nicht rechtzeitig verworfen werden. Demgegenüber kann die Funktionsweise und Sicherheit Freier Software durch Studium des Quellcodes jederzeit nachvollzogen und beurteilt und, wenn nötig, auch verbessert werden. Viele kritische Blicke können auf den Quellcode geworfen werden. Daher werden Sicherheitslücken in Freier Software tatsächlich oft schnell erkannt und in der Regel kurzfristig beseitigt. Es ist gerade beim beA entscheidend, dass hierdurch so weit wie möglich sichergestellt werden kann, dass Daten nicht ohne Kenntnis des Berechtigten von der Software an Dritte übermittelt werden können. Das Vertrauen der Nutzungsverpflichteten in die Sicherheit der Anwendung kann nur durch Transparenz wiedergewonnen werden.
Dass beA unter einer Freien Softwarelizenz (von manchen auch "Open-Source-Lizenz" genannt) entwickelt werden sollte, hat sogar schon Eingang in die ehrwürdige NJW gefunden. Bergt fordert dort, dass diese Software unter einer solchen Lizenz gestellt werden soll, um "motivierte Helfer bei Fehlersuche und Verbesserung zu finden" (NJW-aktuell 3/2018, S. 19).
Darüber hinaus könnten BRAK und Rechtsanwaltschaft auch noch von folgenden Vorteilen Freier Software profitieren:
- Wenn beA Freie Software ist, gibt es kein "vendor lock in" mehr, d. h. BRAK und Rechtsanwaltschaft erlangen die "Souveränität" über die Software und sind nicht mehr abhängig von den Fähigkeiten, der Produktpolitik oder der Existenz eines Programmherstellers. Dies ist besonders im Falle der absehbaren Weiterentwicklung dieser Lösung sehr wichtig. Freie Software ist stets "zukunftskompatibel".
- Zugleich ermöglicht Freie Software bei der notwendigen Neuentwicklung der Software ein Aufbauen auf bewährte und gut dokumentierte Bausteine. Dies ist einerseits kostenrelevant und wirkt sich andererseits auch positiv auf die notwendige Zeitspanne einer Neuentwicklung aus.
Überlegungen und Vorschläge, wie mit Freier Software auf der Basis bewährter und gut dokumentierter Bausteine die erklärten Ziele des beA verwirklicht und vorhandene Einschränkungen beseitigt werden können, gibt es bereits. Es ist beeindruckend, wieviele Menschen bereit sind, ihr Wissen und Können zum bestmöglichen Schutz anwaltlicher Verschwiegenheit einzusetzen.
Die Verantwortlichen bei der BRAK täten jetzt gut daran, sich mit solchen Vorschlägen auseinanderzusetzen und den Entwicklungsprozess eben so frei und offen zu gestalten, wie es das Ergebnis desselben werden sollte.
Auch wenn es Mut und Entschlossenheit erfordert: Ein Umdenken gerade auch in Fragen des Projektmanagements und der Projektentwicklung ist das Gebot der Stunde.
Dr. Michael Stehmann, Vorsitzender des Vereins Freie Software Freunde e.V. und Rechtsanwalt