Dieser Artikel wurde erstmals veröffentlicht bei ITK SECURITY.

Letzte Aktualisierung vor 1 Jahr durch Patrick Ruppelt

Lesedauer: 6 Minuten

Vergangenes Jahr haben wir aufgedeckt, dass die Bundesrechtsanwaltskammer (BRAK) ihre Nutzer dazu bringt, illegale Raubkopien der Software Oracle Java auf deren Rechnern zu installieren. Dies hat die BRAK jetzt in ihrem letzten Newsletter selbst zugegeben. Wurde ja auch mal Zeit.

Die Anleitungen, die Nutzern des „besonderen elektronischen Anwaltspostfachs“ (beA) bereitgestellt wurden, forderten zum Download und der Installation der jeweils aktuellen JAVA Software von Oracle auf. Dass diese Software kostenpflichtig wäre – auch für jeden Anwalt, der diese installiert – interessierte die BRAK dabei überhaupt nicht.

Ganz im Gegenteil, die BRAK verwies auf deren Webseite auf Lizenzbestimmungen, obwohl die BRAK überhaupt keine Lizenz besaß. Dies hatte uns der Hersteller Oracle seinerzeit schriftlich bestätigt und verwies darauf, dass die BRAK ohnehin das falsche Lizenzmodell als angebliche Legitimation angeführt habe1).

Da jeder Anwalt, jede Kanzlei und jedes Gericht gesetzlich zur Nutzung des beA Systems verpflichtet ist, haben wir errechnet, dass es sich demnach um einen Lizenzbetrug in Höhe von jährlich rund 5 Millionen USD handelte2).

Hinzu kamen Sicherheitsbedenken durch nachweislich monatelang nicht aktualisierte Serversoftware bei der Bundesrechtsanwaltskammer. Die eingesetzte Software hatte unzählige bekannte Sicherheitslücken3).

Auf Anfrage war die BRAK uns gegenüber sehr unwillig. Nein, dort war man nicht etwa dankbar für die Hinweise.

Mehrere Anwälte der BRAK versuchten uns mundtot zu machen, indem man generell alles abwiegelte, dementierte und sich in immer mehr hanebüchene Ausreden zu flüchten versuchte4).

Wer die Vorfälle noch einmal etwas genauer nachlesen möchte, dem empfehle ich folgende Artikel, die in der Retrospektive schon fast amüsant erscheinen:

  1. Haben beA Nutzer eigentlich gültige JAVA-Lizenzen? Gedankenspiel zur korrekten Lizenzierung der Oracle JAVA Software durch Anwälte und Kanzleien5) vom 11. August 2019
  2. Offener Brief an die Bundesrechtsanwaltskammer (BRAK)6) vom 23. September 2019
  3. BRAK verzichtet bei beA auf Sicherheitsupdates7) vom 3. Oktober 2019
  4. Offiziell bestätigt: beA Anwender benötigen kostenpflichtige JAVA Lizenz8)/ vom 9. Oktober 2019

Mit dem Betreiberwechsel weg von Atos und hin zur Bietergemeinschaft Westernacher/rockenstein9) sollte wie immer alles besser werden.

Und in der Tat, zumindest das Oracle Java Lizenzproblem hat man offenbar „gelöst“. Gelöst insofern, dass man diese Komponente abgeschafft hat und jetzt eine kostenfreie Alternative verwendet, die mit anderen Einschränkungen daher kommt. Auf unseren Linux Rechnern funktioniert das jetzt beispielsweise nicht mehr. Laut Anleitung werden nur noch Windows 7, Windows 10 und Mac OS X 10 unterstützt. Was unser Praxistest bestätigt, mit Linux funktioniert da nicht viel:

Quelle: Anmeldefenster der BNotK zur PIN-Einrichtung für beA-Karten unter Linux / Chrome (Screenshot erstellt am 22.2.2020 um 11:14 Uhr)10)

Schön zu sehen, dass es mit dem zehn Jahre alten und überhaupt nicht mehr von Microsoft unter Support stehenden – völlig unsicheren – Windows 7 noch funktioniert, aber auf einem aktuellen und sicheren Linux PC nicht.

Nun gut, die Bundesrechtsanwaltskammer hielt bekanntlich noch nie viel von aktueller Sicherheitssoftware und nachdem es in der deutschen Verwaltung noch mindestens 33.000 PCs mit Windows 7 gibt11), musste das wohl so sein. Der nächste Kammergerichts-GAU12) ist vorprogrammiert.

Eine Ende-zu-Ende-Verschlüsselung dieses angeblich ach so sicheren Nachrichtensystems gibt es ja auch heute nach dem Betreiberwechsel weiterhin nicht13). Denn da sind sich Fachleute der Rechtsanwaltskammer und der Gerichte einig: Sicherheit nach Stand der Technik braucht es beim Gerichtsverkehr nicht (vgl. Urteil AGH Berlin, Urteil vom 14. November 2019 – I AGH 6/1814).

Wie dem auch sei, im letzten Newsletter der BRAK lesen wir zu unserem großen Erstaunen einen Satz von dem wir ausgingen, so etwas würde man einfach unter den Tisch kehren wie alles andere zuvor ebenfalls:

Die Bundesnotarkammer hat kürzlich die SAK geändert. Bisher war für die Nutzung eine gesonderte ORACLE-Java-Installation notwendig. Das ist nun nicht mehr nötig.

Quelle: beA Newsletter Ausgabe 4/2020 v. 20.2.2020 15), Hervorhebung durch uns

Halten wir für einen Moment inne. „Bisher war für die Nutzung eine gesonderte ORACLE-Java-Installation notwendig.“ schreibt da die BRAK.

Aber bisher hatte man uns doch immer wieder gebetsmühlenartig versichert, dass es eben genau nicht nötig sein, dieses kostenpflichtige Stück Software zu installieren und für – Zitat – „die vom beA-System und von der beA-Anwendung bzw. der Client Security (…) keine gesonderten Kosten“ anfallen würden (vgl. E-Mail der BRAK an mich vom 29.08.2019).

Das ist insoweit schon sehr interessant, denn es ist eine glatte 180 Grad Wende. Bisher hat die BRAK alles daran gesetzt mir zu versichern, dass alles korrekt lizenziert wurde. Mit diesem Newsletter gesteht die BRAK nun genau das Gegenteil ein. Alle beA Nutzer hätten bisher eine kostenpflichtige Oracle JAVA Lizenz für jeden Rechner kaufen müssen, auf dem sie beA nutzten. Womit wir bei der damaligen Lizenzbetrugssumme um die 5 Mio. US Dollar sind. Qed.

Dass die BRAK nun die Oracle JAVA Software obsolet macht bedeutet im Übrigen nicht, dass jetzt alles gut ist. Mitnichten ist das der Fall, denn diese Softwarekomponente wurde durch die Anwender bzw. deren Administratoren wohl auf mindestens 85.000 Rechnern installiert, läuft dort fröhlich weiterhin und ist selbstredend weiterhin kostenpflichtig, ohne jeden Zweifel16) . Und zwar so lange, bis sie wieder deinstalliert wird. Solange also der Benutzer nicht dafür sorgt, dass Oracle JAVA wieder von seinem Rechner entfernt wird, setzt er weiterhin Raubkopien ein und das schon seit Anfang 2019. Dazu verliert die BRAK aber – wer hätte es anders erwartet – kein einziges Wort.

Quellenverzeichnis

↑1https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑2https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑3https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑4https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑5https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑6https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑7https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑8https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑9https://www.lto.de/recht/juristen/b/bea-vergabeverfahren-neuer-dienstleister-westernacher-rockstein-folgt-atos/
↑10https://secure.bnotk.de/idp/Authn/Smartcard/
↑11https://www.handelsblatt.com/politik/deutschland/windows-7-bundesregierung-zahlt-fast-eine-million-euro-fuer-veraltetes-microsoft-betriebssystem/25452158.html?ticket=ST-7494672-79NK0UVPqdwhvPmgZf2K-ap1
↑12https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/
↑13https://anwaltsblatt.anwaltverein.de/de/news/agh-berlin-bea-ist-sicher-keine-ende-zu-ende-verschluesselung-noetig
↑14https://anwaltsblatt.anwaltverein.de/files/anwaltsblatt.de/anwaltsblatt-online/2020-003.pdf
↑15https://mailcluster.wegewerk.com/mailing/36/2620027/7696415/3951/c90ce8ac25/index.html
↑16https://shop.oracle.com/apex/f?p=DSTORE:PRODUCT:::NO:RP,6:P6_LPI,P6_PROD_HIER_ID:132208699270491131625576,123775488249871532594385