Am 20.06.2018 hat die Firma secunet Security Networks AG das Abschlussgutachten über eine technische Analyse und Konzeptprüfung des besonderen elektronischen Anwaltspostfachs (beA) der Bundesrechtsanwaltskammer (BRAK) vorgelegt. Darin heißt es u.a. zur Ende-zu-Ende-Verschlüsselung des beA:

Grundsätzlich ist das dem beA zugrundeliegende Verschlüsselungskonzept geeignet,die Vertraulichkeit der Nachrichten während der Übertragung und Speicherung von Nachrichten durch das beA zu gewährleisten, auch gegenüber dem Betreiber des beA. Nachrichteninhalte liegen unverschlüsselt nur bei den Kommunikationspartnern vor. Die Umverschlüsselung ist in einem HSM gekapselt, schützt daher dort vorübergehend entstehende Schlüsselinformationen in einer besonderen manipulations- und ausspähsicheren Umgebung. Das erkennbare Ziel, die Sicherheit der Nachrichten ausschließlich durch Kryptographie zu schützen, ist aber nicht in vollem Umfang erreicht worden. An einigen Stellen verlässt sich das beA in seiner dem Gutachten zugrunde liegenden Realisierung auf organisatorisch-physikalischen Schutz wichtiger Systemkomponenten (HSM-Schlüssel, SAFE BRAK), was bei voller Ausnutzung der kryptographischen Möglichkeiten, die das Konzept und die eingesetzte Technik bieten, nicht notwendig wäre. [Seite 11]

Und weiter:

Allen Schwachstellen ist gemeinsam, dass das HSM keinen oder keinen ausreichenden Schutz vor diesen Angriffen bietet, d.h. Nachrichten bei erfolgreichem Angriff auch außerhalb des HSM entschlüsselt oder dem HSM Leseberechtigungen vorgetäuscht werden können. [Seite 11]

Eine genau darauf abzielende Kritik wurde von jurmatix bereits im Februar 2016 gegenüber den technisch Verantwortlichen der BRAK geäußert.

jurmatix bietet neben dem klassischen Pentesting auch logische Analysen von IT-Systemen an. Damit kann schon vor der Implementierung abgeschätzt werden, wo Schwachstellen eines Konzepts zu finden sein werden.

secunet-Gutachten zum beA