特约电子律师邮箱(beA)

2019-08-08 02

  “besonderes elektronisches Anwaltspostfach”(特殊电子律师邮箱,或beA)是德国法律要求律师在其通信中使用的程序,旨在确保客户,律师和法院之间的安全文件传输。但是在软件中发现了可用性和安全性方面的重大缺陷。阅读完整的故事,找出现在可以使用的替代律师。

  beA及其创作者

  在经历了相当大的初步困难之后,beA现在正在运作。自2018年9月3日以来,该软件已经在线 - 再次,由于缺乏安全性而不得不在网络上首次启动。

  开发此邮箱的原因之一是促进大约164,000名律师,其客户,约300,000名律师和法院雇员之间的全国性沟通。另一方面,beA应该确保通过邮件,信件或传真更可靠,更快地传递重要信息。最迟到2022年,诉状将以电子方式提交给法院。

  2014年10月,德国联邦律师协会(BRAK)委托国际运营公司Atos IT Solutions and Services GmbH开发beA。开发的首要任务是为软件提供高水平的信息安全性和易用性。在2016年,应该满足条件,以便向律师提供邮箱。然而,截至2015年11月底,由于缺乏用户友好性,beA的提供被推迟至2016年9月29日。

  来自柏林和科隆的两名律师进一步推迟了激活。电子邮箱迄今已完成。但是,这两位律师获得了临时处置。它要求BRAK不要为那些尚未表示同意的律师发布beA。只有在消除了进一步的技术障碍后,beA软件才能在2016年11月28日首次上线。

  安全漏洞和加密不足

  令人惊讶的是,beA必须在2017年12月22日断开连接,即在被动使用它的义务开始前9天。进一步延迟的原因是访问所需的证书。该证书被归类为不安全,必须立即关闭。

  这种情况导致由联邦安全和信息技术办公室(BSI)由认证专家公司secunet AG规定的安全检查。虽然许多律师从一开始就对beA的开发进行了严格审查,但该项目现在必须承受更多的阻力。

  实际上,beA的技术基础设施被设计为加密消息从发送方路由到数据中心,其中进行“转码”过程(即,用不同的密钥解密和重新加密),然后将消息转发到接受者。这种形式的数据传递的主要问题是它构成了攻击者的起点。您无法确定收到的数据是否与最初发送的数据完全相同。此外,没有人可以依赖第三方没有读出的内容。“转码”意味着数据暂时未加密 - 因此,暂时不受保护。此转换可以在特殊(受保护)硬件模块中完成,

  批评者认为这一过程危及律师客户特权,因此要求对端到端加密(E2EE)进行改造。这实际上代表了一种简单的技术解决方案,因为E2EE属于当前的安全标准,并且已经被许多知名公司和诸如Telegram或WhatsApp等信使服务使用。

  (大约)90页的报告最终于2018年6月20日提交给BRAK。事实证明,不安全的证书只是冰山一角。进一步的分析表明,加密隐私无法完全实现。渗透测试还导致总共36个错误,其中4个被归类为“关键操作错误”。在一次特别的总统会议上,28个律师协会的主席被迫决定再分两个阶段推出beA。

  首先,Client Security于2018年7月4日开始下载。通过Client Security,可以再次在beA进行首次注册。在第二步中,消除了阻止重新启动的所有必要漏洞。应该在操作期间消除剩余的技术错误。这包括已实施的硬件安全模块(HSM)。根据审稿人的说法,如果要充分利用加密可能性,那就不再需要了。

  beA的当前状态

  自2018年9月3日起,beA现已再次投入运营,并为每位律师提供自动配备的电子邮箱。

  然而,律师已经在2018年9月4日发现了一个缺口,在那里可以看到另一方律师邮箱中的消息状态。由于现有的被动使用义务,尚未注册beA的律师邮箱中的消息适用于已交付,无论他们是否已阅读该消息。如果截止日期到期,这可能会给客户带来法律上的弊端。

  加密文件传输 - Whisply作为beA的安全替代品

  如果您现在不想仅仅依靠beA与客户和同事安全地交换文件,那么Whisply Web应用程序是一种安全的替代方案。使用Whisply,使用AES-256加密技术,使用最先进的端到端加密技术从浏览器发送文件非常容易。

  Whisply允许您在传输的每个文件之上添加其他安全层。例如,可以向收件人发送一个Web链接,该链接在指定的时间后自行破坏,因此只有收件人可以下载该文件,并且下载链接失去其有效性。为了进一步提高安全性,您可以使用PIN或密码保护链接。只需通过两个不同的渠道(例如通过电子邮件和短信)发送链接和PIN(或密码),以确保最高级别的安全性。

  Whisply支持律师和客户之间的安全文件传输,而无需主动使用beA。