Mitte Juli hat die WesRoc GbR – entstanden aus den Unternehmen Westernacher Solutions GmbH und Rockenstein AG – planmäßig den Betrieb des beA-Systems von der bisherigen Betreiberin Atos GmbH übernommen. Die BRAK hat im Vorfeld der Betriebsübernahme ein Sicherheitsgutachten beauftragt. Das Ziel dieser IT-Sicherheitsprüfung bestand darin, im Rahmen des Betriebsübergangs eine bessere und nachhaltigere Basis für die Beschreibung des Sicherheitskonzepts und für die Umsetzung der Sicherheitsmaßnahmen zu erreichen.

Die beauftragte secuvera GmbH, ein BSI-zertifizierter Sicherheitsdienstleister und Prüfstelle, hat im Rahmen dieser Sicherheitsüberprüfung die fortgeschriebenen und angepassten Anteile des IT-Sicherheitskonzepts untersucht. Dabei lag der wesentliche Kern der Untersuchung auf dem Betrieb der zentralen Infrastruktur. Die Clientkomponenten sowie das Verschlüsselungskonzept waren nicht Gegenstand der Prüfung.

Bei der Untersuchung wurde u. a. die Dokumentationslage, aber auch die konkreten Konfigurationen vor Ort überprüft. Ebenso fand ein Penetrationstest der extern erreichbaren Schnittstellen aus Sicht eines anonymen Angreifers statt. Es wurden 6 Befunde mit hohem und 8 Befunde mit mittlerem Risiko eingestuft, von denen der Großteil noch während der Begutachtung verbessert werden konnten. Darüber hinaus wurden 2 Anmerkungen und 3 Verbesserungen gefunden.

Im Ergebnis wurde der Infrastrukturumgebung des beA-Systems eine hohe Güte attestiert. Die Abläufe sind auf einem sehr belastbaren Sicherheitsniveau. Zusammenfassend konnte im Rahmen der Prüfung kein Risiko für die Sicherheit der beA-Anwendung durch den Betriebsübergang identifiziert werden. Die Gutachter empfahlen eine zielgerichtete und weitere Bearbeitung der noch offenen Befunde.

Das vollständige Gutachten kann auf der beA-Informationsseite der BRAK abgerufen werden: https://bea.brak.de/sicherheit-im-bea/