Endlich: auf Empfang

Einige Gedanken zum holprigen Start des besonderen elektronischen Anwaltspostfachs – was jetzt zu tun ist

Von Martin Schafhausen

Beitrag als PDF (Download)

Einleitung

Den Start des besonderen elektronischen Anwaltspostfachs (beA) nur als holprig zu beschreiben schmeichelt so mancher Wüstenpiste, die man tatsächlich nur mit Geländewagen, gemeint sind nicht die SUVs, die das Bild so mancher Großstadt prägen, befahren kann. Zum 01.01.2016 war die Bundesrechtsanwaltskammer technisch noch nicht so weit, wurde dann vom AGH Berlin zunächst gestoppt. Nach Änderungen der BRAO und dem Inkrafttreten der RAVPV hob der AGH Eilbeschlüsse auf (Beschl. v. 25.11.2016 – II AGH 16/15, NJW 2017, 740); ab Ende November 2016 war eine Kommunikation über das beA möglich, man konnte sich „empfangsbereit“ erklären und das beA nutzen.

Die lange Vorgeschichte …

Es war dann eine Nachricht der BRAK am 21.12.2017, die eine Entwicklung anstieß, die erst mit der Wiederinbetriebnahme der beA-Infrastruktur am 03.09.2018 ihr vorläufiges Ende gefunden hat. Ein Zertifikat sei abgelaufen; tatsächlich ergab sich schon bald, dass ein Zertifikat wiederrufen werden musste, da der für dieses Zertifikat erforderliche private Schlüssel für alle Nutzer lesbar veröffentlicht worden war. Eine vom IT-Dienstleister ATOS Deutschland GmbH zurechtgezimmerte Lösung vertiefte das Problem und riss Sicherheitslücken, die die Bundesrechtsanwaltskammer zu Recht am 22.12.2017 veranlasste, die Infrastruktur zunächst vom Netz zu nehmen. Der weitere Verlauf ist bekannt. DAV, BRAK und BUJ, aber auch der EDV-Gerichtstag, veranstalteten Symposien zur Sicherheit des Postfachs, zu Fragen der Weiterentwicklung des Elektronischen Rechtsverkehrs (ERV). Die BRAK gab ein Sicherheitsgutachten bei der secunet Security Networks AG in Auftrag. Das Gutachten beschreibt zahlreiche betriebsverhindernde, -behindernde und sonstige Schwachstellen im Security-Client und in anderen Bestandteilen der beA-Infrastruktur, die, soweit es sich um betriebsverhindernde und -behindernde Schwachstellen handelt, vor der Wiederinbetriebnahme vollständig (A-Schwachstellen) oder ganz überwiegend (B-Schwachstellen) beseitigt worden sind. Es bleiben in der technischen Umsetzung und der Sicherheitsstruktur Probleme bestehen, die im laufenden Betrieb behoben werden sollen. Nach wie vor ist etwa die Nutzung des beA aus einer Terminalserverumgebung – im anwaltlichen Bereich, gerade bei einer überörtlichen Zusammenarbeit, nicht selten anzutreffen – nicht möglich. Die BRAK hat noch kein Sicherheitskonzept vorgelegt. Über eine „wirksame“ E2E-Verschlüsselung wird diskutiert und vor dem AGH Berlin gestritten. Bestimmte B-Schwachstellen sollen erst im laufenden Betrieb behoben werden. Kritisiert wurde auch, dass der für die Wiederinbetriebnahme des Postfachs erforderliche Download des Security-Clients in der Woche vor der Wiederinbetriebnahme – auch kurzfristig – nur eingeschränkt möglich war.

Nur über die Holperigkeit des Starts der verbindlichen elektronischen Kommunikation der Rechtsanwältinnen und Rechtsanwälte mit den Gerichten (und untereinander) zu lamentieren verschließt die Augen vor den damit verbundenen Möglichkeiten, es in Zukunft besser zu machen.

… und trotz „beA-Gate“: positive Zukunftsaspekte …

Es steht fest, dass das Postfach heute besser ist als vor neun Monaten. Dies zeigen die Feststellungen von Markus Drenger vom Chaos Computer Club und seinen Mitstreiterinnen und Mitstreitern ebenso deutlich wie das Secunet-Gutachten. Dass das Postfach zum 01.01.2018 mit Schwachstellen in die heiße Phase der „passiven“ Nutzungspflicht starten sollte, ohne dass betriebsverhindernde Fehler nicht nur nicht beseitigt worden waren, sondern offensichtlich weder ATOS noch der Bundesrechtsanwaltskammer bekannt waren, ist schon ein starkes Stück. Auch betriebsbehindernde Schwachstellen in einem System zu belassen, zu dessen Nutzung über 160.000 Rechtsanwältinnen und Rechtsanwälte verpflichtet sind, ist keine Kleinigkeit. Daher gebührt dem Chaos Computer Club ebenso Anerkennung dafür, die Lawine, die als „beA-Gate“ nicht unzutreffend beschrieben wird, ins Rollen gebracht zu haben, wie schlussendlich auch der Bundesrechtsanwaltskammer, die den vielstimmigen Forderungen, die Sicherheitssituation um das beA aufzuklären, durch externen Sachverstand begutachten zu lassen, entsprochen hat. Dass nicht nur Spezialisten über so manche Schwachstelle, die in den vergangenen Monaten aufgedeckt wurde, den Kopf schütteln und sehr ernsthaft die Frage diskutiert wird, wie dem von der Bundesrechtsanwaltskammer beauftragten Dienstleister, immerhin ein Dienstleister mit erheblichem Renommee, solche „Schwachstellen“ durch die Lappen gehen konnten, muss aber doch erwähnt werden. Wie ernst hat ATOS den Auftrag genommen, dass wenige Tage vor dem Jahreswechsel 2017/2018 und eigentlich in einer Zeit, in der „Weihnachtsruhe“ herrscht, alte Java-Bibliotheken verwendet wurden, für die Schwachstellen und Angriffsszenarien bekannt waren, um nur einen dieser Punkte zu nennen? Gehört es nicht zum Standard solch großer IT-Projekte, auch ohne Aufforderung – in diesem Fall durch das Secunet-Gutachten –, ein Sicherheitskonzept zu entwickeln?

… lassen die Praxis hoffen

Die betriebsverhindernden und eine große Zahl der betriebsbehindernden Schwachstellen sind heute aber beseitigt, wenige betriebsbehindernde Schwachstellen sollen in der nächsten Zeit beseitigt werden. Dass die Bundesrechtsanwaltskammer insoweit nicht bereit war, die Postfachinfrastruktur erst nach der Beseitigung aller auch betriebsbehindernden Schwachstellen vorzunehmen, ist bedauerlich und Anlass dafür, im Auge zu behalten, ob die Bundesrechtsanwaltskammer (und ihr Dienstleister) insoweit bald Vollzug melden. Wir brauchen bald das Sicherheitskonzept; BRAK und ATOS müssen sich darüber klar sein, wie mit Angriffen, die es selbstverständlich geben kann, umgegangen wird. Um die Kommunikation mit Mandanten über die Postfächer möglich zu machen, muss auch bald klar sein, wie die erforderliche Authentifizierung für die Bürgerpostfächer erfolgen soll. Die Rechtsanwältinnen und Rechtsanwälte können einen Beitrag beisteuern. Die beA-Infrastruktur muss, und wird, sich weiterentwickeln. Es ist daher erforderlich, dass sich die BRAK auch in Zukunft externen Sachverstands bedient – einen Fachbeirat zu gründen fordert der DAV schon seit langem. In unsere Überlegungen werden wir einbeziehen müssen, ob wir nicht den Gesetzgeber bitten, noch einmal darüber nachzudenken, ob es wirklich sinnvoll ist, dass einzelne Bundesländer den Beginn der Verpflichtung, nur noch elektronisch mit den Gerichten zu kommunizieren, auf Januar 2020 vorziehen können. Dem Gesetzgeber sollte daran gelegen sein, dass wir alle – Gerichte, Anwaltschaft, andere Verfahrensbeteiligte – im elektronischen Rechtsverkehr „ankommen“. Dass das tatsächlich in den nächsten 15 Monaten möglich ist, erscheint zweifelhaft.

Mit dem Erreichten wollen wir uns nicht zufriedengeben. Besser zu werden muss das Ziel aller am elektronischen Rechtsverkehr Beteiligten sein. Für uns Nutzerinnen und Nutzer bedeutet die Wiederinbetriebnahme der Postfächer aber auch, dass wir die damit verbundenen Vorteile nutzen sollten.

m.schafhausen@plagemann-rae.de