BeA macht Zwangspause wegen Hacker-Gefahr Bild: mailingwork GmbH

Das besondere elektronische Anwaltspostfach wird immer mehr zum Großflughafen des elektronischen Rechtsverkehrs und geht kurz vor der Nutzungspflicht in die Knie. 9 Tage vor dem 1.1.2018, dem lange angedrohten Beginn der Nutzungspflicht für die Rechtsanwälte, nahm die BRAK das Postfach wegen Hackergefahr durch Sicherheitsmängel vom Netz und befindet sich nun im Krisenmodus.

Die BRAK stellt sich der Kritik an der Arbeit am besonderen elektronischen Anwaltspostfach und hat zugesagt, ein externes, unabhängiges Gutachten über das beA durch vom BSI (Bundesamt für Sicherheit der Informationstechnik) empfohlenen Experten einzuholen und öffentlich zu machen.

Es sollen auch Kritiker, die nicht institutionell gebunden sind, in den Prozess zur Klärung sicherheitsrelevanter Fragen eingebunden werden.

Zahlungsstopp für Entwickler Atos

Der Softwaredienstleister Atos wird von der Bundesrechtsanwaltskammer seit Weihnachten nicht mehr für das Erstellen des besonderen elektronischen Anwaltspostfachs bezahlt, schon weil das mit mehreren Sicherheitsproblemen behaftete BeA zunächst umfassend und transparent geprüft werden soll.

Justizminister will Antworten

Der Bundesjustizminister, zuständig für die Staatsaufsicht über die BRAK, hat von dieser schriftlich eine Reihe von Auskünften verlangt, insbesondere auch zu der nachgeschobenen zweiten und noch unsichereren Zertifikatslösung. Außerdem fordert Maas eine „unverzügliche Behebung“ der bestehenden Sicherheitsprobleme.

Anwaltspostfach vom Netz

Ab 1.1.2018 waren laut gesetzlichem ERV-Zeitplan alle Anwälte zur beA-Nutzung und Postfach-Bereitstellung für einen elektronischen Postempfang verpflichtet.

Nun sind es nicht die unwilligen oder langsamen Rechtsanwälte, sondern das unsichere Postfach und die damit verbundene Gefahr durch Cyberattacken, an denen der Start scheitert. Die BRAK musste deshalb die Reißleine ziehen und das Projekt vorübergehend stoppen.

BeA vom Netz, bis Entwickler eine sichere Lösung findet

Bereits am Freitag dem 22.12. hatte die Bundesrechtsanwaltskammer die beA-Webanwendung vom Netz genommen, weil ein für den Zugang erforderliches Zertifikat als unsicher eingestuft worden war und von T-Systems gesperrt wurde. Am 27.12. teilte BRAK dann in eine Pressemitteilung mit, sie werde die beA- Plattform vorerst offline lassen. Sie versichert, die Ende-zu-Ende-Verschlüsselung sei von dem Sicherheitsmanko nicht betroffen. Die Vertraulichkeit der Datenübertragungen sei zu jedem Zeitpunkt gesichert gewesen. Es handele sich bei dem Grund für das Abschalten um ein Zugangs- bzw. Verbindungsproblem, das der Technologieentwickler des beA-Systems (das französische Technologie-Unternehmen Atos) trotz intensiver Arbeiten bislang nicht gelöst habe.

Rechtsanwälten, die entsprechend der ursprünglichen BRAK-Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installiert haben, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen.

Chaos Computer Club meldete Sicherheitslücke

Hintergrund: Zunächst lautete die BRAK-Ansage, das für die beA-Nutzung erforderliche Zertifikat sei „abgelaufen“. Doch es war ein bisschen anders. Ein Hacker vom Chaos Computer Club Darmstadt fand heraus, dass ein wichtiger Code für die Authentifizierung sämtlicher Anwälte öffentlich abrufbar war.

  • Ein Einfallstor für Cyberangriffe auf hochbrisanten Mandanten Daten.
  • Der Hacker, Markus Drenge, meldete die Schwachstelle dem Bundesamt für Sicherheit in der Informationstechnik und T-Systems,
  • woraufhin T-Systems das Zertifikat, also den Digitalen Ausweis zur beA-Nutzung, einzog.

Das Zertifikat war also unsicher und nicht abgelaufen. In seiner mittlerweile gelöschten Mitteilung vom 22.12.2017 versuchte die Kammer das Problem mit eine nicht tragfähigen Lösung zu retten. Sie forderte ihre Mitglieder damit auf, händisch ein neues Zertifikat zu installieren, doch auch bei diesem Zertifikat war der Schlüssel anscheinend öffentlich.

Nun rät die BRAK dringend (s. o. im Kasten),  das ersatzweise bereitgestellte Sicherheitszertifikat, falls vom Rechtsanwalt installiert, zu deinstallieren.

Was wird aus der beA-Nutzungspflicht?

Was die ab 1.1.2018 eintretende passive Nutzungspflicht der Anwälte betrifft, bedeutet dies, dass diese Nutzungspflicht, solange beA vom Netz ist, nicht erfüllt werden kann.

"Es können auch keinerlei Nachrichten in das beA der Anwälte gesandt oder von dort abgeholt werden", so die BRAK "Gerichte sind daher auch nicht in der Lage, in diesem Zeitraum Nachrichten an Anwälte zu senden."

Wie geht es mit dem besonderen elektronischen Postfach weiter?

Die BRAK wird das beA-System erst wieder online bereitstellen, wenn der Dienstleister Atos die Störungen vollständig behoben hat und einen sicheren Zugang gewährleisten kann. Sie bemüht sich beim Justizministerium um eine Lösung, die ab 1.1.2018 bestehende Nutzungspflicht für Anwälte zu verschieben. Es handelt sich bei der Nutzung ja faktisch um einen Fall der Unmöglichkeit.

Vgl. zu dem Thema auch:

Serie: Elektronisches Anwaltspostfach

Ist Ihr besonderes elektronisches Anwaltspostfach sicher

Elektronischer Rechtsverkehr verabschiedet - schrittweise Einführung beginnt 2014

Schlagworte zum Thema:  Anwaltssoftware, Besonderes elektronisches Anwaltspostfach, Elektronischer Rechtsverkehr, Rechtsanwalt, Hacker

Aktuell
Meistgelesen