Das besondere elektronische Anwaltspostfach (beA) ist am 3. September 2018 erneut  gestartet. Es besteht zunächst eine passive Nutzungspflicht (§ 31a Abs. 6 BRAO), denn die seit 1.1.2018 gesetzlich bestehende, aber wegen Unmöglichkeit entfallene Nutzungspflicht, lebt durch den Neustart wieder auf. Auf freiwilliger Basis kann das beA auch zum Senden verwendet werden (vgl. § 130d ZPO). Die Sicherheitsprobleme wurden nicht alle beseitigt.

Das beA ist seit 3. September trotz neuer Verschlüsselungsprobleme wieder ans Netz gegangen. Trotz großer Vorbehalte in der Anwaltschaft wegen neuer Sicherheitsprobleme wurde dieser Start mit einem Mehrheitsbeschluss der Präsidentschaft der Anwaltskammern abgesegnet. Doch längst nicht alle Anwälte sind angemeldet und wie das Postfach unter Vollbetrieb läuft, muss sich erst noch weisen.

Checkliste zum Umgang mit dem beA

Funktionsweise des beA

Kein einstweiliger Rechtsschutz in der GFF-Klage gegen beA beantragt

Zwar wendet sich gegen den Start eine Klage wegen Sicherheitsmängeln (keine E2EE-Verschlüsselung), die mit Crowdfunding finanziert wird. Mit ihr Klage wollen die über die Gesellschaft für Freiheitsrechte e. V. (GFF) klagenden Anwälte das Online-Gehen zur Absicherung des Datenschutzes für Mandantendaten verhindern. Da hier aber kein einstweiliger Rechtsschutz beantragt wurde, hat sie den Start nicht verhindert. Von der Seite der Klagenden wird allerdings dazu aufgerufen, das Postfach derzeit nicht zu nutzen. Dr. Bijan Moini, Syndikus der GFF warnt:

"Die BRAK handelt überstürzt und nimmt damit weder die Kritik ihrer eigenen Gutachterin noch die Kritik aus der Anwaltschaft ernstSie trägt nun gemeinsam mit dem Bundesjustizministerium, ihrer Rechtsaufsichtsbehörde, die Verantwortung für das Risiko einer systematischen Verletzung des anwaltlichen Berufsgeheimnisses, sollten Anwaltschaft und Gerichte trotz aller Risiken Nachrichten über das unsichere beA versenden.“

Neues beA-Sicherheitsproblem bei Verschlüsselung konnte nicht rechtzeitig behoben werden

Unabhängig von dem Gegenstand dieser Klage gibt es ein neues Sicherheitsproblem. Das hat den beA-Neustart aber nicht durch die Verweigerung an der notwendigen Zustimmung durch die Anwaltskammern scheitern lassen.

  • Es geht darum, die sichere Verschlüsselung der über das System versandten Nachrichten zu ermöglichen.
  • Dazu muss, um Sicherheit der Mandantendaten zu gewährleisten, ein neues Verfahren implementiert werden.
  • Das könnte, so Pia Lorenz auf LTO, zwar bei dem beA rechtzeitig klappen,
  • die Schwachstelle befinde sich aber an einer Schnittstelle zum EGVP, dem System der Gerichte für den Elektronischen Rechtsverkehr.
  • Beim EGVP-Projektmanagment  gilt jedoch die Regelung, "dass zwischen der Abnahme einer Version und der Verpflichtung, sie im Echtbetrieb einzusetzen, mindestens ein Zeitraum von sechs bis acht Wochen liegen" müsse. Diese wäre nicht einzuhalten.

Dass bedeutet aber, dass der Start ohne Implementierung des neuen Verschlüsselungsverfahrens erfolgte. Die BRAK ließ, wie sie gegenüber LTO bestätigte, mit dem alten, unsichereren Verfahren zu starten, um dann im laufenden Betrieb auf das sichere System umzustellen. Deshalb gab es Zweifel an der nötige Zustimmung durch die Anwaltskammern.

Anwälte sind - zumal mit Geltung der DSGVO - sensibel für Haftungsfragen

"Angesichts der beschriebenen Schwachstelle, die ein hohes Risiko für die Vertraulichkeit der verschlüsselten Daten darstellt, erwarten wir, dass die Wiederinbetriebnahme des Systems mit dieser Schwachstelle zu einem weiteren Vertrauensverlust in die Systeme des elektronischen Rechtsverkehrs führen kann",

heißt es seitens des DAV.

Click to tweet

Der DAV und der Bund der Unternehmensjuristen (BUJ) war der Ansicht, man solle den beA-Start erneut verschieben.

Doch keine vierwöchige Testphase bei Aufleben der passiven beA-Nutzungspflicht

Um die Einarbeitung der Anwälte zu ermöglichen, sollte es eine 4-wöchige Testphase vor Geltung der passiven Nutzungspflicht aller Rechtsanwälte geben, welche grundsätzlich mit der Online-Rückkehr des beA wieder auflebt

Es scheint aber, die BRAK hat sich mit dem Anliegen zu spät an des BMJ gewandt: Der "NJW" wurde durch eine Sprecherin des Justizministeriums mitgeteilt, die Bundesrechtsanwaltskammer habe des Ministerium zu spät darum gebeten nach der Wiederinbetriebnahme des besonderen elektronischen Anwaltspostfachs eine Testphase zu gewähren, in der die passive Nutzungspflicht für diesen digitalen Briefkasten durch Anwälte noch nicht besteht.

Zuvor hatte die BRAK am 27.6. mitgeteilt, sie wolle sich beim BMJV und den Landesjustizministern für eine „mindestens vierwöchige Testphase“ einsetzen. Aus dem Üben ohne Nutzungspflicht wurde nichts. Doch noch größere Probleme stehen im Raum:

Secunet-Gutachten zeigt: weiterhin keine Ende-zu-Ende-Verschlüsselung

Bereits das lange unter Verschluss gehaltene Gutachten der Firma Secunet offenbarte, dass die BRAK an der kritisierten HSM-Verschlüsselung für das beA festhalten will. Die klagende GFF sieht darin eine Gefährdung des anwaltlichen Berufsgeheimnisses. Die Voraussetzung für eine sichere Kommunikation mit Mandantendaten sei so  nicht gegeben.

Nun will sich der Deutsche Anwaltsverein mit den Experten vom Chaos Computer Club, die schon frühere Sicherheitslücken des beA entdeckt hatten, daran machen, sich ein Bild von der Sicherheit der geplanten beA-Architektur zu verschaffen.

Click to tweet

Klage zur Absicherung des anwaltlichen Berufsgeheimnisses

Einige Rechtsanwälte haben wegen des aus ihrer Sicht zu unsicheren Konzeptes des besonderen elektronischen Anwaltspostfachs Klage gegen die BRAK eingereicht. Sie wollen durchsetzen, dass das Anwaltspostfach mit einer E2EE-Verschlüsselung versehen wird. Geklagt hat mit Crowdfunding-Finanzierung die GFF (Gesellschaft für Freiheitsrechte e.V.).

Die Klage wurde beim Anwaltsgericht Berlin eingereicht. Ihr Ziel ist es, dass das beA-Nachrichten per Ende-zu-Ende-Verschlüsselung gesichert werden werden. Vorgesehen ist dagegen eine Umschlüsselung in einem Hardware Security Module (HSM). Die klagenden Anwälte sehen die HSM-Verschlüsselung als eine "Sollbruchstelle" in der beA-Sicherheitsarchitektur.

beA-Klage mit dem Ziel einer E2EE-Verschlüsselung

Die von Externen entdeckten beA-Sicherheitsprobleme, die nach dem Abhängen des Anwaltspostfachs auch schon dazu führten, dass das dem beA angegliederte Anwaltsregister vorübergehend vom Netz musste, haben den Argwohn in der Anwaltschaft geweckt. Eine Gruppe von Anwälten hat deshalb im April über die Gesellschaft für Freiheitsrechte ein Crowdfunding für eine Klage gegen die BRAK zur Durchsetzung einer E2EE-Verschlüsselung angestoßen.

Die in der GFF (Gesellschaft für Freiheitsrechte e.V.) organisierten Kläger und Klägerinnen sind RA Stefan Conen, RA und Syndikus Karl Jägen, RA Prof. Dr. Remo Klinger, RA Christoph R. Müller, RA und Syndikus Daniel Rink, RA Michael Schinagl und RA’in Halina Wawzyniak, ehem. MdB.

Sie und andere halten das geplante beA weiterhin für unsicher und haben sich deshalb entschlossen, gegen die Bundesrechtsanwaltskammer wegen der Verschlüsselung des elektronisches Anwaltspostfachs klagen.

Die GFF startete zur Unterstützung dieser Klage wegen einer angenommenen Hintertür im beA eine Crowdfunding-Kampagne unter dem Motto "beA - aber sicher!".

Gesellschaft für Freiheitsrechte startete Crowdfunding für Klag

Die Organisation will verhindern, dass die Anwälte gezwungen werden, eine unsichere Kommunikations-Infrastuktur zu nutzen.

Aus Sicht von GFF weist das beA eine schwerwiegende Sicherheitslücke auf, weil beA-Nachrichten auf dem Weg vom Absender zum Empfänger nicht durchgehend sicher sind, da auf einem zentralen Server die Verschlüsselung aufgehoben werden und alle Nachrichten mitgeschnitten werden könnten. Derzeit könnten Nachrichten - so die GFF - nicht nur von den Empfängern, sonder unterwegs "umgeschlüsselt" werden. 

Da die BRAK bisher nicht zugesagt habe, diese Sicherheitslücke zu schließen, bleibe nach GFF-Ansicht nur der Klageweg, um eine sichere anwaltliche Kommunikation zu gewährleisten. Verlangt wird eine echte Ende-zu-Ende-Verschlüsselung (E2EE = End-to-End Encryption), die technisch längst möglich ist.

Benötigt wurden 25.000 Euro, um Klage gegen die BRAK zu erheben und eine einstweilige Anordnung zu beantragen.

BeA war 9 Monate wegen Sicherheitsmängeln offline

Extern vorgebrachte Sicherheitsmängel hatten zur beA-Pause geführt: Die zum 1.1.2018 gesetzlich festgeschriebene passive Nutzungspflicht für den Empfang von Gerichtspost via beA läuft ins Leere, seit die BRAK bereits am 22.12.2017 das beA-System wegen erheblicher Sicherheitslücken offline geschaltet hat.

Rücktritt des BRAK-Vorsitzenden und seines Stellvertreters gefordert

Mit fast 90%-iger Mehrheit stimmte die Versammlung der regionalen Berliner Anwaltskammer dafür, Ekkehart Schäfer, dem Präsidenten der Bundesrechtsanwaltskammer, sowie seinem Stellvertreter, Martin Abend, in der in der Kammer primär verantwortlich für die Errichtung des elektronischen Anwaltspostfachs ist, das Misstrauen auszusprechen.

Mit knapp 74 Prozent forderten die Kammerversammlung den Vorstand der BRAK auf, auf den Rücktritt der beiden Anwälte hinzuwirken.

Insbesondere die Kommunikation der beA-Probleme und ihrerer Bewältigungsversuche durch die BRAK hatte die Anwälten verärgert. Die Berliner Kammer vertraut nach Aussage ihres Präsidenten Marcus Mollnau "weder den Aussagen der Bundesrechtsanwaltskammer noch den Mitteilungen der Atos“.

FDP-Fraktion richtet Anfrage an Rechtsaufsicht führendes Justizministerium

Die Fraktion der FDP will nun vom Bundesjustizministerium wissen, wie die Bundesregierung mit der Verzögerung der Einführung der besonderen elektronischen Anwaltspostfächer (beA) umgeht.

Das Ministerium führt die Rechtsaufsicht über die BRAK, die für die Einrichtung des mit dem Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten eingeführten beA zuständig ist. In einer Kleinen Anfrage (19/677) will die FDP-Fraktion u. a. wissen,

  • ob das Ministerium aufsichtsrechtliche Maßnahmen die beA-Einführung betreffend ergriffen hat,
  • für wann es von einer tatsächlichen Bereitstellung des beA ausgeht
  • und wie lange der ursprünglich für die Abschaltung im Februar vorgesehene Elektronische Gerichts- und Verwaltungspostfach-Client angesichts der Nichtverfügbarkeit des beA weitergeführt werden soll.

Justizminister sah keinen Handlungsbedarf

Augenscheinlich sollte die Anfrage bewirken, dass das Ministerium Druck auf die BRAK zu macht, damit das beA-Projekt wieder Fahrt aufnimmt. Doch die Maas-Mannschaft reagierte gelassen:

Der Bundesregierung sei derzeit noch kein konkreter Termin für die Wiederinbetriebnahme des baA bekannt und:  Die Staatsaufsicht über die BRAK beschränke sich darauf, dass Gesetz und Satzung beachtet würden. Das BMJV stehe mit der BRAK in Kontakt, um sicherzustellen, dass das beA entsprechend den gesetzlichen Vorgaben „so zügig wie möglich“ wieder in Betrieb genommen werden könne.

Nun ist sowieso erstmal Schichtwechsel in der Ministeriumsspitze - und möglicherweise auch bei der BRAK.

Anwälte sind beA-zahlungsmüde, skeptisch und irritiert

Die IT-Sicherheit der beA-Architektur wurde in Fachkreisen schon längerkritisch hinterfragt. Insbesondere die Offenlegung bestehender Systemfehler durch Markus Drenger vom Chaos Computer Club Darmstadt hat die BRAK gezwungen, die Notleine zu ziehen.

Nicht erst als publik wurde, dass die Anwaltschaft seit 2015 für das beA 32,5 Mio. EUR bezahlt hat, finanziert von den Mitgliedern durch Zwangsumlagen, rumorte es im Rechtsberatungsmarkt.

Eine Diskussion über den Ist-Zustand des Postfach-Projektes soll nun die neue Richtung weisen im "intensiven und konstruktiven Austausch über Sicherheitsfragen bei beAthon".

Die BRAK stellt sich damit der Kritik an der Arbeit am besonderen elektronischen Anwaltspostfach und hat zugesagt, ein externes, unabhängiges Gutachten über das beA durch vom BSI (Bundesamt für Sicherheit der Informationstechnik) empfohlenen Experten einzuholen und öffentlich zu machen.

Es sollen auch Kritiker, die nicht institutionell gebunden sind, in den Prozess zur Klärung sicherheitsrelevanter Fragen eingebunden werden.

Zahlungsstopp für Entwickler Atos

Der Softwaredienstleister Atos wird von der Bundesrechtsanwaltskammer seit Weihnachten nicht mehr für das Erstellen des besonderen elektronischen Anwaltspostfachs bezahlt, schon weil das mit mehreren Sicherheitsproblemen behaftete beA zunächst umfassend und transparent geprüft werden soll.

Justizminister will Antworten

Der Bundesjustizminister, zuständig für die Staatsaufsicht über die BRAK, hat von dieser schriftlich eine Reihe von Auskünften verlangt, insbesondere auch zu der nachgeschobenen zweiten und noch unsichereren Zertifikatslösung. Außerdem fordert Maas eine „unverzügliche Behebung“ der bestehenden Sicherheitsprobleme.

Anwaltspostfach vom Netz

Ab 1.1.2018 waren laut gesetzlichem ERV-Zeitplan alle Anwälte zur beA-Nutzung und Postfach-Bereitstellung für einen elektronischen Postempfang verpflichtet.

Nun sind es nicht die unwilligen oder langsamen Rechtsanwälte, sondern das unsichere Postfach und die damit verbundene Gefahr durch Cyberattacken, an denen der Start scheitert. Die BRAK musste deshalb die Reißleine ziehen und das Projekt vorübergehend stoppen.

BeA vom Netz, bis Entwickler eine sichere Lösung findet

Bereits am 22.12.2017 hatte die Bundesrechtsanwaltskammer die beA-Webanwendung vom Netz genommen, weil ein für den Zugang erforderliches Zertifikat als unsicher eingestuft worden war und von T-Systems gesperrt wurde. Am 27.12. teilte BRAK dann in eine Pressemitteilung mit, sie werde die beA- Plattform vorerst offline lassen. Sie versichert, die Ende-zu-Ende-Verschlüsselung sei von dem Sicherheitsmanko nicht betroffen. Die Vertraulichkeit der Datenübertragungen sei zu jedem Zeitpunkt gesichert gewesen. Es handele sich bei dem Grund für das Abschalten um ein Zugangs- bzw. Verbindungsproblem, das der Technologieentwickler des beA-Systems (das französische Technologie-Unternehmen Atos) trotz intensiver Arbeiten bislang nicht gelöst habe.

Rechtsanwälten, die entsprechend der ursprünglichen BRAK-Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installiert haben, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen.

Chaos Computer Club meldete Sicherheitslücke

Hintergrund: Zunächst lautete die BRAK-Ansage, das für die beA-Nutzung erforderliche Zertifikat sei „abgelaufen“. Doch es war ein bisschen anders. Ein Hacker vom Chaos Computer Club Darmstadt fand heraus, dass ein wichtiger Code für die Authentifizierung sämtlicher Anwälte öffentlich abrufbar war.

  • Ein Einfallstor für Cyberangriffe auf hochbrisanten Mandantendaten.
  • Der Hacker, Markus Drenge, meldete die Schwachstelle dem Bundesamt für Sicherheit in der Informationstechnik und T-Systems, woraufhin T-Systems das Zertifikat, also den digitalen Ausweis zur beA-Nutzung, einzog.

Das Zertifikat war also unsicher und nicht abgelaufen. In seiner mittlerweile gelöschten Mitteilung vom 22.12.2017 versuchte die Kammer das Problem mit einer nicht tragfähigen Lösung zu retten. Sie forderte ihre Mitglieder damit auf, händisch ein neues Zertifikat zu installieren, doch auch bei diesem Zertifikat war der Schlüssel anscheinend öffentlich.

Nun rät die BRAK dringend, das ersatzweise bereitgestellte Sicherheitszertifikat, falls vom Rechtsanwalt installiert, zu deinstallieren.

Unterbrochene beA-Nutzungspflicht?

Für die eigentlich zum 1.1.2018 eingetretene passive Nutzungspflicht der Anwält bedeutete dies, dass diese Nutzungspflicht, solange beA vom Netz war, nicht erfüllt werden konnte.

Es handelte sich bei der Nutzung faktisch um einen Fall der Unmöglichkeit.

Click to tweet

Lesen Sie zu dem Thema auch:

Serie: Elektronisches Anwaltspostfach

Ist Ihr besonderes elektronisches Anwaltspostfach sicher

Elektronischer Rechtsverkehr verabschiedet - schrittweise Einführung beginnt 2014