Gerät der Fahrplan für das besondere elektronische Anwaltspostfach beA ins Wanken?

Das Anwaltspostfach beA kommt, das ist sicher.

Ob das Anwaltspostfach beA aber wie geplant am Montag, 3. September 2018, sicher erreichbar sein wird, ist noch unsicher.

Constantin van Lijnden, Redakteur bei der FAZ, berichtete am Freitag exklusiv auf Twitter @cobvl:

Mal wieder was Neues in Sachen : Der Fahrplan zur Inbetriebnahme kann nicht eingehalten werden. Eine Sicherheitslücke, die bis zum Neustart am 3.9. getiligt werden sollte, soll nun einstweilen im Programm verbleiben. Näheres zu den Gründen bald exklusiv auf

Eine nähere Erläuterung gab es dann bei F.A.Z- Einspruch im Artikel vom Samstag, 28. Juli 2018:

„Eine Schwachstelle, die theoretisch den Zugriff auf sämtliche über das elektronische Anwaltspostfach versandten Nachricht ermöglicht, soll nun doch nicht bis zum Projektstart behoben werden.“

Was dramatisch klingt, wird auf den 2. Blick entschärft:

Das Gutachten der Firma secunet hatte im beA Schwachstellen verschiedener Kategorien ausgemacht und diese als

A) betriebsverhindernd (vgl. 5.4, Seite 80),

B) betriebsbehindernd (vgl. 5.5, Seite 83)

und zwei Schwachstellen mit der Risikobewertung C) (vgl. 5.6, Seite 88) eingeordnet.

Die BRAK erklärte mit Pressemitteilung Nr. 19 vom 27.06.2018, dass das beA zum 3. September 2018 freigeschaltet werden soll.

Voraussetzung hierfür sei, dass secunet bis dahin die Beseitigung der Schwachstellen der Kategorie A) bestätigt hat.

Die Schwachstellen der Kategorie B) sollen im laufenden Betrieb beseitigt werden.

Hervorgehoben wird jetzt eine Schwachstelle „Unsicheres Auffüllen von Daten bei Verschlüsselung“ im Quelltext, an denen „im Zusammenhang mit Verschlüsselungsoperationen unsichere Padding-Algorithmen (gemäß BSI-Vorgaben) verwendet werden“. (vgl. 4.5.3, Seite 67).

Im Gutachten wurde diese Schwachstelle als Kategorie B mit einer Ausnutzbarkeit als niedrig bewertet wurde, da die betroffenen Kryptodaten nur Innentätern (Mitarbeiter von Atos) zugänglich sind und die Schwachstelle nicht zuverlässig das Entschlüsseln der Daten erlaubt.

Constantin van Lijnden berichtet, dass diese Schwachstelle im beA bis zum 3. September 2018 beseitigt werden könne und nach Angaben der BRAK sei dies für den Empfang von Nachrichten bereits umgesetzt.

EGVP und beA müssen „die gleiche Sprache“ sprechen

Da diese Schwachstelle jedoch auch das elektronische Gerichts- und Verwaltungspostfach (EGVP), das viele Anwälte seit dem Ausfall von beA für die elektronische Kommunikation mit den Gerichten nutzen, betrifft, wäre eine Kommunikation zwischen beA und dem EGVP nicht mehr möglich. Aus Zeitgründen sei nicht gewährleistet, dass die neue EGVP-Version bis zum beA-Start am 3.9.2018 bei allen Gerichten, Staatsanwaltschaften und Behörden, rechtzeitig installiert sei.

Daher schlage die BRAK den Kammerpräsidenten vor, den Beschluss vom 27. Juni 2018 dahingehend abzuändern, dass das beA mit dem derzeitigen Verschlüsselungsverfahren am 3.9.2018 online geht und die Schwachstelle in Abstimmung mit der Justiz im laufenden Betrieb beseitigt wird.

Die Kammerpräsidenten können über den Vorschlag binnen zehn Tagen in Textform abstimmen; sollten fünf oder mehr Kammern auf diesem Weg widersprechen, soll am 13. August eine außerordentliche Präsidentenkonferenz zu dem Thema stattfinden.

DAV fordert Monatsfrist für Online-Start

Der DAV hat durch seinen Ausschuss Elektronischer Rechtsverkehr in einer Initiativ-Stellungnahme Nr. 28-18 im Juni 2018 unter Mitwirkung von Markus Drenger und Prof. Christoph Sorge gefordert, dass vor Inbetriebnahme des beA nicht nur die Schwachstellen der Kategorie A, sondern auch die der Kategorie B behoben werden. Nach der Beseitigung der betriebsver- und behindernden Fehler solle zunächst durch secunet überprüft und sichergestellt werden, dass diese Fehler beseitigt worden sind. Das beA-System solle daher erst einen Monat nach der Mitteilung von secunet, dass alle betriebsver- und behindernden Fehler beseitigt worden sind, wieder online gehen.

Praktische Lösung für Kanzleien aller Größen

Die Einführung des elektronischen Rechtsverkehrs bedeutet für alle Anwaltskanzleien einen großen Schritt hin zur Digitalisierung des gesamten Schriftverkehrs. Das Ausdrucken von E-Mails und elektronischen Nachrichten aus dem EGVP und dem besonderen elektronischen Anwaltspostfach beA verfehlt den Zweck. Es bedarf eines Zeitplans, den jede Kanzlei für sich zu erstellen hat. Kleine Einheiten können kurzfristiger reagieren als große Einheiten, die länger für die Vorbereitung brauchen. Syndikusanwälte müssen das beA in die firmeninterne IT-Landschaft integrieren lassen, das lässt sich vielfach nur mit genügend Vorlauf realisieren.

Wann beginnt die passive Nutzungspflicht? Noch fehlt eine Antwort der BRAK auf diese für alle Anwälte wichtige Frage.

Ein Ansatz wäre, das beA wie geplant am 3. September 2018 wieder online zu schalten und damit den Anwendern die Möglichkeit zu geben, sich erneut oder erstmalig mit dem besonderen elektronischen Anwaltspostfach vertraut zu machen.

Die passive Nutzungspflicht sollte jedoch erst dann wieder greifen, wenn das beA sicher ist. Eine Monatsfrist ab Mitteilung von secunet wäre für alle Praktiker eine akzeptable Lösung.

Startklar für das besondere elektronische Anwaltspostfach beA?

Am Montag, 3. September 2018, soll das besondere elektronische Anwaltspostfach beA wieder für alle Anwälte erreichbar sein.

Über den Countdown zum Start des beA haben wir bereits am 27. Juni 2018 berichtet.

Zwischenzeitlich steht die neue beA-Client-Security zum Download und zur Installation bereit

Die BRAK hat in ihrem Newsletter Nr. 11/2018 beschrieben und mit Screenshots dokumentiert, wie Download und Installation vonstatten geht.

Wer sich bereits als Anwalt = Benutzer mit eigenem Postfach registriert hat, kann sich mit der Installation Zeit* lassen, denn die Anmeldung am beA und alle weiteren Maßnahmen, wie z.B. die Registrierung von Mitarbeitern = Benutzer ohne eigenes Postfach oder die Vergabe von Rechten für Vertreter und Mitarbeiter wird erst ab dem 3. September 2018 möglich sein, sofern secunet bis dahin bestätigt, dass die Schwachstellen beseitigt sind.

*Update 16.07.2018: Die BRAK erklärt, dass sich die Client Security beim Aufruf von selbst updatet. Man solle sie aber besser aus dem Autostart nehmen. Wer Zeit hat, solle das jetzt schon tun, damit sich am 3.9. nicht alle knubbeln.

Neu ist, dass für die Kommunikation zwischen dem Browser und der Client Security ein individuelles Zertifikat erstellt und auf dem Rechner gespeichert wird. Damit das beA genutzt werden kann muß der Browser neu gestartet werden. Falls Sie mehrere Browser verwenden, ist das für jeden Browser zu wiederholen.

Markus Drenger hat festgestellt, dass beA nicht mit Edge 17 kompatibel ist.

Tipp: Legen Sie einen einheitlichen, geeigneten, Browser fest, der in Ihrer Kanzlei für den Zugang zum beA verwendet wird.

Nutzer des EGVP-Clients haben mir berichtet, dass dieser sich mit der neuen beA-Client-Security nicht verträgt. Nach Deinstallation lief der EGVP-Client wieder. Der EGVP-Client wird einen Monat über die Inbetriebnahme des beAs hinaus zur Verfügung stehen, d.h. bis zum 3. Oktober 2018.

Tipp: Nutzer des EGVP-Clients sollten mit der Installation der beA-Client-Security warten, bis beA freigeschaltet ist.

Experten haben beim Download der neuen Client Security festgestellt, dass diese für Hacker ggf. den Anwalt als solchen identifiziert.

Tipp: Nehmen Sie die Client Security aus dem Autostart und öffnen Sie sie nur, wenn Sie sich beim beA anmelden wollen.

Nutzen Sie die Zeit und prüfen Sie, ob alle beA-Karten und beA-Mitarbeiterkarten und beA-Softwarezertifikate vorhanden sind. Bislang haben ca. 17.000 Anwälte noch keine Karte bestellt.

Bislang sind lediglich ca. 36.000 Mitarbeiterkarten und Softwarezertifikate bestellt worden. Nach § 26 RAVPV darf der Inhaber eines für ihn erzeugten Zertifikats = beA-Karte dieses keiner weiteren Person, z.B. Mitarbeiter, überlassen und hat die PIN geheim zu halten.

Tipp: Bestellen Sie jetzt fehlende beA-Karten und beA-Mitarbeiterkarten. Softwarezertifikate sind zusätzlich z.B. für mobile Anwälte zu empfehlen.

Bestellungen sind ausschließlich bei der BNotK möglich.

Checken Sie Ihre Kartenlesegeräte: Ggf. ist ein Treiberupdate erforderlich.

Hier finden Sie den Treiber-Download für den Reiner cyber Jack RFID komfort und für den Reiner cyber Jack secoder. Das sind die beiden Kartenlesegeräte, die auf der Seite der BNotK angeboten werden.

Wer noch nicht in der digitalen Kanzlei arbeitet, kann ggf. auch den beA-Postfach-Service von Soldan nutzen. Als Zwischenschritt auf dem Weg zur digitalen Kanzlei und z.B. für Syndikusanwälte, deren IT-Struktur in der Firma das beA nicht ohne weiteres zulässt, eine Alternative.

Noch hat die BRAK sich nicht dazu geäußert, wann die passive Nutzungspflicht beginnt.

Der Bundesverband der Unternehmensjuristen e.V. (BUI) fordert eine achtwöchige Übergangsphase zur Implementierung, eine vierwöchige Testphase für einen Stresstest im Unternehmen sowie den Einbau eines SPAM-Filters. Der DAV geht davon aus, dass eine Testphase auch ohne Gesetzesänderung möglich ist, da § 31a BRAO das beA umfassend und erstaunlich präzise regele.