Das besondere elektronische Anwaltspostfach wird zum 1.1.2016 allen Rechtsanwälten zur Verfügung gestellt.

Rechtsanwaltsregister als Teil des Anwaltspostfachs beA seit 13.4.2018 offline

Das Bundesweite Amtliche Anwaltsverzeichnis (BRAV)
ist seit 13. April 2018 offline

 

Das Online Magazin Golem hat die BRAK über eine Sicherheitslücke im BRAV informiert.

Am 13. April 2018 teilte das EGVP-Portal die Abschaltung des BRAV mit:

Der BRAK-Präsident unterrichtete die Präsidenten der regionalen Rechtsanwaltskammern mit BRAK-Nr. 135/2018 am 13.4.2018 über die Abschaltung.

Solange das BRAV nicht verfügbar ist, können zugelassene Rechtsanwälte über das Europäische Verzeichnis Find a lawyer recherchiert werden.

Mitglieder des Deutschen Anwaltvereins können auch über die Deutsche Anwaltauskunft gefunden werden.

Das BRAV soll frühestens ab Dienstag, 17. April 2018, wieder zur Verfügung stehen.

 

Präsidiumssitzung am Sonntag, 15. April 2018

 

Mit Presseerklärung Nr. 7 vom 15.04.2018 wurde auf der Seite der BRAK für Journalisten über die Berichterstattung von Secunet zur laufenden Prüfung des beA informiert:

„Secunet berichtet über laufende Prüfung des beA

Auf der heutigen BRAK-Präsidentenkonferenz hat die secunet Security Networks AG den Präsidentinnen und Präsidenten der 28 Rechtsanwaltskammern einen Zwischenbericht zur Sicherheit des besonderen elektronischen Anwaltspostfachs (beA) erstattet.

Die secunet, eine durch das Bundesamt für Sicherheit in der Informationstechnik zertifizierte IT-Sicherheitsdienstleisterin, prüft zurzeit die beA-Anwendung. Die BRAK hatte diese wegen Sicherheitsrisiken im Dezember 2017 vom Netz genommen.

Auftragsgemäß hat secunet eine technische Analyse der beA Client Security und eine konzeptionelle Prüfung der Gesamtlösung des beA inklusive Hardware Security Modul (HSM) vorgenommen.

Secunet bestätigt, dass sie nach aktuellem Untersuchungsstand keine Fehler gefunden haben, die den grundlegenden Aufbau des beA-Systems in Frage stellen. Die bisher festgestellten Schwachstellen des beA-Systems können, so secunet, behoben werden. Die BRAK hat den Entwickler des beA über das vorläufige Zwischenergebnis informiert.

Die Präsidentinnen und Präsidenten waren sich auf ihrer heutigen Sitzung einig, keine inhaltlichen Details zum vorläufigen Zwischenbericht zu veröffentlichen. Die Präsidentenkonferenz folgt damit der ausdrücklichen Empfehlung der Gutachterin, um Risiken z. B. für die IT-Sicherheit der Anwaltschaft auszuschließen, wie sie insbesondere bei nicht erfolgter Deinstallation älterer Versionen der beA-Client Security auf den Rechnern der Nutzer entstehen könnten.

Das umfassende Gutachten der secunet wird nicht vor Mitte Mai vorliegen. Die BRAK wird dann über die weitere Vorgehensweise beraten.“

 

Es bleibt also dabei, dass das umfassende Gutachten nicht vor Mitte Mai vorliegen wird. Dann wird die BRAK über das weitere Vorgehen beraten.

 

 

Erste Ergebnis der Sicherheitsanalyse: Anwaltspostfach beA bleibt weiterhin offline

Erste Ergebnisse der Sicherheitsanalyse:
Anwaltspostfach beA bleibt vorerst weiterhin offline

 

Am 28. März 2018 informierte der Präsident der Bundesrechtsanwaltskammer die Präsidentinnen und Präsidenten der Rechtsanwaltskammern in einem internen Rundschreiben:

„Am 27. März 2018 stellte die secunet AG der BRAK erste vorläufige Ergebnisse ihrer Sicherheitsanalyse des beA-Systems und der Client Security vor.

Wichtiges Ergebnis der Sicherheitstest ist, dass das beA Schwachstellen hat, die wir vor dem Wiedereintritt in den online-Betrieb beseitigen werden. Das beA kann also im Augenblick noch nicht wieder starten. Aus den vorläufigen Einschätzungen des bisherigen Befundes geht aber auch hervor, dass keine der bislang identifizierten Schwachstellen eine grundsätzliche Überarbeitung der beA-Systemarchitektur erfordert.

Die BRAK hat sich bereits mit Atos in Verbindung gesetzt, um die ausgemachten Sicherheitslücken zu beheben. Weil dies einige Wochen dauern wird, hat sich das Präsidium entschlossen, das so entstehende Zeitfenster zu nutzen und eine umfassende Bewertung des beA-Systems durch secunet vornehmen zu lassen. Die BRAK hat diese Sicherheitsanalyse, die auch eine Bewertung des HSM umfasst, beauftragt. secunet wird die Prüfung ab Mitte Mai abschließen und dann auch das vollständige Sicherheitsgutachten vorlegen.

Selbstverständlich bleibt es dabei, dass die BRAK das komplette Sicherheitsgutachten veröffentlichen wird. In der kommenden Woche wird die BRAK erstmals eine schriftliche Stellungnahme von secunet zu den bisher identifizierten Schwachstellen des beA erhalten. Ich werde Sie über den Inhalt zeitnah informieren. Ebenso ist beabsichtigt, öffentlich zu den vorläufigen Ergebnissen zu kommunizieren.

Bitte haben Sie Verständnis dafür, dass dieses Rundschreiben der internen Information und Transparenz dient, es ist derzeit nicht für die breite Öffentlichkeit bestimmt.“

 

Das Schreiben des BRAK-Präsidenten wurde bereits anderweitig im Netz veröffentlicht.

Die Hanseatische Rechtsanwaltskammer Hamburg informiert am 28. März 2018 ihre Mitglieder:

beA-Informations-Update

(Stand: 28.03.2018)

„Kurz vor Ostern erreichen uns neueste Informationen zum beA, die wir Ihnen – wie bisher auch – selbstverständlich sofort übermitteln wollen.

Durch die Bundesrechtsanwaltskammer haben wir soeben erfahren, dass davon ausgegangen werden muss, dass das besondere elektronische Anwaltspostfach gewiss nicht vor Mitte Mai 2018 zur Verfügung stehen wird. Wir bemühen uns, weitere brauchbare Erkenntnisse zu erlangen. Wir werden Sie über den Fortgang der Entwicklungen verzugslos unterrichtet halten.“

 

Man muss davon ausgehen, dass es bis Pfingsten dauern wird, bis weitere Ergebnisse bekannt werden.

Genießen Sie Ostern im Kreise Ihrer Lieben. Schöne Feiertage.

 

 

 

 

Anwälte, BRAK und Justiz im Dialog: Ausblick auf das Anwaltspostfach beAplus

„Großes entsteht immer im Kleinen.“

Die Saarländische Landesvertretung in Berlin war Gastgeber des beAplus-Symposiums des Deutschen EDV-Gerichtstages e.V.

Der @edvgt lud alle Beteiligten und Interessierten zum Symposium in die Saarländische Landesvertretung nach Berlin ein.

Unter dem Motto: „Brauchen wir das beA+ mit besserer Software und optimierter Ausrichtung auf den Kanzleialltag?“ blickten die Referenten und zahlreiche Teilnehmer in die Zukunft.

Der Vorsitzende des EDVGT, Rechtsanwalt Prof. Ory, fasste die Sicherheitsdiskussionen zum aktuellen Anwaltspostfach beA zusammen: „Das beA (+) ist (nicht) sicher“ – „Verschlüsselung Ende-zu-Ende – gibt es doch (nicht)“ mit einem treffenden Vergleich: „Ein Dokument ist im beA durchgehend verschlüsselt…aber bei der BRAK gibt es einen Mister Minit“.

Die Vertreter der BRAK waren dabei

Im Gegensatz zu allen bisherigen Veranstaltungen, die seit dem „beAGate“ stattgefunden haben, war die BRAK hochkarätig vertreten: Vizepräsident, Dr. Martin Abend, Geschäftsführerin Julia von Seltmann und IT-Referent Hannes Müller waren anwesend und auch in den Pausen und nach der Veranstaltung zu Gesprächen bereit.

Dr. Abend informierte über den aktuellen Stand: Die secunet Security networks AG wird Ende März die ersten Ergebnisse des Gutachtens bekanntgeben. Mit einer angemessenen Vorlaufzeit, Dr. Abend sprach hier von „mindestens zwei Wochen“, soll dann das beA wieder ans Netz gehen. Zum Kanzleipostfach wäre es möglich, zumindest RA-Kapitalgesellschaften ins Register aufzunehmen, damit diese ein eigenes beA bekämen.

Dr. Abend stellte auch die Frage, wie viel die Anwaltschaft zukünftig für ein beAplus investieren will?

Auch der DAV war vertreten

Auch der DAV war durch seine Fachleute vertreten: Rechtsanwalt und Notar Ulrich Volk, Pionier des Elektronischen Rechtsverkehrs, und Mitglied des Ausschusses Elektronischer Rechtsverkehr des DAV sowie der Vorsitzende, Rechtsanwalt Martin Schafhausen, der es sich sich nicht nehmen ließ, nach einem Gerichtstermin noch in der Landesvertretung vorbeizuschauen. Für die DAV-Geschäftführung war Rechtsanwältin Ina Kitzmann dabei und auch Sebastian Reiling für die Digitale Anwaltschaft war mit von der Partie.

RAuN Volk zeigte in seinem Statement auf, wie weit Theorie und Wirklichkeit auseinanderklaffen: Die digitale Post an unterschiedliche Gerichte in Deutschland ist noch unerwünscht: Das Ausdrucken sprengt das Budget. Ein Richter dazu: „…dann kann ich mir keinen Palandt mehr anschaffen. Am besten, Sie schicken ein Fax.“ Ein Dilemma für den Anwalt, der elektronisch einreichen will, andererseits sich den Richter nicht zum Feind machen will. Die Einbindung der Mitarbeiter ist das A und O. Und auch die eigenen Gerichte sollte man einbeziehen: Wie kommt das, was man sendet, dort an? Umgekehrt: Wenn das Gericht etwas sendet, wie kommt das in der Kanzlei an? So erhalten beide Seiten Verständnis für die Situation des anderen und können sich langsam auf einander zu bewegen.

Markus Drenger gab seinen Wunschzettel bekannt

Markus Drenger, der Experte vom Chaos Computer Club Darmstadt e.V., gab einen Ausblick „was noch auf dem Zettel für ein beAplus steht“: Ende-zu-Ende-Protokoll, offene API, quelloffen, nah an verbreiteten Standards, Standard-Client soll mobilfähig und benutzerfreundlich sein. Mit dem Stichwort „security-by-design“ sollte die Sicherheit von Anfang an in der Architektur und ganzheitlich betrachtet, rechtliche Vorgaben für IT-Verfahren sollten durch Experten (z.B. BSI) entwickelt werden. Wenn Akten und Workflows in der Justiz digital sind: maschinenlesbare Justiz und Open Data. Reform PKH / Verurteilungsstatistiken: Verlaufsstatistiken (Polizei-StA-Gericht), Performance-Indikatoren, eAnhörungen, Rechtsprechungsdatenbanken, automatisierbare Verfahren (Knöllchenbot), Anordnungsregister, maschinenlesbare Anordnungen…

Diese Wunschliste wird wohl erst im Kleinen groß werden…

Professor Sorge und die Definition von „sicher“

Professor Christoph Sorge, Inhaber der juris-Stiftungsprofessur für Rechtsinformatik der Universität des Saarlandes, Vorstandsmitglied des EDV-Gerichtstages, zeigte das Sicherheits- und Risikomanagement im Elektronischen Rechtsverkehr auf. Er fragte: „Was verstehen wir eigentlich unter sicher?“ Sicherheit als Funktionssicherheit (engl. safety): System tut, was es soll, auch unter zufällig eintretenden, widrigen Bedingungen oder Sicherheit als Informationssicherheit (engl. security): System widersteht auch intelligenten Angreifern und gibt insbesondere keine Informationen preis, die es nicht preisgeben sollte. „Wie sicher ist sicher?“

Prof. Sorge hat mit seinen Studenten einige Szenarien durchgesprochen:

Ist Sicherheit erreicht, wenn…
… die Kosten für den Angreifer so hoch werden, dass der Angriff sich nicht lohnt?
>Woher kennen Sie die Kosten für den Angreifer?
>Wieso sollte der Angreifer sich rational verhalten?

…der erwartete Schaden (berechnet aus Schadenhöhe und Eintrittswahrscheinlichkeit) niedrig genug ist?
>Woher kennen Sie die Eintrittswahrscheinlichkeit?

Bestandteil eines Managementsystems für Informationssicherheit nach dem BSI-Standard:
Ist jeder einzelne Mitarbeiter in Ihrer Kanzlei mit der IT-Sicherheit befasst?
Sein Beispiel: Die Putzhilfe öffnet dem (vermeintlichen) Heizungsmonteur die Kanzleitür.

Offene Fragen:
Wer führt die Abwägung zwischen Kosten und Nutzen von IT-Sicherheitsmaßnahmen durch?
Wie detalliert sollte Sicherheitsmanagement durch Gesetz- und Verordnungsgeber geregelt werden?
Diverse Vorgaben für das beA in der RAVPV; Zu viel?; Zu wenig?; Sind die bestehenden Regelungen „richtig“?; Wie erfolgt die Rückkopplung?
Vorbildcharakter der eIDAS-Verordnung?

Welche Folgerungen ergeben sich für das beAplus?
Vertrauen in IT-Sicherheit benötigt Offenheit
– in Bezug auf Sicherheitsarchitekturen und -protokolle (!)
– in Bezug auf Details der Umsetzung und Quellcode (?)
– in Bezug auf entdeckte Sicherheitslücken (wann?)
Kryptographie (>Ende-zu-Ende-Verschlüsselung) als Königsweg, aber nicht einziger Weg

Professor Armknecht und Alternativen zum „HSM“

Professor Frederik Armknecht, Lehrstuhl Praktische Informatik der Universität Mannheim,  stellte die Ziele seines Vortrags an den Anfang:

– Kryptografische Funktionalitäten des HSM (Hardware Security Module)
– Vorstellung und Besprechung möglicher Alternativen
– Diskussionsgrundlage

Keine Ziele des Vortrags:
– Kritik am beA
– konkrete Alternativvorschläge

Anhand von anschaulichen Grafiken stellte er die symmetrische und die asymmetrische Verschlüsselung dar, erklärte die hybride Verschlüsselung und die Rolle des HSM beim beA. Auch das Umverschlüsselungsszenario und das Szenario der Proxy Re-Encryption erläuterte Prof. Armknecht anhand von Grafiken. Er zeigte mögliche kryptografische Alternativen wie Proxy Re-Encryption, Secret Sharing oder Zertifikate auf. Alle Ansätze haben unterschiedliche Vor- und Nachteile, kommen allesamt ohne HSM aus. Falls beA grundlegend überarbeitet wird, sollten diese in Betracht gezogen werden.

eIDAS-Vertrauensdienste als neue Standardverfahren

Matthias Matuschka, Direktor Öffentliche Verwaltng der Bundesdruckerei GmbH und Dr. Kim Nguyen, Geschäftsführer D-Trust GmbH und Fellow, stellten die Vertrauensdienste gemäß eIDAS vor, und als Alternative zu Smartcard und Kartenlesegerät die Möglichkeit der Fernsignatur anhand der Lösung sign-me.

De-Mail: Eine Alternative zu beA (+)?

Leslie Romeo, Head of De-Mail & Trust Services bei 1&1, warb für den Einsatz von De-Mail als Übergangslösung oder Ergänzung zum beA. Allerdings kann z.B. das elektronische Empfangsbekenntnis nicht mit De-Mail dargestellt werden.

Anforderungen an ein beA+ aus der anwaltlichen Praxis

Rechtsanwältin Sabine Ecker, Leitende Beraterin Anwaltsmarkt DATEV eG und Vorsitzende des Software-Industrieverbandes Elektronischer Rechtsverkehr (SIV-ERV) brachte die Forderungen aus Sicht der Praxis und der Anwaltssoftwarehersteller auf den Punkt:

  • Technik und Recht müssen den Anforderungen des anwaltlichen Workflows entsprechen
  • Die Arbeitsteilung zwischen Anwalt und ReFa darf nicht gestört werden
  • Ein Kanzleipostfach muss her !
  • beA+ muss nicht nur WTS-fähig sein, beA+ muss alle gängigen Systeme unterstützen
  • beA+ muss mobil anwendbar sein
  • Keine Mengenbegrenzung für Anlagen oder Heraufladen auf den Server der Justiz/Verwaltung ermöglichen

EGVP-Komponenten im Lichte der Sicherheitsdiskussion

Johannes Kühn, Ministerium der Justiz und für Europa Baden-Württemberg, Vorsitz der Bund-Länder-Kommission (BLK) Arbeitsgruppe IT-Standards in der Justiz, beleuchtete die EGVP-Infrastruktur und die Grundlage des Secure Access to Federate eGovernment / eJustice (SAFE). Seit 2011 nutzen 150.000 Gerichte, Rechtsanwälte, Notare, Gerichtsvollzieher, Bürger, Firmen, Kommunen, der Zoll, die Finanzverwaltung und Verwaltungsbehörden das egvp, das Zentrale Testamentsregister, das Vollstreckungsportal und die Vollstreckungsgerichte der Länder, das Zentrale Schutzschriftenregister (ZSSR), Akteneinsichtsportal, Grundbuch …

Der Elektronische Rechtsverkehr nutzt offene technische Standards. Herr Kühn wies darauf hin, dass die EGVP-Infrastruktur der Justiz von der beA-Schwachstelle nicht betroffen ist. Gleichwohl wurde eine von Herrn Drenger entdeckte Schwachstelle beim EGVP-Installer direkt geschlossen. Bei EGVP-Nachrichten ergibt sich die Authentizität einer Person aus der qualifizierten elektronischen Signatur. Die Bezeichnung des Postfachs diene nicht zur Authentifizierung des Absenders. Der bereits abgekündigte EGVP-Client werde weiterhin gepflegt und aktualisiert. Im Mai 2018 wird die BLK über den EGVP-Classic-Client entscheiden.

Blick in die Zukunft – beA ist doch erst der Anfang

Dr. Ralf Köbler, Präsident des Landgerichts Darmstadt, Vorstandsmitglied des EDVGT, warf einen Blick in die Glaskugel 2030 mit der These Elektronischer Rechtsverkehr und die bisherigen Ansätze zur E-Akte schöpfen die dem Rechtswesen nützlichen Möglichkeiten moderner Informationstechnik nicht aus“.

In Dänemark könne man Klagen nur noch elektronisch einreichen.

Er plädierte dafür, die digitale Postkutsche abzuschaffen und einen gemeinsamen Datenraum für Parteien und Gericht zu schaffen. Dateien sollen up- und downgeloadet werden, kein Versand mehr erforderlich sein. Eine jederzeitig Akteneinsicht wäre möglich, die Akte immer verfügbar und vollständig. Allerdings müsste dann das Problem der gesicherten Netze der Länder gelöst werden: IT-Sicherheit als wesentliches Problem unserer Zeit.

Über Push-Dienste könnten Mitteilungen über Termine, Veränderungen und wesentliches Geschehen im Verfahren auf das mobile device erfolgen; gleichzeitig die automatische Eintragung dieser Informationen in den Anwaltskalender; Entscheidungsbenachrichtigung mit Tenor würde zu einer erheblichen Entlastung des Gerichtspersonals führen. Eine automatisierte Erstellung der Gerichtskostenrechnung und ePayment aller Art zur Bezahlung. Elektronische Terminsanzeigen und Gerichtstafeln im Internet und im Gericht.

Mobiles Arbeiten müsse möglich sein. Ein mobiler Zugriff auf alle Verfahrensdaten und Dokumente, verschlüsseltes WLAN in allen Gerichten, für Richter und Anwälte nutzbar, Internetzugänge für Anwälte und Publikum.

Videoconferencing soll vom Rechner am Richtertisch aus möglich sein, Gutachtenerläuterung grundsätzlich per Video und Umkehr des heutigen Verhandlungsgrundsatzes: grundsätzlich Video, falls kein schriftliches Verfahren möglich ist, nur ausnahmsweise mündliche Verhandlung, wenn persönliche Anwesenheit zwingend ist. Vernehmung behördlicher Zeugen, insbesondere Polizeibeamte, auch im Strafprozess grundsätzlich per Video.

Dr. Köbler wünscht sich etwas, das „Anwälte gar nicht mögen“: Strukturierter Parteivortrag als Norm. Kläger und Beklagter tragen in das gleiche digitale Dokument ein, geordnet nach den Tatbestandsmerkmalen der ausgewählten Anspruchsgrundlage; alternativ: Lebenslagenprinzip, z.B. der Verkehrsunfall, die Wohnraumkündigung, die Kündigung des Arbeitsverhältnisses. Es gäbe eine Spalte für die richterliche Bewertung. Für Beweisantritte sei eine Spezialsoftware erforderlich, die bereits im Teststadium sei. Ein herkömmliches Klageverfahren mit „getrennten“ Schriftsätzen sei ausnahmsweise möglich, würde aber höhere Kosten verursachen.

Er geht davon aus, dass zukünftig die Künstliche Intelligenz (KI) auch in der Justiz Einzug hält. Eine systematische Analyse der Sachverhalte zu Entscheidungen und Zuordnung zu den fall- und lösungsrelevanten Rechtsfragen. Der Anwalt könne den Fall – idealerweise in der vom Mandanten bereits aufbereiten Form – eingeben und erhalte direkt einen Vorschlag zur Sachbehandlung und erster Korrespondenz sowie automatisierter (anpassbarer) Entwurf der Klageschrift. Das Gericht erhalte mit Hilfe der KI einen automatisierten Vorschlag des prozessualen Vorgehens und Entwurf einer Entscheidung auf der Grundlage des strukturierten Parteivortrags.

Dr. Köbler verwies auf den bereits eingetreten Wandel des Anwaltsmarktes durch Legal Tech. Legal Tech sichere den Zugang zum Recht in Fällen mit niedrigen Streitwerten in einer Spezialmaterie, deren Einarbeitung nicht wirtschaftlich ist (Flugverspätung, Zugverspätung, Mietpreiserhöhung, Bußgeldportale). Seine These: es erfolge eine Konzentration der vielen individuell operierenden Startups zu wenigen großen digitalen Rechtsanbietern mit automatisierten Verfahren, aber auch mit „echten“ Anwälten.

Als Empfehlung sprach Dr. Köbler sich dafür aus, mit Bedacht und Sensibilität weiterzumachen und die Zukunft mitzugestalten. Als Justiz und als Anwaltschaft.

Diskussion mit den Referenten und Teilnehmern

Jörn Erbguth, Legal Tech Consultant, Genf, Vorstandsmitglied des EDVGT und auch Teilnehmer des #beAthon, leitete die Diskussion vor der Mittagspause und zum Abschluss der Veranstaltung. Ein blinder Rechtsanwalt wies darauf hin, dass die Client Security nicht barrierefrei sei. Dr. Abend nahm in der Diskussion Stellung: „wir nehmen die Kritik an“ und stellte auch die Frage, mit wem beAplus fortentwickelt werden könne.

Fazit:

Die Diskussion wird auf dem nächsten EDV-Gerichtstag, der vom 19. bis 21. September 2018 in Saarbrücken stattfindet, fortgesetzt. Der geschäftsführende Vorstand und die weiteren Vorstandsmitglieder sind allesamt ausgewiesene EDV-Experten und Juristen. Praktiker wie Dr. Thomas Lapp, der auch in der Arbeitsgemeinschaft IT-Recht des DAV im geschäftsführenden Ausschuss aktiv ist, stehen für einen praxisgerechten Austausch bereit, damit das beAplus zukünftig die Arbeit in den Kanzleien erleichtert.

Die Präsentationen der Referenten stehen auf der Homepage des EDVGT zum Download.

 

 

 

Keine Überraschungseier vor Ostern: Gutachten für Anwaltspostfach beA lässt auf sich warten

Keine Überraschungseier vor Ostern: Gutachten für Anwaltspostfach beA lässt auf sich warten

 

Am 21. Februar 2018 beantwortete der Präsident der BRAK, Ekkehart Schäfer, die Fragen des Ausschusses für Recht und Verbraucherschutz des Deutschen Bundestages.

In der Presseerklärung der BRAK heißt es:

„Zu Beginn des Gesprächs wies Schäfer auf die Komplexität und Einmaligkeit des beA-Systems hin: „Im beA werden ca. 165.000 Rechtsanwältinnen und Rechtsanwälte sowohl untereinander als auch mit allen 22.500 Richterinnen und Richtern in Deutschland elektronisch schriftlich kommunizieren und zwar 24 Stunden am Tag und 365 Tage im Jahr – selbstverständlich unter Beachtung berufsrechtlicher Regelungen, insbesondere der anwaltlichen Verschwiegenheitspflicht, und damit unter einem besonderen Sicherheitsaspekt. Für das beA gibt und gab es kein Vorbild.“ 

Derzeit findet eine Sicherheitsprüfung für das beA durch eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Gutacherfirma, die secunet AG aus Essen, statt.

Erste Ergebnisse dieser Prüfung sollen Ende März vorliegen.

Weiterhin heißt es: „„Nach Abschluss der vollständigen Prüfung des beA-Systems durch secunet wird die BRAK das Gutachten veröffentlichen“, kündigte Schäfer an.
Der Verlauf des weiteren Verfahrens zur Wiederinbetriebnahme des beA hängt von den Ergebnissen der Sicherheitstests ab.

Bundesministerium der Justiz und für Verbraucherschutz sieht keinen gesetzgeberischen Handlungsbedarf

Weiterhin heißt es:

„Der Parlamentarische Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz, Christian Lange, betonte in einem dem Gespräch vorausgehenden Bericht, dass das Ministerium der BRAK vertraue und keinen gesetzgeberischen Handlungsbedarf sehe. Das Ministerium befände sich in engem Austausch mit der BRAK und sei über alle Vorgänge informiert.“

Das Anwaltsblatt  berichtet: beA-Desaster erreicht Bundestag: Rechtsausschuss befragt BRAK

Dr. Nicolas Lührig schreibt:

„Die Anhörung im Rechtsausschuss machte aber auch die Grenzen deutlich, die der Neustart des beA hat. Kein Thema im Rechtsausschuss war das Kanzleipostfach.
Und auch die Frage, wie zukünftig Sicherheitsmängel vermieden werden können, spielte keine besondere Rolle.“

In der nichtöffentlichen Sitzung war der DAV durch ein Mitglied aus dem Ausschuss Elektronischer Rechtsverkehr vertreten.

Die LTO  titelt: BRAK will Scha­dens­er­satz für beA­Gate

Pia Lorenz schreibt:

„Auf ausdrückliche Nachfrage eines Mitglieds des Rechtsausschusses hat Schäfer bestätigt, dass die BRAK „selbstverständlich“ Schadensersatzansprüche geltend macht. …
Im Rechtsausschuss machte der Präsident der BRAK am Mittwoch klar, dass sich frühestens Ende März herausstellen wird, wie und wann es mit dem beA weitergeht. …
Er geht offenbar davon aus, dass das beA dann im Anschluss relativ schnell, wenn auch nach einer Frist von mindestens zwei Wochen, wieder online gehen kann.
Am Grundkonzept will die BRAK aber nichts ändern, offenbar mit Rückendeckung aus dem BMJV.“

F.A.Z. Einspruch, das Digital-Angebot für Juristen: Bea: Keine Gebührenerstattung, keine Schonfrist

Henrik Wieduwilt schreibt:

„Anwälte werden die Gebühren für das defekte besondere elektronische Anwaltspostfach (Bea) nicht zurückbekommen. …
Der Betrieb des Postfachs koste 500000 Euro im Monat, hieß es. Die Anwälte müssen im Jahr 2018 58 Euro für das Bea entrichten. …
Bei der nichtöffentlichen Sitzung warnte die Kammer zudem, dass es für die Anwälte neben einem Vorlauf keine längere Schonfrist geben werde, wenn der Betrieb wieder aufgenommen werde. Angeblich hätten nämlich 75000 der über 160000 Anwälte sich noch immer nicht um die Einrichtung der Infrastruktur gekümmert. „

Fazit:

Nachdem das beA offline ist, ist derzeit auch die Registrierung für Anwälte (Benutzer mit eigenem Postfach) und Mitarbeiter (Benutzer ohne eigenes Postfach) nicht möglich.

Prüfen Sie jedoch, ob Sie alle beA-Karten (beA-Basiskarte, beA-Signaturkarte oder ggf. beA-Basiskarte mit Nachladesignatur) sowie ausreichend beA-Mitarbeiterkarten und beA-Softwarezertifikate bestellt haben. Die Karten werden von der Bundesnotarkammer herausgegeben, eine Bestellung ist jederzeit möglich und auch sinnvoll, da am Grundkonzept des beA (Zugang mit Karte) nichts geändert wird. Klären Sie mit Ihrem Anwaltssoftwareanbieter, wie dieser die Schnittstelle für den beA-Zugang gestaltet, damit erforderlichenfalls zusätzliche beA-Karten und/oder beA-Softwarezertifikate rechtzeitig bestellt werden. Bis Ende März sind es nur noch fünf Wochen, am 30. März 2018 ist Karfreitag.

 

 

 

 

Hic sunt leones: Anwaltspostfach beA kann bald wieder in Betrieb gehen

Was das besondere elektronische Anwaltspostfach beA mit Löwen zu tun hat und dass es bald wieder in Betrieb gehen kann – Öffentliche Diskussion mit Live-Stream, aber bitte keine Fotos

Quelle: https://www.behance.net/gallery/18814579/Hic-Sunt-Leones

Der Berliner Anwaltsverein und die Arbeitsgemeinschaft IT-Recht im DAV, davit, luden am 1. Februar 2018 zu einem Workshop alle IT-interessierten ein, um das Anwaltpostfach beA auch von der technischen Seite her zu beleuchten.

Die Vorsitzende der davit, Rechtsanwältin Dr. Astrid Auer-Reinsdorff, wies zu Beginn der Veranstaltung darauf hin, dass es eine öffentliche Veranstaltung mit Live-Stream sei.
Im Laufe der Veranstaltung meldete sich dann ein Rechtsanwalt namentlich zu Wort, der darauf hinwies, dass er nicht fotografiert werden wolle;-)

 

Markus Drenger mit Einführungsvortrag und Bericht über den #beAthon

Nach dem Einführungsvortrag von Markus Drenger vom Chaos Computer Club Darmstadt, begann die öffentliche Diskussion, bei der die Zuhörer intensiv in den Dialog einbezogen wurden.

Markus Drenger, der im Wege des responsible disclosure die BRAK auf die IT-technischen Schwierigkeiten aufmerksam gemacht hatte, informierte nicht nur über die bisher schon bekannten Erkenntnisse, sondern aktuell auch über den am 26. Januar 2018 stattgefundenden #beAthon. Dort hatten sich auf Einladung der BRAK neben ihm und zwei Kollegen vom CCC, Vertreter der BRAK, der Kommunikationsagentur der BRAK, der zwischenzeitlich zur Erstellung des Sicherheitsgutachtens beauftragten Firma secunet Secure Networks AG, des DAV, des EDV-Gerichtstages und Pressevertreter von 13 bis 18 Uhr zu einem Austausch getroffen. Atos hatte kurz vorher seine Teilnahme abgesagt und auch seinem Subunternehmer Governikus die Teilnahme am #beAthon untersagt.

Auf dem #beAthon hatte sich herausgestellt, dass die Sicherheitslücken so gravierend sind, dass die BRAK noch am Abend des 26.1.2018 mit einem Sonder-Newsletter empfahl, die alte beA Client Security zu deaktivieren oder zu deinstallieren. Atos hatte am Vormittag des 26.1.2018 eine Pressemitteilung bei LTO veröffentlicht, wonach die Sicherheitslücken behoben seien.

Dazu Markus Drenger:
„Ich gehe davon aus, dass man das beA in relativ kurzer naher Zeit wieder in Betrieb nehmen kann.
Mich hat es gewundert, dass sich nur 65.000 Anwälte registriert hätten,
die anderen 100.000 sollten das jetzt dringend tun.“

Er klärte auch über die „stille Post“ auf, die sich teilweise in Berichten verbreitete, dass die 15-Minuten-Pause zwischen dem Senden von beA-Nachrichten eine Vorgabe des EGVP sei, die auf beA nicht zutrifft. Die Vorgabe, dass ab 1.1.2018 nur noch PDF in verschiedenen Ausführungen und TIFF als Dokumentformate zugelassen sind, könne er nicht verstehen, da nur PDF/A und TIFF gewährleisteten, dass der Inhalt gleichbleibend sei. In anderen PDF-Formaten könne man beliebige Änderungen vornehmen, das sei ein Container wie eine exe.Datei, in die man Videos, Spiele, Linux etc. einbauen könne.

Diskussion mit den IT-Experten und den Zuhörern: Anwältinnen, Anwälte, Bürovorsteher, Kanzlei-Administratoren, IT-Dienstleister

In der anschließenden Diskussion kam der Hinweis von Herrn Drenger, dass Kanzleien, die Anwaltssoftware einsetzen, die beA Client Security nicht benötigen, weil eine andere Schnittstelle genutzt wird. Er wies auch darauf hin, dass er Atos zutraue, dass die Probleme, die er gemeldet habe, von Atos jetzt behoben wurden.

Rechtsanwalt Dr. Thomas Lapp, auch Vorstandsmitglied des EDV-Gerichtstages, fragte nach der Sicherheit des HSM: „Ist es vertretbar, wenn es wieder funktioniert?“

Antwort Drenger: „Ja, das kann sicher gemacht sein und wenn man an der Stelle vertraut, kann auch alles gut sein. Mein Punkt war, es wurde überall beworben es wäre Ende-zu-Ende und dieses Sicherheitsversprechen ist nicht eingehalten worden…Das kann hier auch sinnvoll sein, wenn man das möchte. Man hätte das beA auch ohne HSM bauen können mit Ende-zu-Ende…“

Dr. Lapp erklärte, warum die BRAK sich für ein HSM entschieden hat: Im Vorfeld seien Workshops mit Anwälten gemacht worden und dort wurde Wert darauf gelegt, dass die Anwälte bestimmen können, wer als Vertreter und Mitarbeiter auf das Postfach zugreifen kann und das sollte nicht der Absender erfahren.

Wenn etwas sicher sein soll, ist es selten einfach

Dr. Auer-Reinsdorff: „Wir IT-Rechtler wissen, wenn etwas sicher sein soll, ist es selten einfach…. Einfach und sicher ist sehr sehr schwer und kostet sehr viel Geld. …Was müssen die BRAK und ihre Dienstleister tun, damit wir ihr wieder vertrauen?… Wenn die BRAK sagt, es sei sicher, müssen wir es installieren, denn wir müssen empfangsbereit sein, eigentlich schon seit 1.1. und wenn es wieder da ist, werde ich es installieren müssen, auch wenn ich vielleicht  Zweifel habe, ob es sicher ist… Wir wollen das System baldmöglichst relativ sicher nutzen…Stellen Sie Fragen, machen Sie Forderungen, wir werden versuchen, das zu kanalisieren und an die richtigen Stellen zu bringen“.

Dr. Lapp: „Sicher wäre ein Slogan: Etwas komplizierter, dafür aber sicherer, ehrlicher. …Mehr Sicherheit ist etwas umständlicher aber sicherer“

Rechtsanwältin Claudia Frank, die stellvertretende Vorsitzende des Berliner Anwaltsvereins, fragte aus den Reihen der Zuhörer: „Wer hat wann was abgenommen? … wer nimmt das Update ab?“

Dr. Auer-Reinsdorff wies darauf hin, dass wir alle keinen Einblick in die Unterlagen haben.

Auskunftsersuchen nach IFG

Rechtsanwalt Stephan Schmidt, Gebietsleiter Midwest+Luxembourg der davit, hat ein Auskunftsersuchen nach IFG an die BRAK gerichtet. Dieses wurde zu großen Teilen abschlägig beschieden mit dem Hinweis auf Geheimhaltungsinteressen überwiegend von Atos. Es müsse kritisch müsse geprüft werden, welche Verträge geschlossen wurden.

Markus Drenger führte aus, dass beim #beAthon ein weiteres Unternehmen (Anm.: secunet Security Networks AG) beauftragt wurde, die Sicherheit in einem mehrschichtigen Test zu prüfen.

Dr. Lapp informierte, dass sich die Geheimhaltungspflicht bei der Auftragsvergabe an Atos nur auf die Gebote bezieht, alles vorher müsse offengelegt werden, auch die Ausschreibung. Die davit wird das weiter verfolgen. Dr. Auer-Reinsdorff sprach auch die Wiedereinsetzung bei Ausfall von beA bei Fristablauf an. Die BRAK müsse Auskunft erteilen, welchen Service man erwarten könne. Dr. Lapp wies darauf hin, dass man beim Fax eine Wiedereinsetzung bekommt.

Aus dem Publikum meldete sich ein Rechtsanwalt mit der Frage: Wir sind Anwälte – warum dürfen wir den Vertrag nicht sehen?

Dr. Lapp wies darauf hin, dass wir nicht die Auftraggeber seien. Es gebe zwei Wege: Entweder über das IFG oder die eigene Rechtsanwaltskammer.

Eine weitere Publikumsfrage: „Warum bezahlen wir eigentlich weiter?“

Die BRAK begründet die Erhebung der Umlage mit den weiterhin laufenden Kosten, die für beA auch anfallen, wenn es nicht nutzbar ist.

Dr. Lapp: Wir wollen den Vertrag sehen. Wann ist die Abnahme erfolgt? Welche Service-Level sind vereinbart? Ilona Cosack informierte, dass die Hotline von 8-20 besetzt ist.

Welche rechtlichen Fragen sind zu klären – Vertrag zur Erstellung des beA und Vertrag über den Betrieb des beA

Rechtsanwalt Prof.  Jochen Schneider klärte die Zuhörer über die rechtlichen Fragen auf. Der Vertrag allein genüge nicht, man bräuchte alle Unterlagen. Es müsse zwischen dem Vertrag zur Erstellung des beA und dem Vertrag über den Betrieb des beA unterschieden werden. Welche speziellen Regelungen sind zu Lasten des Auftraggebers enthalten? Welche Mängel, die beide Seiten kennen, gelten als bei der Abnahme vorbehalten? Wurde wirksam abgenommen? Der Auftragnehmer habe auch Pflichten. Wenn er weiß, dass Mängel bei der Abnahme vorhanden sind, muss er darauf hinweisen, ggf. sei Arglist zu prüfen. Abstürze seien ggf. Indizien. Bis zur Abnahme müsse der Auftragnehmer die Fehlerfreiheit beweisen. Der Betrieb sei ein völlig anderer Vertrag. Es komme ggf. nicht darauf an, jetzt müsse ein mangelfreier Zustand vorhanden sein. Die Freigabe habe mit der Abnahme nichts zu tun. Ist ein Chance Request gestellt worden? Diese förmlichen Änderungsverlangen seien durchaus üblich. Man brauche die Protokolle der Abnahme. Unter Haftungsaspekten gäbe es eine enge Haftungsbegrenzung, daher sei Atos noch so munter unterwegs. – Wir wissen es nicht – wir sollten es erfahren.

Dr. Auer-Reinsdorff: Es gebe viele Fragezeichen. Betriebsvertrag – mangelfreie Leistung oder Wartungs- und Pflegevertrag – Atos hat ein Update geliefert –  E2E – Mandatsheimnis – Generalschlüssel für mehrere Personen – kriminelles Zusammenwirken – Änderung § 203 Outsourcing – müssen wir die BRAK behandeln wie einen IT-Dienstleister?

Welche Auswirkungen hat die DSVGO ab 25. Mai 2018?

Rechtsanwalt Karsten U. Bartels, L.L.M informierte über die ab 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO). Ein bunter Blumenstrauss von Anforderungen sei zu erfüllen, man sei auf Hilfe von der BRAK angewiesen, könne keine Weisungen erteilen, sei ggf. gemeinsame Verantwortung. In Zusammenhang mit beA sei ein hoher Schutzbedarf – Maßnahmen des Art. 32 DSVGO – Stand der Technik: die am Markt verfügbaren Sicherheitsmaßnahmen bestmöglich umsetzen. Das müsse der Anbieter dokumentieren.

Rechtsanwältin Katrin Kirchert fragte aus dem Publikum nach der ePrivay-Verordnung (eP-VO), wenn Bürger über das beA mit Anwälten kommunizieren. Diese sollte ursprünglich auch im Mai 2018 in Kraft treten. Bartels verwies darauf, dass die ePrivacy-Verordnung jetzt erst 2019 in Kraft treten soll, es bliebe also noch Zeit.

Dr. Lapp verwies darauf, dass besonders sensible Daten im Arbeitsrecht, Familienrecht und Strafrecht geschützt werden müssen und die BRAK die Dokumentationspflichten habe.

Prof. Schneider ergänzte die Diskussion mit dem Hinweis, dass damals die DSGVO noch nicht so bekannt war.  Wie halte ich es mit dem Datenschutz, mit der Datensicherheit? Atos macht den Betrieb für die Kammer. Atos hat wieder Subunternehmer. Die DSGVO hat spezielle Regelungen bei Subunternehmern, kritisch, wenn diese nicht im EU-Land ansässig sind. Er erheiterte die Zuhörer mit einer Anekdote:

Früher gab es bei Landkarten weiße Flecken, die nicht vermessen wurden,
dies wurden damit begründet: „Hic sunt leones – Hier gibt es Löwen“
Auch beim Anwaltspostfach beA gibt es noch jede Menge Löwen…

Dr. Lapp wies darauf hin, dass ab 25. Mai 2018 mit der DSGVO ein großer Vorteil sei, dass der Auftragsverarbeiter dem Datenschutz unterliege, so dass Atos und jeder Subunternehmer  Auskunft geben müsse und sich auch die Datenschutzbehörden dafür interessieren. Da Atos aus Frankreich stammt, könnte man auch die französischen Behörden dafür interessieren.

Gute Nachrichten, EGVP-Client, beSt und De-Mail

Dr. Auer-Reinsdorff: Es gibt auch gute Nachrichten. Alle Gerichte sind über das EGVP jetzt flächendeckend erreichbar.

Ein anwesender Steuerberater fragte nach den Vorteilen der elektronischen Postfachs, auch für die Steuerberater ist ein besonderes elektronisches Steuerberaterpostfach (beSt) im Anmarsch, nach den Informationen der Bundessteuerberaterkammer (BStK) sollen diese ab 1.1.2018 DE-Mail einrichten. Ilona Cosack wußte zu berichten, dass die BStK nach telefonischer Auskunft mit der Entwicklung des beSt noch in den Kinderschuhen stecken.

Dr. Lapp: Der EGVP-Client ist nach der Entscheidung der Bund-Länder-Kommission (BLK) bis zum 31. Mai 2018 verlängert worden. Sollte das beA bis dahin nicht zur Verfügung stehen, könnte die BLK in ihrer nächsten Sitzung eine weitere Verlängerung festlegen. Anwälte, die den Elektronischen Rechtsverkehr nutzen wollen, sollten ihre beA-Karte als Signaturkarte aufwerten und können dann Schriftsätze über das EGVP einreichen. Als Wermutstropfen ist beim EGVP eine Signaturkarte erforderlich. Auch ist die Containersignatur nicht mehr zulässig. Die Gerichte würden antworten und zumindest Gerichtskostenrechnungen senden in Hessen und auch Rheinland-Pfalz, sie sparen dadurch einen zweistelligen Millionenbetrag. Die Sozialgerichte arbeiten komplett elektronisch. Bei der Vertretung einer Kollegin hat Dr. Lapp nur über das beA kommuniziert. Nach Ablauf der Vertretung wurde wieder per Fax kommuniziert, weil die Kollegin das beA noch nicht genutzt hat. Diskutiert wurde auch über die alternative Nutzung von De-Mail: Dr. Lapp wies darauf hin, dass bei De-Mail zwei Mal entschlüsselt wird und beim Fax nicht nur die deutschen, sondern auch die ausländischen Geheimdienste mitlesen.

Von der Telekom war auch ein Mitarbeiter zugegen, der darauf hinwies, dass die Diskussion rückwärtsgewandt sei, man müsse jetzt schauen, was zukünftig passieren wird, wer haftet, es muss permanent weiterentwickelt werden, man solle sich mit dem Vorwärtsgewandten beschäftigen, welche Forderungen können Sie stellen. Bei De-Mail sei immer die Umschlüsselung kritisiert worden – dabei würde es wegen einer Kombination von organisatorischen und technischen Maßnahmen auffallen, wenn hier kriminelle Machenschaften stattfänden. Die De-Mail sei von BSI anerkannt und es habe sich bei De-Mail selbst viel verändert auch im Bereich des Schlüsselaustausches, dieser fände automatisiert statt und sei eine echte Ende-zu-Ende-Verschlüsselung. Sein Tipp, wenn man Gerichte sucht: nicht jedes Gericht habe eine eigene De-Mail-Adresse. Man könne alle am Standort Taucha in Sachen finden: SAFE-ID@egvp.de.mail.

Dr. Lapp meinte, die organisatorischen Maßnahmen von De-Mail könnten für beA übernommen werden.

Markus Drenger riet, bei der Nutzung des EGVP Clients sich einblenden zu lassen, welche Rolle einer Adresse zugeordnet ist und ob es ein Behördenkonto gibt. Jeder kann ein solches Bürgerkonto anlegen. Vor einem Jahr wurde ein Amtsgericht angelegt und Rechtsanwälte hätten dort Schriftsätze eingereicht.

Rechtsanwätin Karoline Helling meldete sich aus dem Zuhörerkreis zu Wort und meinte, mal solle auch Positives mitnehmen und die Kommunikation mit der Interessenvertretung suchen. Auch wenn jeder viel zu tun habe, sollte man zur Kammerversammlung gehen und sich mehr um die eigenen Interessen kümmern. Die Kammern sollten die Interessen der Mitglieder in die BRAK tragen.

Vertrauen in die Digitalisierung

Dr. Auer-Reinsdorff griff die Worte auf: Das sei fast ein Schlußwort. Sie meinte: „Wir haben einen Beirat gefordert, wir als davit wollen da mitwirken, es sollte ein Forum für User geben“. Es werden die Fragen von heute Abend gesammelt und Antworten gesucht, damit wieder Vertrauen in die Digitalisierung hergestellt wird. Als starke Partner stehen der Berliner Anwaltsverein und die davit für die Interessen der Anwaltschaft in der Digitalisierung ein.

 

 

 

 

 

 

Anwaltspostfach beA – BRAK empfiehlt Deaktivierung der alten beA Client Security

Anwaltspostfach beA – BRAK empfiehlt Deaktivierung der alten beA Client Security

Die Newsletter-Redaktion hat eine Nachtschicht eingelegt: Nach dem beAthon am Freitagnachmittag erscheint noch am Freitagabend um 20.30 Uhr ein Sonder-Newsletter der BRAK mit ersten Ergebnissen des Sicherheitsdialogs „beAthon“.

Über zwanzig Anwälte und Experten, darunter Markus Drenger vom Chaos Darmstadt e.V. , tauschten sich intensiv und konstruktiv über die Sicherheitsfragen zum beA aus.

Die BRAK schreibt: „Herr Drenger vertrat im beAthon die Auffassung, dass sich mit diesem Problem (Anm.: Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken) in der bisherigen beA Client Security ein weiteres Sicherheitsrisiko verbinde. Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen.

Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.

Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners.“

Die Firma KANTEQ bietet hierzu Hilfe per Fernwartung an.

Am Vormittag überraschte Atos, die kurzfristig mitgeteilt hatten, dass sie nicht am beAthon teilnehmen, mit einer Pressemeldung, die bei LTO kommentiert wird. Atos beschreibt in der Pressemitteilung seine Sicht:

Zur aktuellen Sicherheitslücke heißt es: „Mittlerweile hat Atos dem Kunden BRAK eine neue Version der beA Client-Anwendung zur Verfügung gestellt.

Diese Version ist wie folgt überarbeitet: Die Client-Anwendung erstellt bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet.
Hierdurch wird der Schutz gegen den
missbräuchlichen Einsatz des Zertifikats massiv erhöht. Die Funktionstüchtigkeit und die Sicherheit der Lösung soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden.

Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen. Die Entscheidung über die erneute Inbetriebnahme des Systems liegt bei der BRAK. Die Rechte an dem Quellcode liegen ebenfalls bei der BRAK beziehungsweise bei den Herstellern der genutzten Standardsoftware-Komponenten. Die identifizierten Sicherheitsprobleme betrafen ausschließlich die lokale Kommunikation zwischen dem Browser und der Client-Anwendung – weder die zentralen Anwendungen noch die Schnittstelle zu Fachanwendungen waren hiervon direkt betroffen.

Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig.“

Auch das Anwaltsblatt hat unmittelbar nach dem beAthon berichtet. Dort heißt es:

„Die anwesenden Experten vom Chaos Computer Club schätzen die von Atos jetzt vorgestellte Lösung als grundsätzlich geeignet ein – „wenn sie ordentlich gemacht ist“. Die BRAK verspricht die Wiederinbetriebnahme des beA von den Ergebnissen externer Gutachter der Firma Secunet abhängig zu machen. Zunächst sollen die Client-Security und die Sicherheitsarchitektur betrachtet werden. Bei positiven Ergebnissen soll das beA mit einer Frist von zwei Wochen wieder genutzt werden.

Tobias Freudenberg von der NJW war als einer von zwei Pressevertretern beim beAthon dabei. Er berichtet, dass klare Spielregeln vorgegeben wurden:

„Der beAthon sollte sich ganz auf die Fragen fokussieren, ob und wie das Postfach in seiner jetzigen Ausgestaltung wieder online gehen kann…“

Fazit:

Der beAthon war der Auftakt für einen Marathon. Es gibt noch viel zu tun, damit beA wieder an den Start gehen kann. Software entwickelt sich weiter. Dazu lädt der EDV-Gerichtstag am Montag, 5. März 2018, von 10.30 bis 15 Uhr zum Symposium nach Berlin ein: beA+ mit bes­se­rer Soft­ware und opti­mier­ter Aus­rich­tung auf den Kanz­lei­all­tag

 

Anwaltspostfach beA – Panel-Diskussion beim Legal Tech & Innovation Forum Frankfurt

Anwaltspostfach beA – Panel-Diskussion beim

Als Sonderevent angekündigt, befasste sich das Legal Tech & Innovation Forum Frankfurt zum Jahresauftakt 2018 mit dem größten IT-Projekt der Anwaltschaft, dem Anwaltspostfach beA.

Twitter und Hashtags durften nicht fehlen. Unter dem Hashtag #legaltechforum wurde fleißig live aus dem Hörsaal der Goethe Universität getwittert.

Die Sponsoren des Abends erfreuten die Anwesenden mit Brezeln und Getränken.

Wer nicht persönlich teilnehmen konnte und damit auch das Networking vor und nach der Veranstaltung verpasste, konnte per Live-Stream die Diskussion mitverfolgen.

Darüber hinaus sorgten die Organisatoren Michael Grupp (Lexalgo), Tamay Schimang (streamlaw) und Dr. Bernhard Fiedler (Norton Rose Fulbright) für einen zeitgemäßen Chat,  der  im Rahmen der Schlußdiskussion mit den Diskutanten des Abends abgearbeitet wurde.

Rechtsanwalt Markus Hartung, (2. von links), Direktor des Bucerius Center on the Legal Profession und profunder Kenner der Legal Tech Szene, moderierte pointiert den Abend mit den Experten:

Markus Drenger, Chaos Darmstadt e.V. (außen links)

Rechtsanwalt Dr. Marcus Mollnau, Präsident der Rechtsanwaltskammer Berlin (außen rechts)

Rechtsanwalt Dr. Christian Bauer, Norton Rose Fulbright, als Anwender und stellvertretend für die Großkanzleien (Mitte)

Nicolas Bös, CTO bei Nolte & Lauth, ehemals Product Manager bei Atos Worldline (2. von rechts)

Markus Drenger, Chaos Darmstadt e.V.

wurde mit Applaus begrüßt. Er erklärte, dass befreundete Anwälte ihn gebeten hatten, mal zu schauen, was man mit dem beA machen kann. Das war im September 2017. Er hätte sich mit Freunden dann die Software mal in seiner Freizeit an ein paar Abenden angeschaut. Aus Zeitmangel sei das dann ins Stocken geraten, so dass die Fehler erst im Dezember 2017 entdeckt wurden.

Anstelle seinen Überlegungen freien Lauf zu lassen, hätte er zuerst die BRAK, dann das BSI, T-Systems/Telesec und Apache Deltaspike informiert. Die BRAK hätte nicht reagiert, so dass das Zertifikat bestimmungsgemäß von T-Systems/Telesec gesperrt wurde. Die weitere Entwicklung ist bekannt. Seit dem 23. Dezember 2017 ist beA offline.

Rechtsanwalt Dr. Marcus Mollnau, Präsident der Rechtsanwaltskammer Berlin

Markus Hartung, auch Rechtsanwalt in Berlin, dankte „seinem“ Präsidenten, dass er sich im Gegensatz zur BRAK der Diskussion stellt. Die RAK Berlin sei auch vorbildlich in der Kommunikation und veröffentliche auf ihrer Homepage die wesentlichen Inhalte ihrer Vorstandsprotokolle, Jahresberichte und Stellungnahmen. Mollnau erläutere auf Nachfrage von Markus Hartung die Vergabe des Auftrages an Atos. Es gebe eine Geheimhaltungsklausel, der Antrag der RAK Berlin auf Offenlegung wurde abgelehnt. Er könne jedoch sagen, dass ein Vergabeverfahren für die Ausschreibung erfolgt sei, etwa 25 Softwareanbieter wurden eingeladen. Jedoch nur 5 oder 6 hätten ein Angebot abgegeben. „Die BRAK hat sich beraten lassen, vorher und danach.“ Unter Beratung von Capgemini sei dann Atos als Dienstleister ausgesucht worden.   Die regionalen Kammern würden in die Entscheidungen nicht eingebunden, es habe zur beA-Abschaltung keine Telefonkonferenz gegeben. Jetzt sei wichtig, die sichere Kommunikation und das beA nicht zu verteufeln, in die Debatte müsse Ruhe einkehren. Es müsse eine eindeutige und klare Fehleranalyse erfolgen. Die Berliner Kammer vertraue den Ausführungen von Atos nicht mehr. Eine intensive Prüfung müsse erfolgen, vorher dürfe beA nicht online gehen. Nach Durchführung des beAthon und Vorlage des Gutachtens der secunet Security Networks AG werde die Hauptversammlung der BRAK darüber entscheiden, ob das beA im April oder Mai wieder online gehen könne oder nicht reparabel sei.

Rechtsanwalt Dr. Christian Bauer, Norton Rose Fulbright

betreut Unternehmen und Syndikusanwälte auch bei der Risikoanalyse und Umsetzungskonzepten zum beA. Dort sei es eine enorme Herausforderung, das beA in die IT-Landschaft von Unternehmen zu implementieren. Er fragte, warum es keine App-Lösung auf Tablets gebe. Das BMJ müsse Rechtssicherheit schaffen. Welche Pflichten und Risiken sind zu beachten? Der Nutzer müsse ernst genommen werden. Er berichtete aus seiner Kanzlei mit 150 Berufsträgern, dass Botschafter ausgewählt wurden, die das beA als Vorreiter genutzt haben und dann ein eigenes Schulungskonzept erstellt wurde. Auch wurden die Arbeitsverträge angepasst, um ausscheidende Anwälte in die Pflicht zu nehmen.

Nicolas Bös, CTO bei Nolte & Lauth, ehemals Product Manager bei Atos Worldline

stellte die Arbeitsweise bei IT-Großprojekten dar. Sein Vergleich mit dem Berliner Flughafen BER: 2012 waren es nur die Rauchmelder, jetzt wäre es am besten, man würde BER abreißen. Software sei nie perfekt. Beim beA seien es wahrscheinlich nicht nur die Rauchmelder. Man solle sich jetzt auf das Minimalprojekt konzentrieren. Er wünschte den Anwälten Gelassenheit und Ruhe, das durchzustehen. Mit frohem Mut und einer positiven Grundstimmung würde es viel besser klappen.

Moderator Markus Hartung wies zum Schluss noch darauf hin, dass es für den Waldbestand wahrscheinlich ganz gut sei, dass beA derzeit offline sei. Denn die Gerichte wären zum großen Teil noch nicht in der Lage, elektronisch eingehende Schriftsätze auch elektronisch weiterzuleiten. Da erst 2026 bei Gericht eine digitale Aktenführung erfolgen soll, wird als Folge der Papierakte alles ausgedruckt.

Dazu hat das Anwaltsblatt am 24. Januar 2018 einen Ortsbesuch beim OLG Celle durchgeführt. Mit 9.000 Seiten pro Tag rechnet das OLG Celle, 200 Millionen Blatt Papier im Jahr werden allein für das Land Niedersachsen benötigt. Aber die Drucker seien nicht gekauft, sondern lediglich für ein paar Jahre gemietet. Die Mitarbeiter sollen sich Schritt für Schritt an die Umstellung gewöhnen. Der Autor des Artikels, Henning Zander, freier Journalist in Hannover schreibt: „Selbst wenn das beA funktionieren würde, ist es derzeit im Grunde immer noch einfacher, dem Gericht ein Fax zu schicken. Denn beim beA machen die Nutzer immer noch viele Fehler. Sind die notwendigen Daten nicht vollständig, hat das Gericht ein Problem, das Schreiben richtig zuzuordnen. Das müssen dann die Wachtmeister machen, und die Nachricht zum richtigen Richter bringen. Wie in den guten alten Zeiten.“

 

Anwaltspostfach beA – Bestandsaufnahme und Ausblick

Anwaltspostfach beA – Bestandsaufnahme und Ausblick

Ein Bericht von Rechtsanwältin Katrin Kirchert, L.L.M

Rechtsanwältin Katrin Kirchert, L.L.M

DAV-Veranstaltung in Berlin

Auf den Tag genau einen Monat, nachdem die BRAK die beA-Webanwendung wegen massiver Probleme vom Netz nehmen musste, trafen sich am 22. Januar 2018 zahlreiche Anwältinnen und Anwälte, IT-Experten und weitere Interessierte bei einer Veranstaltung des DAV in Berlin, um über die Zukunft des beA zu diskutieren.

Bei seiner Begrüßung war Rechtsanwalt und Notar Ulrich Schellenberg, der Präsident des Deutschen AnwaltVereins, sehr offen und ehrlich: Er sagte, dass er auch nicht wisse, wie es mit dem beA weitergeht, aber er hoffe, dass dies am Ende der Veranstaltung anders sein wird. Da der DAV aufgrund der zahlreichen Anmeldungen bereits kurz nach Bekanntgabe der Veranstaltung eine Warteliste eröffnen und Absagen verschicken musste, wurden die Vorträge sowie die anschließende Podiumsdiskussion via Livestream übertragen. Im Schnitt gab es etwa 500 Zugriffe pro Stunde, so dass diese erstmalige Live-Übertragung einer DAV-Veranstaltung wohl sicher nicht die letzte bleiben wird. Und möglicherweise haben auch Vertreter der BRAK diese Möglichkeit genutzt, denn die BRAK hatte eine Teilnahme an der Veranstaltung abgelehnt und lediglich auf die Pressemitteilungen der vergangenen Wochen verwiesen.


Markus Drenger berichtet über seine Entdeckungen

Herr Schellenberg dankte Markus Drenger vom Chaos Darmstadt e.V. ausdrücklich für die Aufdeckung der diversen Schwachstellen des beA und für seine Bereitschaft, bei dieser und zahlreichen anderen Veranstaltungen über die technischen Hintergründe zu referieren. Seit Bekanntwerden dieser Schwachstellen seien eine Vielzahl von Anrufen, Mails und Briefen beim DAV und der BRAK eingegangen. Zudem gab es ein erhebliches Medienecho, bei dem der Begriff „Postfach-Pleite“ noch eine der netteren Formulierungen war.

Als erster Referent erläuterte Drenger dann zunächst die technische Architektur des beA und stellte anschließend seine Funde vor. Bei den von ihm entdeckten Schwachstellen handle es sich vor allem um erhebliche Sicherheitslücken im Webserver und die potentiell angreifbare Clientsoftware, die die Sicherheit des Anwalts-PC gefährden, sowie die unvollkommene Umsetzung der durch den Gesetzgeber und das Bundesverfassungsgericht gesetzten Vorgaben, z. B. die fehlende Ende-zu-Ende-Verschlüsselung.

Er wies explizit darauf hin, dass dies höchstwahrscheinlich nicht alle Probleme sind, an denen das System krankt. Da ihm jedoch die Einsicht in den Quellcode und in die Vereinbarungen der BRAK mit Atos (Verträge, Lasten- und Pflichtenhefte, Mängel- und Fehlerlisten etc.) trotz einer Anfrage nach dem IFG verweigert wurde, konnte er keine weitergehende Prüfung oder gar ein Audit durchführen.

Zum Ende seines Vortrags sprach Markus Drenger zwei grundsätzliche Empfehlungen aus:

Seine Empfehlung an die BRAK und die Anwaltschaft lautete, das gesamte System vor einem Neustart einem gründlichen Testverfahren zu unterziehen, um sicherzugehen, dass alle Sicherheitslücken geschlossen wurden.

beA-Client-Security aus dem Autostart entfernen

Seine Empfehlung an die einzelnen Betroffenen lautete, die beA-Client-Security-Software nicht mehr zu verwenden und den entsprechenden Eintrag aus dem Autostart-Menü des Anwalts-PCs zu entfernen, bis ein umfassendes Sicherheits-Update zur Verfügung gestellt wird.

Das am 22. Dezember 2017 von der BRAK veröffentlichte root-Zertifikat stellt nach Meinung von Herrn Drenger einen „sicherheitstechnischen Alptraum“ dar und sollte daher sofort deinstalliert werden, falls noch nicht geschehen.


Martin Schafhausen beleuchtet die rechtliche Seite

Im Anschluss an den gelungenen Überblick über die technischen Aspekte folgte ein Beitrag von Rechtsanwalt Martin Schafhausen aus Frankfurt am Main, Vorsitzender des Ausschusses Elektronischer Rechtsverkehr des DAV, über anwaltliche Pflichten und mögliche Haftungsrisiken rund um das beA.

Zu den seit Anfang des Jahres bestehenden Pflichten eines jeden Mitglieds der Anwaltschaft gehört nach § 31a Abs. 6 BRAO die Sicherstellung der Empfangsbereitschaft durch das Bereithalten der beA-Karte und eines geeigneten Lesegeräts. Herr Schafhausen betonte aber, dass diese Pflicht nicht dazu führt, eine Gefährdung der eigenen EDV-Infrastruktur dulden zu müssen. Eine Verpflichtung zur Abholung von Nachrichten aus dem beA gebe es daher seit dem 22. Dezember 2017 nicht mehr. Sollten sich nun rechtliche Nachteile durch Fristabläufe o. ä. ergeben, dürfte dies über eine Wiedereinsetzung in den vorigen Stand zu heilen sein. Eine Verpflichtung zur vorübergehenden Einrichtung eines benutzerauthentifizierten De-Mail-Kontos entsprechend § 130a Abs. 4 Nr. 1 ZPO als „Ersatz“ für das beA schloss Herr Schafhausen unter Verweis auf die Gesetzesbegründung der Norm aus.

beA- und EGVP-Newsletter abonnieren

Um über die weitere Entwicklung in Sachen beA und den neuen Starttermin informiert zu bleiben, empfahl er den Betroffenen dringend, den beA-Newsletter der BRAK und den EGVP-Newsletter zu abonnieren, auch wenn dazu bisher keine gesetzliche Verpflichtung bestehe.


Podiumsdiskussion

Nach einer kurzen Pause, die für weitere Fragen an die Referenten und für angeregte Gespräche unter den Teilnehmenden genutzt wurde, ging es dann mit einer Diskussionsrunde weiter. Auf dem Podium saßen neben Markus Drenger und Martin Schafhausen Rechtsanwältin Nina Diercks aus Hamburg, Rechtsanwalt Prof. Dr. Peter Bräutigam aus München und Ralph Vonderstein aus Köln.

Nina Diercks, die neben ihrer Tätigkeit als Rechtsanwältin auch anerkannte Sachverständige für IT-Produkte beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ist, legte bei ihrem Eingangsstatement ihr Augenmerk auf die Frage, ob die BRAK von den Sicherheitslücken wusste: Falls ja, weshalb gab es keine frühzeitige Information der Betroffenen? Falls nein, warum nicht? Die BRAK als Auftraggeberin hätte die Arbeit des Hersteller Atos doch vor einer Abnahme umfassend prüfen müssen, spätestens hierbei müssten diese Probleme aufgefallen sein. Auf einen entsprechenden Brief, den sie am 7. Januar 2018 an die BRAK geschickt hat, gab es bislang keinerlei Antwort. Ihrer Kenntnis nach haben Entwickler von Atos bereits vor Jahren Sicherheitslücken an ihren Arbeitsgeber gemeldet, konnten dies jedoch wegen NDAs und dem Risiko der persönlichen Haftung bisher nicht öffentlich machen.

Peter Bräutigam, Schatzmeister des geschäftsführenden Ausschusses der Arbeitsgemeinschaft IT-Recht im DAV, wies in seinem Statement als erstes darauf hin, dass alle Betroffenen „in einem Boot sitzen“ und alle zusammen nun „die Kuh vom Eis bekommen müssen“.

Er bot der BRAK sodann konkrete Hilfe an: Die Arbeitsgemeinschaft entsende gern Kollegen und Kolleginnen als Sachverständige, die die BRAK im Rahmen eines unabhängigen Fachbeirates bei der Prüfung der beA-Software und der dazugehörigen Verträge und Absprachen unterstützen. Voraussetzung hierfür sei aber Transparenz und Offenheit seitens der BRAK. Auch die öffentliche Vermischung von Fehlerkultur und Pressearbeit müsse aufhören.

Als dritter Redner brachte Ralph Vonderstein, Leiter des Geschäftsbereichs Legal Software bei Wolters Kluwer, den bislang vernachlässigten Aspekt des Datenschutzes ein. Viele Anwältinnen und Anwälte würden sich bisher kaum Gedanken über Dinge wie das regelmäßige Installieren von Sicherheits-Updates und die Risiken unverschlüsselter Kommunikation machen. Ihm zufolge seien daher Cloud-Lösungen wesentlich sicherer als die EDV-Strukturen in den meisten Kanzleien.

Vonderstein wies in seinem Statement außerdem darauf hin, dass sich zumindest die Sicherheitsprobleme bei der Web-Anwendung durch den Einsatz einer Kanzleisoftware mit integrierter beA-Schnittstelle lösen lassen. Auf Nachfrage von Frau Diercks und des Publikums stellte er klar, dass es auch eine Stand-Alone-Lösung für Windows und MacOS geben wird, die unabhängig von einer Kanzleisoftware genutzt werden kann.

 Martin Schafhausen griff das Problem der unverschlüsselten Kommunikation wenig später noch einmal auf. Es schicke kein Anwalt Postkarten an seine Mandanten, warum dann also unverschlüsselte Mails? Die anwaltliche Verschwiegenheitsverpflichtung muss sich auch im elektronischen Rechtsverkehr fortsetzen, daher sei eine verschlüsselte Kommunikation mit den Mandanten unbedingt notwendig.

Bei dieser Gelegenheit kritisierte Markus Drenger, dass in Deutschland statt einer skalierbaren Gesamtlösung zur Sicherstellung der vertraulichen Kommunikation für alle beteiligten Gruppen immer wieder Nischenanwendungen bzw. Insellösungen für einzelne Berufsgruppen und Behörden geschaffen wurden, die untereinander nicht oder nur wenig kompatibel seien.

Peter Bräutigam ergänzte diesen Punkt, indem er darauf hinwies, dass die Kommunikation früher per Telefon, Telefax und Brief auch ohne eigene exklusive Infrastruktur funktioniert hat und sie damit durch ihre Dezentralität bei weitem nicht so fehleranfällig war wie das beA. Nina Diercks betonte noch einmal, dass beim HSM-Modul des beA alle Nachrichten zentral zusammenlaufen und sie daher die Vereinbarkeit des beA mit Datenschutz- und IT-Sicherheitsstandards für sehr zweifelhaft hält.


beAthon als nächster Schritt

Ob das jetzige beA irreparabel ist, müssten unabhängige Tester ergebnisoffen herausfinden. Eine gute Gelegenheit hierfür wäre eigentlich der beAthon am 26. Januar 2018, jedoch sei dieser Termin wohl eher als Pressevorführung der neuen Version und nicht für die Überprüfung der Software geplant worden. Und selbst wenn der beAthon als Gelegenheit zum Testen genutzt wird, sei ein einziger Nachmittag in keinem Fall ausreichend, um das beA „zum Laufen zu bringen“. Es seien verschiedene Testverfahren nötig, wie zum Beispiel ein Test unter Volllast (Stresstest) und ein sogenannter White-Box-Test, bevor das beA wieder in Betrieb genommen werden könne.


Kernforderungen der Anwaltschaft

Im weiteren Verlauf der Diskussion kristallisierten sich einige Kernforderungen der Anwaltschaft an die BRAK heraus: Transparenz und offene Kommunikation seitens der BRAK und ihrer Dienstleister, die dauerhafte Unterstützung der BRAK durch einen technisch versierten und unabhängigen Fachbeirat, eine regelmäßige unabhängige Begutachtung des beA in der Zukunft (und über einen einzelnen beAthon hinaus), ein verbessertes Projektmanagement und eine echte Ende-zu-Ende-Verschlüsselung.

Ministerialdirektorin Marie Louise Graf-Schlicker, Leiterin der Abteilung Rechtspflege im BMJV, die im Publikum anwesend war, sprach sich ebenfalls dafür aus, schnell zu ermitteln, was nun notwendig ist, damit das beA unter den gesetzlichen Voraussetzungen zügig an den Start gehen kann, welche Fehler vorliegen und wie diese beseitigt werden können.

Weitere Wünsche der Diskussionsteilnehmer waren die Einrichtung eines Kanzleipostfachs, einer automatischen Abwesenheitsanzeige bereits beim Eingeben einer Mailadresse und die Möglichkeit der übergreifenden Authentifizierung in allen EGVP-Anwendungen, um den Nachteil der bereits angesprochenen Insellösungen etwas auszugleichen.

Beim dann folgenden Schlusswort fasste DAV-Präsident Schellenberg die gewonnenen Erkenntnisse wie folgt zusammen: „Es gibt viel zu tun, packen wir es an!“. Er wies außerdem noch einmal darauf hin, dass Markus Drenger für den beA und die Anwaltschaft gearbeitet hat und keinesfalls dagegen (wie ihm Ende letzten Jahres auch durch die BRAK mehrfach vorgeworfen wurde).

Ulrich Schellenberg dankte Herrn Drenger zusammen mit allen Anwesenden deshalb noch einmal ganz herzlich für seine ehrenamtlichen Tätigkeiten und stellte abschließend fest, dass ab jetzt eine Kultur der offenen Kommunikation nötig sei, von der es keinen Weg mehr zurück gebe.

Moderiert wurde der äußerst informative Nachmittag von Rechtsanwalt Dr. Nicolas Lührig, der Leiter der Redaktion des Anwaltsblatts ist. Den dort erschienen Artikel zur Veranstaltung finden Sie hier.

 

 

Anwaltspostfach beA – Zeitplan für die Wiederinbetriebnahme

Anwaltspostfach beA – Zeitplan für die Wiederinbetriebnahme

Presseerklärung der BRAK

Nach der Präsidentensitzung am 18. Januar 2018 gab die BRAK direkt eine Presseerklärung heraus.

Das beA soll möglichst schnell wieder zur Verfügung gestellt werden. Wichtig sei jedoch, dass alle relevanten Fragen zur Sicherheit des Systems zweifelsfrei geklärt sind. Dazu wird die BRAK die vom BSI empfohlene Gesellschaft secunet Security Networks AG mit der Erstellung eines Sicherheitsgutachtens beauftragen. Dieses soll sich insbesondere auf die Frage fokussieren, ob es weiterhin mögliche Sicherheitsrisiken in der Verbindung zwischen Browser und Client Security des beA-Systems gibt.

Weiterhin soll gemeinsam mit externen Entwicklern und Kritikern der Lösungsvorschlag in einem sogenannten beAhton diskutiert werden. Danach wird die BRAK über weitere Schritte bis zur Inbetriebnahme des beA entscheiden. Erst dann kann die BRAK einen Termin nennen, zu dem das beA wieder starten soll.

Information der Hanseatischen Rechtsanwaltskammer

Der Präsident der Hanseatischen Rechtsanwaltskammer Hamburg, Otmar Kury, hat unmittelbar im Anschluß an die Präsidentensitzung eine deutlich umfangreichere Information herausgegeben mit dem Hinweis, dass der diese Informationen technisch weder überprüfen noch kommentieren könne.

Wichtig daraus erscheint der Hinweis, dass kein Nutzer im normalen Betrieb des HSM Zugriff auf die Schlüssel hat. Es sei sichergestellt, dass kein Anwender im Falle eines Angriffs auf das HSM (etwa das gewaltsame Öffnen und den Versuch des Auslesens des Speichers) Zugriff auf das Klartext-Schlüsselmaterial erhalten kann. Zu den Details fügt Herr Kury die Präsentation des Dienstleisters Atos zur Ende-zu-Ende-Verschlüsselung im beA vom 8. Juli 2015 bei.

Am 26. Januar 2018 soll der beAthon stattfinden. Wegen der zwischen dem 1. und 15. Dezember 2017 aufgetretenen Kapazitätsproblemen, die an fünf Tagen zu einer Nicht-Erreichbarkeit des Systems zwischen 30 Minuten und 2 1/2 Stunden führten, hat Atos Konfigurationsanpassungen vorgenommen und mehr Systemressourcen zur Verfügung gestellt. Weitere Informationen wird die Hanseatische Rechtsanwaltskammer zu Beginn nächster Woche übermitteln.

Informationsveranstaltungen zum Anwaltspostfach beA

Am Montag, 22. Januar 2018, wird der DAV in Berlin und im Rahmen eines Live-Streams ab 14 Uhr über „beA – Wie geht es weiter?“ diskutieren. Frau Rechtsanwältin Katrin Kirchert, die auch im Datenschutzrecht berät, wird für ABC ANWALT in Berlin dabei sein und im Anschluß berichten.

Am Donnerstag, 25. Januar 2018, findet in Frankfurt ab 19.30 Uhr an der Goethe Universität eine Panel-Diskussion zum beA statt. Auch hier wird es einen Live-Stream geben und ich werde selbst vor Ort sein und berichten.

Am Donnerstag, 1. Februar 2018, findet in Berlin ab 18 Uhr im bbw-Haus, Am Schillertheater 2 eine Veranstaltung der Berliner Anwaltsvereins gemeinsam mit der Arbeitsgemeinschaft IT-Recht im DAV (davit), statt. Auch hier bin ich vor Ort und werde berichten.

Die gute Nachricht zum Schluß:

Das Anwaltsblatt berichtet, dass der EGVP-Client, den viele Kanzleien noch für das Mahnverfahren nutzen, bis 31. Mai 2018 verlängert wird. So bleibt genügend Zeit, um den Neustart des beA zu überbrücken. Allerdings muss die Arbeitsweise geändert werden, da zum 1.1.10218 wichtige Neuerungen gelten.

Wichtig ist, die zum 1. Januar 2018 in Kraft getretene Bekanntmachung zu § 5 der ERVB zu beachten:

1. Zulässige Dateiversionen gem. § 5 Abs. 1 Nr. 1 der ERVV sind bis mindestens 31. Dezember 2020:
a. PDF einschließlich PDF 2.0, PDF/A-1, PDF/A-2, PFD/UA und
b. TIFF Version 6
2. gemäß § 5 Abs. 1 Nr. 3 der ERVV wird bis mindestens 31. Dezember 2018
a. die Anzahl elektronischer Dokumente in einer Nachricht auf höchstens 100 Dateien begrenzt und
b. das Volumen elektronischer Dokumente in einer Nachricht auf höchstens 60 Megabyte begrenzt;
3. zulässige pysische Datenträger gemäß § 5 Abs. 1 Nr. 4 der ERVV sind bis mindestens 31. Dezember 2020
a. DVD und
b. CD
4. qualifizierte elektronische Signaturen sind gemäß § 5 Abs. 1 Nr. 5 der ERVV bis mindestens 31. Dezember 2020 nach folgenden Vorgaben anzubringen:
1. Nach dem Standard CMS Advanced Electronic Signatures (CAdES) als angefügte Signatur („detached signature“),

Zu beachten ist, dass die sogenannte Container-Signatur seit 1.1.2018 nicht mehr zulässig ist. Dr. Henning Müller, Autor des eJustice-Praxishandbuches, hat in seinem Blog die Erforderlichkeiten der Signatur beschrieben. Danach ist es im EGVP-Client erforderlich, mit einem externen Signaturprogramm, z.B. SecSigner von SecCommerce, die qeS anzubringen. Darüberhinaus soll der Dateiname den Inhalt des elektronischen Dokuments schlagwortartig umschreiben und bei der Übermittlung mehrerer elektronischer Dokumente eine logische Nummerierung enthalten (§ 2 (2) ERVV). Das Justizportal NRW hat hierzu Beispiele veröffentlicht. Das eJustice-Portal Baden-Württemberg stellt die Erfordernisse anhand einer Grafik dar.

Alternativen zum EGVP-Client und für das Schutzschriftenregister haben wir hier im Blog beschrieben.

Nutzen Sie die unerwartete Fristverlängerung, um jetzt die Weichen für eine Digitalisierung Ihrer Kanzlei zu stellen.  Die Tage bis zur aktiven Teilnahme am Elektronischen Rechtsverkehr sind gezählt.

Anwaltspostfach beA – So geht es weiter

Anwaltspostfach beA – So geht es weiter

Nach einer Sondersitzung der BRAK mit den Präsidenten der regionalen Rechtsanwaltskammern am 9. Januar 2018, die bis in die Abendstunden andauerte, informierte die BRAK, dass

  • am 18. Januar die Hauptversammlung entscheiden soll, welche unabhängigen Experten die Sicherheit des beA überprüfen sollen, bevor es wieder ans Netz geht.
  • nächste Woche Atos ein Update der Software liefern wird.
  • am 10. Januar das Bundesweite Rechtsanwaltsverzeichnis (BRAV) ebenso wie das europäische Verzeichnis „Find a Lawyer“ wieder zur Verfügung stehen sollen.
  • auch Bestellungen von beA-Karten über das Portal der BNotK dann wieder möglich sein sollen.

Der DAV fordert in seiner Pressemitteilung 2/18 vom 9. Januar 2018 um 07.30 Uhr:

  • eine grundlegende und von der BRAK unabhängige technische Überprüfung der beA-Plattform und die Beseitigung aller technischen Sicherheitsrisiken.
  • die BRAK müsse über die Ergebnisse der unabhängigen Überprüfung vollständig berichten.
  • Erst wenn das Ergebnis der technischen Überprüfung vorliegt, kann die Anwaltschaft entscheiden, ob die derzeitige beA-Plattform reparabel ist oder
    ob – was keiner will – die notwendige digitale Kommunikation der Anwaltschaft vom Grund auf neu konzipiert werden muss.

Joachim Jahn @JoachimJahn twitterte für die NJW-aktuell exklusiv:

und verfasste dann seinen Bericht mit der Überschrift: BRAK hat Zahlungen an beA-Dienstleister eingestellt

Pia Lorenz @pia_lorenz, Chefredakteurin der Legal Tribune Online LTO @lto_de, twitterte:

und informierte dann noch spätabends umfassend mit dem Hinweis: BRAK-Präsidentenkonferenz zum Anwaltspostfach: „Die Entwicklung des beA war erforderlich“

Diese Aussage bezieht sich auf die Kritik daran, dass die BRAK beim Anwaltspostfach das Rad neu habe erfinden wollen, statt auf bestehende Systeme aufzusetzen.

Hierzu erklärte der BRAK-Präsident, Ekkehart Schäfer, dass „aufgrund der gesetzlichen Vorgaben zur Förderung des elektronischen Rechtsverkehrs standardisierte EGVP-Lösungen nicht ausreichen und die Entwicklung des beA erforderlich war“.

Auf der Seite der BRAK, sowohl für Journalisten als auch auf der allgemeinen Informationsseite für das beA, ist bislang noch nichts über den Verlauf und das Ergebnis der Sondersitzung zu lesen.

Wir informieren Sie, sobald das geschieht. Ein neuer beA-Newsletter wird dann sicher schnell veröffentlicht.

Update 10.01.2018: beA-Newsletter 2/2018 und Pressemitteilung 1/2018 mit Fahrplan zur Wiederinbetriebnahme des beA