Anwaltspostfach beA – Bestandsaufnahme und Ausblick

Ein Bericht von Rechtsanwältin Katrin Kirchert, L.L.M

DAV-Veranstaltung in Berlin

Auf den Tag genau einen Monat, nachdem die BRAK die beA-Webanwendung wegen massiver Probleme vom Netz nehmen musste, trafen sich am 22. Januar 2018 zahlreiche Anwältinnen und Anwälte, IT-Experten und weitere Interessierte bei einer Veranstaltung des DAV in Berlin, um über die Zukunft des beA zu diskutieren.

Bei seiner Begrüßung war Rechtsanwalt und Notar Ulrich Schellenberg, der Präsident des Deutschen AnwaltVereins, sehr offen und ehrlich: Er sagte, dass er auch nicht wisse, wie es mit dem beA weitergeht, aber er hoffe, dass dies am Ende der Veranstaltung anders sein wird. Da der DAV aufgrund der zahlreichen Anmeldungen bereits kurz nach Bekanntgabe der Veranstaltung eine Warteliste eröffnen und Absagen verschicken musste, wurden die Vorträge sowie die anschließende Podiumsdiskussion via Livestream übertragen. Im Schnitt gab es etwa 500 Zugriffe pro Stunde, so dass diese erstmalige Live-Übertragung einer DAV-Veranstaltung wohl sicher nicht die letzte bleiben wird. Und möglicherweise haben auch Vertreter der BRAK diese Möglichkeit genutzt, denn die BRAK hatte eine Teilnahme an der Veranstaltung abgelehnt und lediglich auf die Pressemitteilungen der vergangenen Wochen verwiesen.

Markus Drenger berichtet über seine Entdeckungen

Herr Schellenberg dankte Markus Drenger vom Chaos Darmstadt e.V. ausdrücklich für die Aufdeckung der diversen Schwachstellen des beA und für seine Bereitschaft, bei dieser und zahlreichen anderen Veranstaltungen über die technischen Hintergründe zu referieren. Seit Bekanntwerden dieser Schwachstellen seien eine Vielzahl von Anrufen, Mails und Briefen beim DAV und der BRAK eingegangen. Zudem gab es ein erhebliches Medienecho, bei dem der Begriff „Postfach-Pleite“ noch eine der netteren Formulierungen war.

Als erster Referent erläuterte Drenger dann zunächst die technische Architektur des beA und stellte anschließend seine Funde vor. Bei den von ihm entdeckten Schwachstellen handle es sich vor allem um erhebliche Sicherheitslücken im Webserver und die potentiell angreifbare Clientsoftware, die die Sicherheit des Anwalts-PC gefährden, sowie die unvollkommene Umsetzung der durch den Gesetzgeber und das Bundesverfassungsgericht gesetzten Vorgaben, z. B. die fehlende Ende-zu-Ende-Verschlüsselung.

Er wies explizit darauf hin, dass dies höchstwahrscheinlich nicht alle Probleme sind, an denen das System krankt. Da ihm jedoch die Einsicht in den Quellcode und in die Vereinbarungen der BRAK mit Atos (Verträge, Lasten- und Pflichtenhefte, Mängel- und Fehlerlisten etc.) trotz einer Anfrage nach dem IFG verweigert wurde, konnte er keine weitergehende Prüfung oder gar ein Audit durchführen.

Zum Ende seines Vortrags sprach Markus Drenger zwei grundsätzliche Empfehlungen aus:

Seine Empfehlung an die BRAK und die Anwaltschaft lautete, das gesamte System vor einem Neustart einem gründlichen Testverfahren zu unterziehen, um sicherzugehen, dass alle Sicherheitslücken geschlossen wurden.

beA-Client-Security aus dem Autostart entfernen

Seine Empfehlung an die einzelnen Betroffenen lautete, die beA-Client-Security-Software nicht mehr zu verwenden und den entsprechenden Eintrag aus dem Autostart-Menü des Anwalts-PCs zu entfernen, bis ein umfassendes Sicherheits-Update zur Verfügung gestellt wird.

Das am 22. Dezember 2017 von der BRAK veröffentlichte root-Zertifikat stellt nach Meinung von Herrn Drenger einen „sicherheitstechnischen Alptraum“ dar und sollte daher sofort deinstalliert werden, falls noch nicht geschehen.

Martin Schafhausen beleuchtet die rechtliche Seite

Im Anschluss an den gelungenen Überblick über die technischen Aspekte folgte ein Beitrag von Rechtsanwalt Martin Schafhausen aus Frankfurt am Main, Vorsitzender des Ausschusses Elektronischer Rechtsverkehr des DAV, über anwaltliche Pflichten und mögliche Haftungsrisiken rund um das beA.

Zu den seit Anfang des Jahres bestehenden Pflichten eines jeden Mitglieds der Anwaltschaft gehört nach § 31a Abs. 6 BRAO die Sicherstellung der Empfangsbereitschaft durch das Bereithalten der beA-Karte und eines geeigneten Lesegeräts. Herr Schafhausen betonte aber, dass diese Pflicht nicht dazu führt, eine Gefährdung der eigenen EDV-Infrastruktur dulden zu müssen. Eine Verpflichtung zur Abholung von Nachrichten aus dem beA gebe es daher seit dem 22. Dezember 2017 nicht mehr. Sollten sich nun rechtliche Nachteile durch Fristabläufe o. ä. ergeben, dürfte dies über eine Wiedereinsetzung in den vorigen Stand zu heilen sein. Eine Verpflichtung zur vorübergehenden Einrichtung eines benutzerauthentifizierten De-Mail-Kontos entsprechend § 130a Abs. 4 Nr. 1 ZPO als „Ersatz“ für das beA schloss Herr Schafhausen unter Verweis auf die Gesetzesbegründung der Norm aus.

beA- und EGVP-Newsletter abonnieren

Um über die weitere Entwicklung in Sachen beA und den neuen Starttermin informiert zu bleiben, empfahl er den Betroffenen dringend, den beA-Newsletter der BRAK und den EGVP-Newsletter zu abonnieren, auch wenn dazu bisher keine gesetzliche Verpflichtung bestehe.

Podiumsdiskussion

Nach einer kurzen Pause, die für weitere Fragen an die Referenten und für angeregte Gespräche unter den Teilnehmenden genutzt wurde, ging es dann mit einer Diskussionsrunde weiter. Auf dem Podium saßen neben Markus Drenger und Martin Schafhausen Rechtsanwältin Nina Diercks aus Hamburg, Rechtsanwalt Prof. Dr. Peter Bräutigam aus München und Ralph Vonderstein aus Köln.

Nina Diercks, die neben ihrer Tätigkeit als Rechtsanwältin auch anerkannte Sachverständige für IT-Produkte beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ist, legte bei ihrem Eingangsstatement ihr Augenmerk auf die Frage, ob die BRAK von den Sicherheitslücken wusste: Falls ja, weshalb gab es keine frühzeitige Information der Betroffenen? Falls nein, warum nicht? Die BRAK als Auftraggeberin hätte die Arbeit des Hersteller Atos doch vor einer Abnahme umfassend prüfen müssen, spätestens hierbei müssten diese Probleme aufgefallen sein. Auf einen entsprechenden Brief, den sie am 7. Januar 2018 an die BRAK geschickt hat, gab es bislang keinerlei Antwort. Ihrer Kenntnis nach haben Entwickler von Atos bereits vor Jahren Sicherheitslücken an ihren Arbeitsgeber gemeldet, konnten dies jedoch wegen NDAs und dem Risiko der persönlichen Haftung bisher nicht öffentlich machen.

Peter Bräutigam, Schatzmeister des geschäftsführenden Ausschusses der Arbeitsgemeinschaft IT-Recht im DAV, wies in seinem Statement als erstes darauf hin, dass alle Betroffenen „in einem Boot sitzen“ und alle zusammen nun „die Kuh vom Eis bekommen müssen“.

Er bot der BRAK sodann konkrete Hilfe an: Die Arbeitsgemeinschaft entsende gern Kollegen und Kolleginnen als Sachverständige, die die BRAK im Rahmen eines unabhängigen Fachbeirates bei der Prüfung der beA-Software und der dazugehörigen Verträge und Absprachen unterstützen. Voraussetzung hierfür sei aber Transparenz und Offenheit seitens der BRAK. Auch die öffentliche Vermischung von Fehlerkultur und Pressearbeit müsse aufhören.

Als dritter Redner brachte Ralph Vonderstein, Leiter des Geschäftsbereichs Legal Software bei Wolters Kluwer, den bislang vernachlässigten Aspekt des Datenschutzes ein. Viele Anwältinnen und Anwälte würden sich bisher kaum Gedanken über Dinge wie das regelmäßige Installieren von Sicherheits-Updates und die Risiken unverschlüsselter Kommunikation machen. Ihm zufolge seien daher Cloud-Lösungen wesentlich sicherer als die EDV-Strukturen in den meisten Kanzleien.

Vonderstein wies in seinem Statement außerdem darauf hin, dass sich zumindest die Sicherheitsprobleme bei der Web-Anwendung durch den Einsatz einer Kanzleisoftware mit integrierter beA-Schnittstelle lösen lassen. Auf Nachfrage von Frau Diercks und des Publikums stellte er klar, dass es auch eine Stand-Alone-Lösung für Windows und MacOS geben wird, die unabhängig von einer Kanzleisoftware genutzt werden kann.

 Martin Schafhausen griff das Problem der unverschlüsselten Kommunikation wenig später noch einmal auf. Es schicke kein Anwalt Postkarten an seine Mandanten, warum dann also unverschlüsselte Mails? Die anwaltliche Verschwiegenheitsverpflichtung muss sich auch im elektronischen Rechtsverkehr fortsetzen, daher sei eine verschlüsselte Kommunikation mit den Mandanten unbedingt notwendig.

Bei dieser Gelegenheit kritisierte Markus Drenger, dass in Deutschland statt einer skalierbaren Gesamtlösung zur Sicherstellung der vertraulichen Kommunikation für alle beteiligten Gruppen immer wieder Nischenanwendungen bzw. Insellösungen für einzelne Berufsgruppen und Behörden geschaffen wurden, die untereinander nicht oder nur wenig kompatibel seien.

Peter Bräutigam ergänzte diesen Punkt, indem er darauf hinwies, dass die Kommunikation früher per Telefon, Telefax und Brief auch ohne eigene exklusive Infrastruktur funktioniert hat und sie damit durch ihre Dezentralität bei weitem nicht so fehleranfällig war wie das beA. Nina Diercks betonte noch einmal, dass beim HSM-Modul des beA alle Nachrichten zentral zusammenlaufen und sie daher die Vereinbarkeit des beA mit Datenschutz- und IT-Sicherheitsstandards für sehr zweifelhaft hält.

beAthon als nächster Schritt

Ob das jetzige beA irreparabel ist, müssten unabhängige Tester ergebnisoffen herausfinden. Eine gute Gelegenheit hierfür wäre eigentlich der beAthon am 26. Januar 2018, jedoch sei dieser Termin wohl eher als Pressevorführung der neuen Version und nicht für die Überprüfung der Software geplant worden. Und selbst wenn der beAthon als Gelegenheit zum Testen genutzt wird, sei ein einziger Nachmittag in keinem Fall ausreichend, um das beA „zum Laufen zu bringen“. Es seien verschiedene Testverfahren nötig, wie zum Beispiel ein Test unter Volllast (Stresstest) und ein sogenannter White-Box-Test, bevor das beA wieder in Betrieb genommen werden könne.

Kernforderungen der Anwaltschaft

Im weiteren Verlauf der Diskussion kristallisierten sich einige Kernforderungen der Anwaltschaft an die BRAK heraus: Transparenz und offene Kommunikation seitens der BRAK und ihrer Dienstleister, die dauerhafte Unterstützung der BRAK durch einen technisch versierten und unabhängigen Fachbeirat, eine regelmäßige unabhängige Begutachtung des beA in der Zukunft (und über einen einzelnen beAthon hinaus), ein verbessertes Projektmanagement und eine echte Ende-zu-Ende-Verschlüsselung.

Ministerialdirektorin Marie Louise Graf-Schlicker, Leiterin der Abteilung Rechtspflege im BMJV, die im Publikum anwesend war, sprach sich ebenfalls dafür aus, schnell zu ermitteln, was nun notwendig ist, damit das beA unter den gesetzlichen Voraussetzungen zügig an den Start gehen kann, welche Fehler vorliegen und wie diese beseitigt werden können.

Weitere Wünsche der Diskussionsteilnehmer waren die Einrichtung eines Kanzleipostfachs, einer automatischen Abwesenheitsanzeige bereits beim Eingeben einer Mailadresse und die Möglichkeit der übergreifenden Authentifizierung in allen EGVP-Anwendungen, um den Nachteil der bereits angesprochenen Insellösungen etwas auszugleichen.

Beim dann folgenden Schlusswort fasste DAV-Präsident Schellenberg die gewonnenen Erkenntnisse wie folgt zusammen: „Es gibt viel zu tun, packen wir es an!“. Er wies außerdem noch einmal darauf hin, dass Markus Drenger für den beA und die Anwaltschaft gearbeitet hat und keinesfalls dagegen (wie ihm Ende letzten Jahres auch durch die BRAK mehrfach vorgeworfen wurde).

Ulrich Schellenberg dankte Herrn Drenger zusammen mit allen Anwesenden deshalb noch einmal ganz herzlich für seine ehrenamtlichen Tätigkeiten und stellte abschließend fest, dass ab jetzt eine Kultur der offenen Kommunikation nötig sei, von der es keinen Weg mehr zurück gebe.

Moderiert wurde der äußerst informative Nachmittag von Rechtsanwalt Dr. Nicolas Lührig, der Leiter der Redaktion des Anwaltsblatts ist. Den dort erschienen Artikel zur Veranstaltung finden Sie hier.