· Fachbeitrag · Elektronischer Rechtsverkehr
beA ‒ das Ende noch vor dem Anfang?
von RA André Feske, Berlin
| Zum 1.1.18 muss jeder zugelassene Rechtsanwalt oder Syndikusrechtsanwalt das besondere elektronische Anwaltspostfach (beA) zumindest passiv benutzen. In den letzten Wochen und Monaten haben darum zehntausende deutsche Rechtsanwälte in ihren Büros dafür die Voraussetzungen geschaffen, teilweise mit ganz erheblichem Aufwand. Die Büro-EDV musste auf- oder umgerüstet, die Mitarbeiter geschult und für den neuen Posteingangskanal die Büroorganisation geändert werden. War das vergebliche Liebesmüh? |
1. BRAK nimmt beA vom Netz, da Zertifikat abgelaufen ist
Ab dem 1.1.18 hat der Anwalt diese Pflicht:
|
|
Aber:
Zwei Tage vor Weihnachten hat die Betreiberin des Systems das beA wieder vom Netz genommen. In einer kurzen Mitteilung auf der Webseite der BRAK vom 22.12.17 wird als Grund dafür ein „abgelaufenes Zertifikat“ genannt.
Beachten Sie | Das war und ist noch nicht einmal die halbe Wahrheit.
2. Rettungsversuch der BRAK macht alles nur schlimmer
Mit einer 22 Seiten umfassenden Anleitung (PDF) hat die BRAK am Freitag vor Weihnachten (!), alle Anwender zunächst dazu aufgefordert, ein neues Zertifikat herunterzuladen und dieses an jedem beA-Arbeitsplatz im Büro von Hand zu installieren. Schon das war eine Zumutung, aber noch nicht das Ende vom Lied.
Zwei Stunden später war der Link auf dieses Zertifikat schon nicht mehr verfügbar, das PDF geändert. Stattdessen erscheint seitdem bei Aufruf der beA-Startseite nur noch folgende Mitteilung:
|
Lieber Nutzer,
„Es traten vereinzelt Verbindungsprobleme zur beA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu beA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, beA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen.“
Vielen Dank für Ihr Verständnis Ihre Bundesrechtsanwaltskammer |
Beachten Sie | Und auch das ist wohl nicht die Wahrheit.
3. Es liegt ein schwerer Programmierfehler vor
Das beA ist offenbar nur offline, weil die Fa. ATOS als „Softwareschmiede“ der BRAK bei der Programmierung der „Client Security“ gegen die anerkannten Regeln der Technik verstoßen hat. Zur Aufgabe dieser Software teilt die BRAK selbst mit:
„ ... sogenannte Client Security ... Dabei handelt es sich um ein Programm, das direkt auf dem Rechner des jeweiligen Nutzers installiert wird und mit dem jene Funktionen ausgeführt werden, die aus Sicherheitsgründen nicht im Internet stattfinden dürfen: Beispielsweise das Ver- und Entschlüsseln der Nachrichten. Denn das beA sieht eine sogenannte Ende-zu-Ende-Verschlüsselung vor, bei der die Nachrichten bei der Übertragung komplett verschlüsselt bleiben.“
Markus Drenger vom Chaos Computer Club (CCC) hat am 21.12.17 allerdings herausgefunden, dass die Client Security den „privaten Schlüssel“ jedes Anwenders frei zugänglich ins Internet stellt und damit das Zertifikat selbst ungültig macht. Daran hat auch der erste „Rettungsversuch“ der BRAK vom 22.12.17 mit einem neuen „selbstgeschnitzten“ Zertifikat nichts geändert. Einen schwerwiegenden Fehler im System kann man nicht „patchen“.
Das beA ist weiterhin offline. Dabei wird es wohl auch bleiben müssen. Die Installation einer Software, mit der die anwaltliche Verschwiegenheit bei der elektronischen Kommunikation programmbedingt nicht gewahrt werden kann, ist sicher nicht Berufspflicht der Rechtsanwälte. „Technische Einrichtungen“ im Sinne von § 31a BRAO können nur solche sein, mit denen die Säule jeder anwaltlichen Berufsausübung, das Recht und die Pflicht zur Verschwiegenheit gem. § 43a Abs. 2, S. 1 BRAO, nicht zum Einsturz gebracht wird.
FAZIT | Bis die BRAK die von ihr selbst aufgerissene Sicherheitslücke nicht nachweisbar geschlossen hat ‒ und Ursache und Lösung des Problems endlich offen kommuniziert ‒ wird jeder Rechtsanwalt zum Schutz seiner Mandanten gem. § 43a BRAO von der weiteren Verwendung des beA absehen müssen. In meinem Büro ist die „Client Security“ bis auf weiteres deinstalliert. |