In einem Schreiben an alle Anwälte bittet der Präsident der BRAK um Entschuldigung für die Pannen beim beA und die (Nicht-)Kommunikation über Weihnachten. Die offenen Fragen allerdings werden nicht weniger.
"Liebe Kolleginnen und Kollegen, ich will nicht darum herum reden: In den Tagen vor Weihnachten sind Fehler gemacht worden. Wir haben nicht in jedem Moment mit der erforderlichen Vorsicht agiert und uns zu schnell auf einen Lösungsvorschlag unseres technologischen Dienstleisters eingelassen. Vor allem aber haben wir unzureichend und unvollständig Ihnen gegenüber kommuniziert. Das ist mit Blick auf die Feiertage und den Stichtag 1. Januar zwar möglicherweise verständlich, aber dennoch nicht akzeptabel. Darum möchte ich Sie ganz persönlich, aber auch im Namen des Präsidiums der BRAK um Entschuldigung bitten."
Das ist der vorletzte Absatz eines Schreibens des Präsidenten der Bundesrechtsanwaltskammer (BRAK), Ekkehart Schäfer, an die regionalen Kammern. Diese sollen es an die 165.000 Anwälte weiterleiten, die seit drei Tagen verpflichtet sind, das besondere elektronische Anwaltspostfach (beA) passiv zu nutzen. Sie können ihrer Nutzungspflicht nicht nachkommen, weil die verantwortliche BRAK das System am 22. Dezember offline genommen hat, wie es zu dem Zeitpunkt hieß, wegen Wartungsarbeiten zur Behebung vereinzelter Verbindungsprobleme.
Der wahre Grund waren gleich zwei Sicherheitslücken. Eine in der grundlegenden Sicherheitsarchitektur des beA, eine weitere, die durch den Download eines zusätzlichen Zertifikats, zu dem die BRAK selbst alle Anwälte drängte, an ebendiesem Freitag überhaupt erst entstand. Diese Kausalität hat auch die BRAK nun eingeräumt. In dem Schreiben heißt es, am Freitag gegen 13:00 Uhr habe der Dienstleister Atos, der zuvor "zu keinem Zeitpunkt auf mögliche anders gelagerte Sicherheitsrisiken hingewiesen" habe, die neu entstandene Sicherheitsproblematik erkannt und das System mit Einverständnis der BRAK vom Netz genommen. Über die Weihnachtsfeiertage wurden darüber weder die Anwälte noch die Kammern informiert. Sowohl bei den Anwälten als auch bei den Kammern regte sich daraufhin massiver Protest über die Salamitaktik der BRAK.
BRAK-Präsident: beA auch im Januar nicht erreichbar
Noch vor ihrer Entschuldigung für die technische Panne, für die Schäfer weiterhin den Dienstleister Atos verantwortlich macht, lässt er es sich aber nicht nehmen, sein Erschrecken darüber zum Ausdruck zu bringen, "dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der BRAK und am beA verknüpft."
In der Sache enthält das Schreiben der BRAK wenig, was nicht – vorrangig durch Medienrecherche - zwischenzeitlich ohnehin bereits bekannt ist. Wann das beA wieder online gehen kann, ist weiterhin offen. Markus Drenger, das Mitglied des Chaos Computer Clubs, das die Sicherheitslücke entdeckt und der BRAK zur Kenntnis gebracht hatte, nimmt an, dass die Sicherheitslücken nicht binnen drei bis vier Monaten zu beheben seien. Die BRAK teilte LTO Ende vergangener Woche mit, es würden verschiedene technische Varianten für eine sichere Lösung auf ihre Machbarkeit geprüft.
Daran scheint sich noch nichts geändert zu haben. In seinem Schreiben vom 2. Januar schreibt Schäfer nun: "Ich gehe momentan aber davon aus, dass das beA auch im Januar nicht erreichbar und nicht adressierbar sein wird, auch nicht für Gerichte oder andere nichtanwaltliche Teilnehmer am elektronischen Rechtsverkehr." Nach LTO-Informationen findet am 9. Januar eine Sonderkonferenz der Präsidenten aller Anwaltskammern statt, auf deren Agenda ausschließlich das Anwaltspostfach steht.
BRAK-Präsident: "angemessene" Frist zwischen Ankündigung und Neustart
Fraglich ist, ob man der Formulierung "ich gehe davon aus" ein Weniger an Sicherheit entnehmen darf, als die BRAK noch am 28. Dezember gegenüber LTO suggerierte. In der schriftlichen Antwort der von ihr beauftragten Kommunikationsagentur hieß es dazu auf Anfrage von LTO wörtlich, "wir können ausschließen, dass Gerichte oder andere Kommunikationspartner momentan Dokumente auf diesem Wege zustellen können".
Absichern will die BRAK die faktische Unmöglichkeit für die Anwälte, ihrer passiven Nutzungspflicht nachzukommen, weil sie gar nicht auf ihr Postfach zugreifen können, aber offenbar auch rechtlich. In den kommenden Tagen werde man das Gespräch mit dem Bundesjustizministerium suchen, so Schäfer in seinem Schreiben, insbesondere da die BRAK für die Wiederinbetriebnahme des beA "derzeit einen zweiphasigen Prozess beabsichtige", heißt es dort. "Zuerst wollen wir die neue ClientSecurity zum Herunterladen bereitstellen, erst nach einer angemessenen Frist wollen wir dann das beA wieder aktiv schalten".
Die BRAK legt sich nicht fest, wie lange diese Frist dauern soll. Die mindestens vierzehn Tage zwischen Ankündigung und Wieder-Inbetriebnahme, die nach LTO-Informationen am Freitag im Gespräch waren, sagt sie also nicht offiziell zu. Konkrete Termine werde man rechtzeitig auf der Homepage der BRAK, der beA-Homepage und über Newsletter den Rechtsanwaltskammern und ihren Mitgliedern mitteilen, heißt es lediglich.
Offene Fragen: Kann die BRAK mitlesen? Und gibt es Software ohne Support?
Die BRAK bleibt dabei, dass "nach ihren Informationen" die beA-Plattform selbst, die Verschlüsselung der Nachrichten und die Sicherheit der Nachrichtenübermittlung und Speicherung im beA-System von der aktuell festgestellten Sicherheitslücke nie betroffen gewesen sind und weiterhin nicht seien.
Keine Informationen enthält das Schreiben zu weiteren offenen Fragen technischer Natur, die zuletzt u.a. der Präsident des Deutschen Anwaltvereins (DAV), Ulrich Schellenberg, in einem Schreiben vom vergangenen Freitag, das LTO vorliegt, aufgeworfen hatte. Unter Bezugnahme auf Ausführungen von CCC-Mitglied Drenger fragte er nach, ob die Ende-zu-Ende-Verschlüsselung des beA tatsächlich eine solche sei oder ob auch die BRAK Nachrichten entschlüsseln könnte. Auch Schellenbergs Frage, ob tatsächlich im Security-Client auch alte Software-Pakete zur Anwendungen kämen, für die es keinen Support gebe, greift Schäfer nicht auf.
Behoben sind aber laut seinem Schreiben die erheblichen Performance-Probleme der Plattform, welche die BRAK im Dezember dazu motivierten, die Anwälte sicherheitshalber aufs Fax zu verweisen. Inzwischen habe das beA "auch eine so hohe Zahl von Anwendern, dass Atos davon ausgeht, dass auch bei steigenden Nutzerzahlen weitere Skalierungsprobleme nicht mehr auftreten bzw. kurzfristig behebbar sind", so Schäfer. Er bezieht sich dabei auf "zuletzt 65.000 registrierte Nutzer". Das vorausgesetzt, müssen sich vor einem Neu-Start des Systems weitere 100.000 Juristen registrieren. Und das System danach erstmalig nutzen.
Pia Lorenz, Desaster um das Anwaltspostfach: . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26273 (abgerufen am: 20.11.2024 )
Infos zum Zitiervorschlag