beA 2.0 – das Comeback des Postfachs aus zwei Perspektiven

Mehr als acht Monate war das besondere elektronische Anwaltspostfach vorübergehend offline. Was die BRAK vor enorme Herausforderungen stellte und in der Anwaltschaft große Unsicherheit erzeugte, erwies sich für IT-Experten als spannende Materie. Die Geschichte eines Neustarts – erzählt aus Sicht der BRAK sowie aus der Perspektive von Markus Drenger (Chaos Computer Club).
TEXT: Rechtsanwalt Christoph Sandkühler und Markus Drenger

„DER SICHERE ELEKTRONISCHE RECHTSVERKEHR GEHT GEHÄRTET AUS „BEA-GATE“ HERVOR“ – EINE GESCHICHTE VON CHRISTOPH SANDKÜHLER


Seit dem 3. September 2018 arbeitet das beA-System der BRAK wieder zuverlässig im regulären Betrieb. Darüber freue ich mich. Einerseits freue ich mich darüber, dass wir die technischen Herausforderungen, die uns in den letzten Monaten gestellt worden sind, meistern konnten. Andererseits freue ich mich darüber, dass die Bundesrechtsanwaltskammer im Interesse der Rechtsanwältinnen und Rechtsanwälte in Deutschland Standfestigkeit bewiesen hat. Die selbstverwaltete Anwaltschaft hat den ihr übertragenen Beitrag zum elektronischen Rechtsverkehr trotz oder gerade wegen der kritischen Begleitung von Innen und von Außen gemeistert.

Nicht zuletzt die der Selbstverwaltung geschuldete Transparenz, die tiefe – vielleicht zu tiefe – Einblicke in das beA-System ermöglicht, war der Ansporn dafür, die sicherheitstechnischen Anforderungen an das Kommunikationssystem der Anwaltschaft bis zum Ende durch zu deklinieren. Die Erkenntnisse, die wir auf diesem Weg in den letzten Monaten sammeln konnten, kommen dem elektronischen Rechtsverkehr in Deutschland insgesamt zu Gute. Denn nicht nur wir, sondern auch die Justiz und die Bundesnotarkammer haben aus unseren Rückschlägen Erkenntnisse gewonnen. Der sichere elektronische Rechtsverkehr geht gehärtet aus „beA-gate“ hervor.

 "Im Sinne eines dauernden Prozesses schärfen wir unser Sicherheitskonzept und unser Datenschutzkonzept."

In den letzten Monaten haben wir in vertrauensvoller, hoch verdichteter und erfolgreicher Zusammenarbeit mit Atos dokumentierte Schwachstellen des Systems nachvollziehbar beseitigt und weitere Maßnahmen, die die Sicherheit des Systems nochmals verstärken werden, eingeleitet. Dabei geht es um die Verringerung von theoretischen Risiken, die aus illoyalen und kriminellen Aktivitäten von Innentätern in der BRAK oder im Gesamtsystem herrühren können. Des Weiteren werden wir in Kürze mit unseren Kommunikationspartnern die Verschlüsselungstechnik im System EGVP, auf das beA aufsetzt, auf ein neues, modernes und sichereres Niveau anheben.

Schließlich schärfen wir im Sinne eines dauernden Prozesses unser Sicherheitskonzept und unser Datenschutzkonzept. Die korrekte Umsetzung dieser Maßnahmen werden das Präsidium der BRAK und die Rechtsanwaltskammern wie bisher aufmerksam und wenn notwendig kritisch begleiten.

Das beA-System wurde am Morgen des 3.9.2018 wieder in Betrieb genommen. Seitdem läuft das System zuverlässig und stabil. Der Download der Client Security und die Erstregistrierung am Postfach funktionierten problemlos.

Mit der Wiederinbetriebnahme des beA-Systems einher ging das Wiederaufleben der passiven Nutzungspflicht des beA, die allen Rechtsanwältinnen und Rechtsanwälten bekanntlich obliegt. Die Gerichte haben begonnen, Zustellungen in die beA zu bewirken. Gleichwohl steht ein Teil der Anwaltschaft beA nach wie vor kritisch gegenüber. Zum Teil wird das daran liegen, dass in den letzten Monaten Vertrauen verloren gegangen ist. Die Rückgewinnung von Vertrauen ist eine der Aufgaben, denen sich die BRAK in der nächsten Zeit stellen muss.  Dabei wird sie sorgfältig abwägen, welche Schritte dazu notwendig und zielführend sind.  Sie sollte allerdings nicht über jedes Stöckchen springen, das ihr vorgehalten wird.

Das beA-System ist auf stetige Verbesserung angelegt. Wir müssen an erster Stelle unbedingt dafür Sorge tragen, dass das System mehrplatzfähig wird. Zu Recht ist die Kollegenschaft verärgert darüber, dass beA am Terminalserver immer noch nicht eingesetzt werden kann. Dann wollen wir unsere Zusammenarbeit mit den Herstellern von Kanzleisoftware intensivieren. Schließlich gilt es, die „Usability“, also den Umgang mit der Web-Anwendung, anzupacken. Das Programm muss moderner und bedienerfreundlicher werden.

"Es gilt, die „Usability“, also den Umgang mit der Web-Anwendung, anzupacken."

Bei all diesen Prozessen sind wir auf die Unterstützung der Rechtsanwältinnen und Rechtsanwälte angewiesen. Ihre Vorschläge werden der BRAK Ansporn sein, beA stetig zu verbessern. Schließlich wird die BRAK die Stellung der Anwaltschaft in einem sich stetig entwickelnden elektronischen Rechtsverkehr zu stärken haben. Vorschläge z. B. hinsichtlich einer gemeinsamen Arbeit an einer Gerichtsakte in einem sicheren Datenraum oder hinsichtlich eines elektronisch geführten Zivilprozesses wollen untersucht und bewertet und eigene Visionen von der Anwaltschaft der Zukunft in einer digitalisierten Umgebung wollen entwickelt werden. Nur so wird es uns gelingen, das Vertrauen unserer Mandantinnen und Mandanten in die unabhängige Anwaltschaft und in rechtsstaatliche Verfahren zu erhalten und wo notwendig zu stärken.

beA ist erst der Anfang. Die Herausforderungen des elektronischen Rechtsverkehrs bleiben und ihnen muss sich die Selbstverwaltung der Anwaltschaft stellen. Dazu ist ein kooperativer Umgang miteinander notwendig. Die BRAK ist nach meiner Überzeugung für diese Prozesse auch weiterhin gut gerüstet.

Autor: Rechtsanwalt Christoph Sandkühler (Vorsitzender des BRAK-Ausschusses „Elektronischer Rechtsverkehr“)


„TEURE SPEZIALLÖSUNGEN STATT SYNERGIENUTZUNG“ – EINE GESCHICHTE VON MARKUS DRENGER


Das besondere elektronische Anwaltspostfach (beA) machte im Dezember Schlagzeilen, nachdem es angekündigte Sicherheitsversprechen wie eine "Ende-zu-Ende"-Verschlüsselung nicht eingehalten hat und ein kurzfristiges Update vor Weihnachten mehr Schaden als Nutzen erzeugt hat.
In der Zwischenzeit wurde ein Sicherheitsaudit des beA durchgeführt und durch ein Update wurden viele Sicherheitslücken behoben, sodass es seit Anfang September wieder zur Verfügung steht.

Im September 2017 erfuhr ich über mein Umfeld von dem Projekt, denn die Bestellfrist für die beA-Karten lief Ende September ab, wenn man diese vor dem 1. Januar bekommen wollte. Ein weiteres Programm, um Nachrichten sicher von A nach B zu schicken, klang erst einmal nicht sehr besonders, schließlich finden sich in den AppStores für Mobiltelefone dutzende von Messengern mit dieser Funktion.

Ein Blick auf die Homepage versprach aber alle guten Zutaten klassischer eGovernment-Projekte: Öffentliche IT-Standards, kleiner Nutzerkreis, organisierte Nichtzuständigkeit für das Gesamtprojekt und kein öffentlich einsehbarer Softwarecode.

"Die Werbeversprechen des beA waren groß und dennoch war die öffentliche Informationslage über die technischen Details sehr dürftig."

Die Werbeversprechen des beA waren groß und dennoch war die öffentliche Informationslage über die technischen Details sehr dürftig. Die technisch widersprüchlichen Aussagen zur "Ende-zu-Ende-Verschlüsselung" und zur "Umschlüsselung" waren dann Anlass für mich, mir die Software genauer anzuschauen.

Die gefundenen Probleme wurden im Dezember an das Computer Emergency Response Team (CERT) des Bundesamtes für Sicherheit in der Informationstechnik sowie an die BRAK gemeldet. Es wurde umgehend reagiert, allerdings war das Update fehlerhaft, sodass die BRAK entschied, das beA abzuschalten. Es stand damit nicht wie geplant am 1. Januar zur Verfügung.

Auf Einladung der BRAK fand Mitte Januar der sog. beAthon statt – ein Freitagnachmittag, an dem man in großer Runde offen über alle gefundenen Probleme und Schwächen des beA sprach. Danach hat sich die BRAK mit ihren Auftragnehmern um die Behebung der Probleme gekümmert, für die sie zuständig ist. Andere Probleme lagen in der Zuständigkeit von Bund und Ländern, beispielsweise die ungeprüften Metadaten der EGVP-Bürgerkonten.

Viel Kritik gab es an der sog. "Umschlüsselung", einer Möglichkeit an zentraler Stelle Nachrichten entschlüsseln zu können. Ende-zu-Ende Verschlüsselung bedeutet, der Absender schickt eine Nachricht so ab, dass nur der Empfänger in der Lage ist, diese zu lesen. Die Umschlüsselung wird genutzt, um Vertreterregelungen und Weiterleitungen an Angestellte zu realisieren. Technisch und rechtlich betrachtet ist eine zentrale Entschlüsselungsfunktion aber nicht notwendig. Selbst bestellte Vertreter sollen nicht die Nachrichten selbst, sondern nur das Journal lesen können, sodass einer sicheren Verschlüsselung eigentlich nichts im Weg stände.

Die Frage ist aber, wie kam es dazu und wie sollte es mit dem beA weitergehen?

Per Gesetz wurde der BRAK einmal auferlegt, eine sichere Kommunikationsplattform für die Anwaltschaft erstellen zu lassen und zu betreiben. Mit der Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV) wurden sogar technische Vorgaben gemacht, sodass keine Möglichkeit mehr bestand, weit verbreitete und etablierte Technologien und Produkte zu nutzen.

"Kein Mittelständler käme auf die Idee, sich einen eigenen Emailserver programmieren zu lassen."

Während kein Mittelständler auf die Idee käme, sich einen eigenen Emailserver programmieren zu lassen – man würde sich einfach eine entsprechende Software kaufen und diese an die eigenen Bedürfnisse anpassen – stand die Anwaltschaft stattdessen vor der Aufgabe, ein beA entwickeln und bezahlen zu müssen. Gerade mit Blick auf die hohen Sicherheitsanforderungen, die ein solches System erfüllen muss, sind hohe Kosten und ein hoher Wartungs- und Pflegeaufwand absehbar.

"Hohe Kosten und ein hoher Wartungs- und Pflegeaufwand waren absehbar."

Da die Entwicklung des beA bis zur passiven Nutzungspflicht bislang 4 Jahre gedauert hat, gibt es jetzt auch Forderungen nach einem "beA 2.0". Einer beA-Software, die im Jahr 2022 auf den dann verfügbaren technischen Plattformen funktioniert, etwa auf mobilen Geräten und bei dem bisherige konzeptionelle Schwächen korrigiert werden könnten. Eine solche Anwendung langfristig zu warten und zu pflegen dürfte aber sehr unwirtschaftlich sein. Dass die Software weiterentwickelt und gepflegt werden muss, um etwa auf aktuellen Betriebssystemen zu funktionieren, ist aber unstreitig.

Gleichzeitig könnte aber auch der Gesetzgeber oder das BMJV für das beA bessere Rahmenbedingungen schaffen. Mit anderen technischen Vorgaben könnten beispielsweise digitale Dienste von Bund und Länder für das beA genutzt werden. Denn mit den EGVP-Postfächern oder Servicekonten nach dem Onlinezugangsgesetz für die sichere Anmeldung bietet die öffentliche Hand bereits jetzt auf eigene Kosten Dienste an, die den beA-Komponenten technisch sehr ähneln.

Oder man könnte komplett auf Spezial-Lösungen verzichten und auf etablierte und weit verbreitete Verfahren setzen. Denn den Anwendungsfall, Nachrichten sicher von A nach B zu transportieren, hat ja nicht nur die Anwaltschaft. Auch Notare, Ärzte oder Behörden müssen Nachrichten sicher übertragen und trotzdem haben wir nicht eine Anwalts-Post, eine Ärzte-Post und eine Behördenpost. Und trotzdem lässt der Gesetzgeber in jedem dieser Bereiche teure Speziallösungen entstehen, anstatt Synergien zu nutzen und sich auf etablierte und offene Standards einzulassen.

Wie überraschend einfach das manchmal sein kann, zeigt ein Blick nach Frankreich:
Die "französische BRAK", das Conseil National des Barreaux (CNB), hat eine Messaging-Lösung auf Basis einer OpenSource-Software mit einem Emailserver für die rund 100.000 Nutzer für einen Bruchteil der Kosten für das beA realisiert.

Autor: Markus Drenger (Chaos Computer Club Darmstadt e.V.)

 

 

Bildquellen: LordRunar/iStock