BER oder beA (das besondere elektronische Anwaltspostfach) – was wird früher fertig?

2 min.

Über die traurige Dauerbaustelle des Hauptstadtflughafens BER ist viel geschrieben worden. Anfangs trugen Pleiten, Pech und Pannen noch zur allgemeinen Erheiterung bei; mittlerweile stehen Schadensbegrenzung und eine schnellstmögliche Eröffnung im Vordergrund. Ein ähnliches Schicksal widerfährt gerade dem beA; die Abkürzung steht für „das besondere elektronische Anwaltspostfach“. Fraglich ist momentan nur, wofür das „besondere“ steht.

Ein Blick auf Chaos, Sicherheitslücken und Geldverschwendung.

Was ist das beA?

Das besondere elektronische Anwaltspostfach (beA) soll (irgendwann) den elektronischen Versand anwaltlicher Dokumente ermöglichen. Das beA schafft damit die Grundlage für eine elektronische Kommunikation sowohl zwischen Rechtsanwälten untereinander als auch zwischen Anwälten und Justiz. Rechtliche Grundlage für das beA ist das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten (ERV-Gesetz) vom 10. Oktober 2013. Hauptziel ist die stufenweise und flächendeckende Einführung des elektronischen Rechtsverkehrs für alle Gerichtsbarkeiten. Bis zum 31. Dezember 2017 lief eine Erprobungsphase des beA. Am 01. Januar 2018 sollte eigentlich der Regelbetrieb beginnen. Dazu kam es jedoch nicht. Der Termin ist auf unbekannte Zeit verschoben.

Was ist das Problem?

Wie sich beim BER die Probleme mit der Brandschutzanlage häufen, passiert Selbiges bei beA durch veraltete Software und ein rückständiges Anwendungskonzept.

Kurz vor Weihnachten – am 20. Dezember 2017 – fand ein Mitglied des Chaos Computer Clubs in der gesonderten Software für die Anmeldung zum Postfach, im sog. ClientSecurity System, eine Sicherheitslücke bei einem Sicherheitszertifikat. Dies geschah durch eine Analyse öffentlich zugänglicher Dokumente.

Die Erkenntnisse wurden dem Zertifikateanbieter T-Systems und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zugespielt, sodass T-Systems ihr Zertifikat für ungültig erklären musste und damit das beA nicht mehr ansteuerbar war. Die Bundesrechtsanwaltskammer (BRAK) teilte hierzu mit:

„Nach unseren Informationen waren und sind die beA-Plattform selbst, die Verschlüsselung der Nachrichten und die Sicherheit der Nachrichtenübermittlung und Speicherung im beA-System von der aktuell festgestellten Sicherheitslücke nie betroffen.“ 

Nach der Sperrung des Zertifikats wurde eine – mit der heißen Nadel gestrickte – Notlösung entwickelt. Die BRAK forderte alle Anwälte auf, das neu erstellte Sicherheitszertifikat zu installieren. Doch auch dieses enthielt gravierende Sicherheitsmängel. Am 23. Dezember 2017 forderte die BRAK die Anwälte schließlich auf, auch das vermeintlich sichere Zertifikat wieder zu deinstallieren.

Im Ergebnis kann das beA zur Zeit weder von Rechtsanwälten noch von Gerichten benutzt werden. Hierzu äußert sich der Chaos Computer Club pointiert: Es bestünde „keine Gefahr durch Nichtnutzung“.

Fazit

Die Entwicklung des beA kostete bisher über 38 Millionen Euro; bezahlt durch die Kammerbeiträge an die BRAK sowie einer entsprechenden Umlage. Das ist viel Geld. Der beauftragte IT-Dienstleister Atos hatte drei Jahre Zeit für die Umsetzung. Entwickelt wurde ein System, welches technisch sehr begrenzt ist (nur 60 MB pro Schriftsatz), auf antiquierte Software (Java) setzt und angreifbare Schnittstellen (TLS 1.2) benutzt.
Besonders ärgerlich ist es aber für die, die schon in der Testphase auf das beA gesetzt und ihren anwaltlichen Schriftverkehr digital verschickt haben. Der Präsident der BRAK – Ekkehart Schäfer – bemerkt dazu:

„Ich verstehe diejenigen, die sich in den letzten Tagen aufgebracht an uns gewandt haben. Und ich bedauere die Ihnen entstandenen Unannehmlichkeiten außerordentlich. Glauben Sie mir, jede und jeder hier in der BRAK hätte Ihnen und uns allen diese Situation gerne erspart.“

Eine Feststellung, die ebenso auch von den vielen Managern des BER hätte stammen können. Es bleibt also abzuwarten, wie es mit dem beA weitergeht; der baldige Regelbetrieb des beA scheint aber unter keinem guten Stern zu stehen. Diese Sicherheitspannen stehen stellvertretend für eine stiefmütterliche Beachtung von IT-Sicherheit, die wir uns 2018 nicht mehr leisten können. Sie symbolisiert unsere Rückständigkeit in puncto Digitalisierung. Nicht zuletzt ist dieser verkorkste Start des beA auch Gift für das so wichtige Vertrauensverhältnis zwischen einem Anwalt und seinem Mandanten.

Wir können glücklich sein, dass die BRAK nur ein elektronisches Anwaltspostfach und keinen Flughafen entwickeln musste. Das „besondere“ steht also für vieles – besonders für Ärger, Peinlichkeit – nicht aber für (und das wäre die eigentliche Aufgabe gewesen) für besondere Sicherheit. Schade.

 

Wie stehen Sie zum beA?

Ich bin auf Ihre Meinung und Erfahrungen gespannt.

Lassen Sie uns diskutieren!

Kommentieren Sie diesen Artikel!

__

Titelbild (BRAK)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

1 Kommentar

You can post comments in this post.


  • Wunderbar, Herr Schoor! Die (traurige) Parallele zum Pannenflughafen BER könnte passender nicht sein. Kurz vor knapp merkt man, dass es doch alles nicht funktioniert. Es ist zum Heulen, aber Ihr Artikel trägt zur allgemeinen Erheitung und Information bei. Vielen Dank dafür.

    Palandt 6 Jahren ago Reply


Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.