Besonderes elektronisches Anwaltspostfach

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Ambox current red.svg Dieser Artikel beschreibt ein aktuelles Ereignis. Die Informationen können sich deshalb rasch ändern.

Das besondere elektronische Anwaltspostfach (beA) ist als ein zunächst als sicher bezeichnetes E-Mail-Postfach für Rechtsanwälte am 28. November 2016 in Betrieb genommen worden.[1] Es soll den in Deutschland zugelassenen Rechtsanwälten die sichere elektronische Kommunikation mit der Justiz, mit Behörden und untereinander ermöglichen.[2] Am 22. Dezember 2017 wurde es wegen bekannt gewordener Sicherheitsmängel vorübergehend, sechs Tage später wegen einer ungeklärten Sicherheitssituation auf unabsehbare Zeit außer Betrieb genommen.[3]

Für Notare ist mit entsprechendem Leistungsumfang das besondere elektronische Notarpostfach (beN) als Pendant vorgesehen. Ab Version 3.5.x ist „XNotar“ mit einem EGVP-Programm zur sicheren Kommunikation mit Gerichten und Behörden ausgestattet.[4]

Das beA für Rechtsanwälte und das besondere elektronische Notarpostfach für Notare lösen die bisherige Java-basierte Software Elektronisches Gerichts- und Verwaltungspostfach („EGVP-Client“) für diese beiden Berufsgruppen ab.[4] Der Zugriff auf das beA erfolgt entweder über einen Webbrowser oder über eine Kanzleisoftware.

Teilnehmer[Bearbeiten | Quelltext bearbeiten]

Über das beA werden Zivilgerichte, Arbeitsgerichte, Finanzgerichte, Sozialgerichte und Verwaltungsgerichte spätestens bis zum 1. Januar 2020 erreichbar sein. Alle Bundesgerichte waren während der Laufzeit des beA auf dem elektronischen Weg erreichbar. Für die Strafgerichtsbarkeit existiert ein Entwurf zum Gesetz zur Einführung der elektronischen Akte in Strafsachen. Er sieht vor, dass das beA auch für die Kommunikation mit den Strafgerichten und Staatsanwaltschaften genutzt werden kann. Die Verfassungsgerichtsbarkeit ist noch nicht für den elektronischen Rechtsverkehr vorgesehen.

Des Weiteren sollte das neu eingerichtete zentrale elektronische Schutzschriftenregister über beA zugänglich sein.

Rechtsanwälte konnten sich während der Laufzeit sowohl untereinander als auch den Rechtsanwaltskammern beA-Nachrichten schreiben.

Zum 1. Januar 2016 trat das „Gesetz zur Neuordnung des Rechts für Syndikusanwälte“ in Kraft. Syndikusrechtsanwälte erhielten zum 1. Oktober 2016 ein beA. Hat ein Syndikusanwalt auch eine Zulassung als Rechtsanwalt, konnte für diese Tätigkeit zum 1. Januar 2016 ein gesondertes beA beantragt werden. Das Gesetz sieht vor, dass Berufsträger mit zwei Zulassungen auch zwei getrennte beA erhalten.[5]

Rechtliche Grundlagen[Bearbeiten | Quelltext bearbeiten]

Hintergrund für die Einführung des besonderen elektronischen Anwaltspostfachs ist die Reform des Verkehrs zwischen Rechtsanwälten, Justiz und Verwaltungsbehörden in Richtung auf eine digitale Aktenführung. Der Elektronische Rechtsverkehr ist die Bezeichnung für den „sicheren, rechtlich wirksamen Austausch elektronischer Dokumente zwischen Bürgern, Behörden und Gerichten.“ Das Zustellungsreformgesetz vom 25. Juni 2001 (Bundesgesetzblatt I Seite 1206) und das Formvorschriftenanpassungsgesetz vom 13. Juli 2001 ergänzten die Schriftform um eine elektronische Form. Seit dem Justizkommunikationsgesetz vom 22. März 2005 können Prozessakten elektronisch geführt werden.[6]

Mit Art. 7 des Gesetzes zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten wurden die Paragraphen §§ 31 und 177 der Bundesrechtsanwaltsordnung (BRAO) angepasst und die Paragraphen §§ 31a und 31b neu eingefügt. Die Bundesrechtsanwaltskammer (BRAK) wird durch die Änderungen an der BRAO verpflichtet, für jeden in Deutschland zugelassenen Rechtsanwalt für die Dauer seiner Zulassung ein beA einzurichten. Der Gesetzgeber erhofft sich durch das Gesetz eine Beschleunigung der Umsetzung des elektronischen Rechtsverkehrs. Am 28. September 2016 trat ergänzend die Rechtsanwaltsverzeichnis- und -postfachverordnung (RAVPV) in Kraft.[7] Das beA stellte einen besonderen Meilenstein dieser Entwicklung dar.[8]

Zeitplan: Elektronisches Dokument und Elektronischer Rechtsverkehr[Bearbeiten | Quelltext bearbeiten]

Auf der Grundlage des Formvorschriftenanpassungsgesetzes vom 13. Juli 2001 ist nach § 130a ZPO zur Wahrung der Schriftform die Übermittlung von elektronischen Dokumenten bei Verwendung einer qualifizierten elektronischen Signatur (qeS) zulässig.[9] Eine Übermittlung von elektronisch qualifiziert signierten Dokumenten war bereits vor dem 1. Januar 2016 zum Beispiel über die Software „Elektronisches Gerichts- und Verwaltungspostfach“ (EGVP) möglich.[10]

Alle in der Bundesrepublik zugelassenen Rechtsanwälte sollen ein beA erhalten. Die Bundesrechtsanwaltskammer beabsichtigte ursprünglich, das beA so einzurichten, dass es ab dem 1. Januar 2016 bereits Nachrichten empfangen kann. Dieser Plan wurde aber aufgegeben, weil der Dienst zu diesem Zeitpunkt keine „ausreichende Qualität … in Bezug auf die Nutzerfreundlichkeit“ aufgewiesen habe. Er entspreche daher „noch nicht den hohen Erwartungen, die sich die Kammer selbst gestellt“ habe, erklärte die Bundesrechtsanwaltskammer im November 2015. Die Kammer sei daher in Gespräche mit dem Softwarehersteller Atos IT Solutions and Services über den weiteren Verlauf des Projekts eingetreten.[11]

Allerdings kam es zu einer weiteren Verschiebung des Starttermins, weil der Anwaltsgerichtshof Berlin die BRAK verpflichtet hatte, das Postfach für einige Rechtsanwälte nicht ohne deren ausdrückliche Zustimmung zum Empfang freizuschalten. Der technischen Implementierung der BRAK fehlte die Fähigkeit, Empfangsbereitschaft der Postfächer einzeln zu steuern[12]. Unabhängig von dem verschobenen Starttermin lief die beA-Erstregistrierung weiter.[13] Das beA ist am 28. November 2016 in Betrieb genommen worden.[14]

Es war vorgesehen, dass die über das beA versendeten Dokumente bis zum 31. Dezember 2017 eine qualifizierte elektronische Signatur beinhalten. Rechtsanwälte konnten etwaige Schutzschriften über das beA beim elektronischen Schutzschriftenregister einreichen. Alle Bundesgerichte sollten zu diesem Zeitpunkt über das beA erreichbar sein.[15]

Ab dem 1. Januar 2017 waren Rechtsanwälte verpflichtet, Schutzschriften ausschließlich beim elektronischen Schutzschriftenregister einreichen.[15]

Ab dem 1. Januar 2018 dürfen Rechtsanwälte laut dem § 130a Abs. 3 a.E., 4 Nr. 2 ZPO (in der Fassung ab 1. Januar 2018) über einen „sicheren Übermittlungsweg“ Dokumente bei Gericht auch ohne Verwendung einer qualifizierten elektronischen Signatur einreichen. Das beA, ein De-Mail-Konto und andere als sicher eingestufte Übermittlungswege wie EGVP zählen zu einem „sicheren Übermittlungsweg“. „Mitarbeiter können weiterhin vom Anwalt qualifiziert elektronisch signierte Dokumente versenden.“[16]

Mit dem 1. Januar 2022 sind alle Rechtsanwälte verpflichtet, „Dokumente den Gerichten elektronisch zu übermitteln.“[15]

Kritik[Bearbeiten | Quelltext bearbeiten]

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Prozedere zur Einführung[Bearbeiten | Quelltext bearbeiten]

Teile der Anwaltschaft kritisierten diese beabsichtigte Praxis. Sie monieren, dass die besonderen elektronischen Anwaltspostfächer ohne Zutun der Anwälte (insbesondere ohne die Erstregistrierung durch den jeweiligen Rechtsanwalt) empfangsbereit eingerichtet werden sollten, weil sich dies aus dem „Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten“ nicht ergebe und veröffentlichten ihre Kritik in der Fachliteratur: im September 2015 [17][18], im November 2015[19] sowie im Januar 2016.[20][21] Der Deutsche Anwaltverein schlug in seiner Stellungnahme 6/2016 eine gesetzliche Klarstellung für Nutzungspflicht und Erstregistrierung vor.[22] Einige Rechtsanwälte stellten förmliche Anträge an die BRAK, das beA nur dann empfangsbereit einzurichten, wenn der Rechtsanwalt die Erstregistrierung durchgeführt hat.[23] Diese Anträge wies die BRAK zurück und wies zur Begründung nur kurz darauf hin, dass sie ihr Handeln unmittelbar aus dem Gesetz ableite. [24] Daraufhin wurden zwei einstweilige Verfügungsverfahren vor den beiden Senaten des Anwaltsgerichtshofs Berlin (AGH Berlin) rechtshängig, Az. I AGH 17/15 und Az. II AGH 16/15. Der Eilantrag im Verfahren vor dem I. Senat wurde in Volltext und mit Anlagen veröffentlicht. [25] Im weiteren Verlauf kam es zu einem Vergleich, den die BRAK aber anschließend widerrief.[26] Der Rechtsanwaltskammer wurde sodann vom Anwaltsgerichtshof Berlin per einstweiliger Anordnung am 6. Juni 2016 untersagt, Postfächer für Anwälte freizuschalten, von denen kein entsprechendes Einverständnis vorliegt[27]. Die BRAK verschob die Freischaltung der Postfächer erneut.[28]

Fehlendes Kanzleipostfach[Bearbeiten | Quelltext bearbeiten]

Kritisiert wird auch, dass es kein elektronisches Kanzleipostfach gibt, was bedeutet, dass die Übermittlung von Daten immer nur an Einzelpersonen erfolgen kann. Die Implementierung einer Ad-Hoc-Vertretungsregelung ist damit nicht möglich. Schriftstücke können auf Grund der Sicherheitsarchitektur und des Fehlens einer Versandmöglichkeit an eine Kanzlei (d.h. nicht an einen bestimmten Rechtsanwalt) nur übermittelt werden, wenn sichergestellt ist, dass der Empfänger die Daten auch abholt. Die rechtliche Situation einer Nichtverfügbarkeit (z.B. bei Urlaub oder Krankheit) ist ungeklärt.[29] Die Lösung durch die Software besteht darin, durch Mitarbeiterkarten oder Softwarezertifikate den Zugriff auf mehrere Postfächer zu ermöglichen.

Verschlüsselungstechnik[Bearbeiten | Quelltext bearbeiten]

Als diskussionswürdig wird auch die Ende-zu-Ende-Verschlüsselung betrachtet. Die eigentlichen Nachrichten werden hochsicher symmetrisch verschlüsselt übertragen, die Übermittlung des zur Entschlüsselung benötigten Schlüssels erfolgt mit einer asymmetrischen Verschlüsselung. Da das beA die technische Möglichkeit vorsieht, dass im Rechenzentrum eine Umschlüsselung der asymmetrisch verschlüsselten Nachricht vorgenommen werden kann (um eine Nachricht an andere, berechtigte Personen zu verteilen), wird von Kritikern vorgebracht, dass durch diese Möglichkeit der Umschlüsselung auch die Möglichkeit der Entschlüsselung der eigentlichen Nachricht entsteht. Grundlage dieser Überlegung ist, dass während des Augenblicks der Umschlüsselung der eigentliche symmetrische Schlüssel kurzfristig innerhalb des Systems verfügbar ist und damit auch die Nachricht selbst entschlüsselt werden kann. Die BRAK begegnet dieser Argumentation auf technischem Wege; nach ihren Angaben findet diese Umschlüsselung in einem so genannten Hardware Security Module (HSM) statt, auf das niemand Zugriff habe. Wie die zur Umschlüsselung benötigten Schlüssel in das HSM eingespielt werden, ohne darauf Zugriff zu nehmen, wird dabei nicht näher ausgeführt.[30] Auf dem 34. Kongress des CCC[31] wurde diese Problematik angesprochen und mit den Worten "Eine Ende-zu-Ende-Verschlüsselung sieht anders aus" zusammengefasst. Ob folglich das HSM als Backdoor zu betrachten ist, wird damit als juristische Frage eingeordnet.

Weitere technische Aspekte[Bearbeiten | Quelltext bearbeiten]

Die Konfiguration der elektronischen Postfächer lässt nur Dateianhänge mit einer Gesamtgröße von bis zu 30 MB zu. Umfangreiche Schriftsätze mit einer großen Zahl an eingescannten Seiten oder sonstigen großen elektronischen Dokumenten können diese Grenze schnell überschreiten. Auch die zwangsweise Nutzung bestimmter Software[32] wird kritisiert, da die Vorgaben Freie Software und offene Dateiformate strukturell benachteiligen. Dies wird vereinzelt als unzulässiger Eingriff in die anwaltliche Berufsfreiheit sowie die Interessen der Mandanten betrachtet, mit denen der Dateiaustausch stattfindet.[33]

In diversen Verordnungen sind je nach Bundesgericht, Land oder Staatsanwaltschaft[34] diverse Dateiformate zugelassen, die man auch als Empfänger verarbeiten können muss. Zu den Formaten zählen proprietäre Dateiformate wie .doc-Dateien. Beispielsweise enthält die Bekanntmachung zu Formatstandards der „Verordnung über den elektronischen Rechtsverkehr mit der Justiz im Land Berlin (ERVJustizV) vom 27.12.2006“ Regelungen wie das „Adobe PDF“-Format in „Version 1.0 bis 1.4. (sofern mit Adobe Reader 7.0 lesbar)“ und das „Microsoft Word“-Format, konkret „Version Word 6.0/95, Word 97, Word 2000 (Version 8 oder 9), Word XP, Word 2003 ohne aktive Komponenten“.[35]

Technische Anforderungen[Bearbeiten | Quelltext bearbeiten]

Für die Nutzung des beA sind folgende technische Anforderungen zu erfüllen:

  1. Ein Rechtsanwalt benötigt jeweils eine spezielle Chipkarte, die sogenannte „beA-Karte Basis“. Mit dieser Karte ist eine Anmeldung beim beA-Postfach und das Lesen von empfangenen E-Mails möglich. Möchte ein Rechtsanwalt im Zeitraum 1. Januar 2016 bis 31. Dezember 2017 ein Dokument an Gerichte versenden, muss dieses mit einer qualifizierten elektronischen Signatur (qeS) versehen sein. Mit der „beA-Karte Signatur“ ist die Erzeugung einer solchen qeS und damit der Versand von Dokumenten und das Einreichen von Schriftsätzen bei Gericht möglich. Eine „beA-Karte Basis“ kann nachträglich zu einer „beA-Karte Signatur“ aufgewertet werden.[16]:14 Dokumente sollen dabei mit separaten Signaturendateien signiert und nicht „inline“-signiert (PDF-interne Signatur) werden.[10] Ab dem 1. Januar 2018 können Dokumente über das beA vom Rechtsanwalt ohne eine qualifizierte elektronische Signatur versendet werden.[16]
  2. Mitarbeiter können eine „beA-Mitarbeiterkarte“ erhalten.
  3. Damit die Chipkarte gelesen werden kann, braucht der Anwender ein Kartenlesegerät mit einem Tastaturblock (sogenanntes PIN-Pad). Ebenso muss das Kartenlesegerät für die Erzeugung einer qeS in Deutschland zugelassen sein.[16]
  4. Das Kartenlesegerät wird an einen Computer mit mindestens 512 MB RAM angeschlossen. Als Betriebssysteme kommen Microsoft Windows, Mac OS oder Linux in Frage.[16]
  5. Der Zugriff auf das beA erfolgt entweder über einen Browser (Firefox, Safari, Chrome, Internet Explorer, der Edge-Browser wird nicht unterstützt) oder über eine Kanzleisoftware.[16]
  6. Die Kanzleisoftwarehersteller, die überwiegend im Software Industrieverband elektronischer Rechtsverkehr (SIV-ERV) organisiert sind, haben im Rahmen einer Sitzung bei der BRAK am 13. Dezember 2016 grundsätzliche Fragen und Umgehensweisen mit der Schnittstelle besprochen. Nach Klärung der noch offenen Fragen können die Softwarehersteller anfangen, die eigenen Schnittstellen zu programmieren und zu testen. Die Voraussetzungen zur Programmierung der Schnittstelle sind zu diesem Datum noch nicht allgemein verfügbar.[36][37] Da die bereits Mitte des Jahres vorgelegten Schnittstellenspezifikationen von den Softwareherstellern mangels nicht vorhandener Testumgebung nicht geprüft werden konnten, ist nicht absehbar, ob es irgendwie geartete Probleme bei der Implementierung in die Fachsysteme geben wird. Erst nachdem die BRAK eine Testumgebung bereitgestellt hat und die Softwarehersteller eigene beA-Karten haben, kann mit ersten Tests und Programmierungen begonnen werden. Die von der BRAK zum Ende des Jahres 2016 zugesagte Schnittstelle stand ab Mai 2017 zur Verfügung, die Softwarehersteller konnten ab diesem Zeitpunkt mit einer Implementierung beginnen, die sich jedoch als sehr aufwändig erweist, da es für die Schnittstelle keinerlei Dokumentation gibt. Es ist nicht absehbar, zu wann mit einer Integration in die Fachsoftwaresysteme zu rechnen ist.[38]
  7. Ende September 2017 wurde von der Bundesregierung ERVV-Verordnung [39] festgelegt, dass mit dem beA nur PDF (vermutlich PDF/A und PDF/UA Dateien) sowie TIFF-Dateien übermittelt werden dürfen. Außerdem muss die pdf-Datei (ab Mitte 2018 zwingend), einschließlich der Anhänge durchsuchbar gemacht sein, d.h. eingescannte Dokumente müssen mit einer OCR-Software aufbereitet werden, um die Durchsuchbarkeit zu gewährleisten. Auf die Fehleranfälligkeit von – via OCR – aufbereiteten Dokumenten wird in der Drucksache eingegangen.

Zur einmaligen Erstanmeldung beim beA ist eine Chipkarte zwingend notwendig. Zum alltäglichen Anmelden beim beA-Postfach können eine Chipkarte, z. B. die beA-Karte oder spezielle Softwarezertifikate mit einer jeweils dazugehörigen PIN genutzt werden.[16]

Kosten[Bearbeiten | Quelltext bearbeiten]

Einmalige Kosten entstehen für die Anschaffung der benötigten Geräte, z.B. eines Kartenlesegeräts. Die Kosten für einen Rechtsanwalt sind von der Art der genutzten beA-Karte, der Nutzung eines optionalen Softwarezertifikats sowie einer optionalen Einbindung von Mitarbeitern abhängig. Durch die Nutzung entstehen jährliche Kosten (Fixkosten).

  1. Für die Nutzung des beA mit einer beA-Karte ist ein zertifiziertes Kartenlesegerät der Klasse 2 oder 3 notwendig.[40] Die Anschaffung eines entsprechenden Kartenlesegeräts kostet einmalig circa 60 Euro. Es kann für die Anmeldung am beA und für die Erstellung qualifizierter elektronischer Signaturen genutzt werden. Möchte man darüber hinaus noch Funktionen des neuen Personalausweises oder Online-Banking nutzen, kostet ein geeignetes Kartenlesegerät circa 130 Euro.[41]
  2. Die „beA-Karte Basis“ zur Anmeldung am beA kostet 29,90 Euro (netto) pro Jahr. Die „beA-Karte Signatur“ mit einer qualifizierten elektronischen Signatur kostet 49,90 Euro (netto) pro Jahr. Letztgenannte ermöglicht auch die sichere Anmeldung im ELSTER-Portal.[41]
  3. Die „beA-Mitarbeiterkarte“ ist mit einem fortgeschrittenen Zertifikat ausgestattet. Sie ermöglicht Mitarbeitern eines Rechtsanwalts, sich am beA anzumelden und Nachrichten zu lesen. Mitarbeiter können zudem „vom Rechtsanwalt qualifiziert signierte“ Nachrichten „oder nicht der Schriftform unterliegende Nachrichten“ versenden, falls sie die Benutzerrechte eingeräumt bekommen haben. Die „beA-Mitarbeiterkarte“ kostet jährlich im 12-Monats-Abo 12,90 Euro (netto).[41]
  4. Ein optionales „beA-Softwarezertifikat“ ist ein fortgeschrittenes Softwarezertifikat. Es kann als eine Datei auf dem Computer oder USB-Stick gespeichert werden. Mit dem Zertifikat kann ein Rechtsanwalt oder ggf. ein Mitarbeiter unterwegs auf dem Laptop beA-Nachrichten abrufen und versenden. Das „beA-Softwarezertifikat“ kostet im 12-Monats-Abo jährlich 4,90 Euro (netto).[41]
  5. Dazu kommen die vom Rechtsanwalt/Notar jährlich als Gebühren von der BRAK erhobenen Kostenbeiträge, mittels derer der Dienstleister (z. Zt. ATOS) bezahlt wird.
  6. Kosten für die Implementierung einer guten OCR-Software bei Versand (sowie der Zeitaufwand, der mit der Nutzung verbunden ist).

Sicherheitsarchitektur[Bearbeiten | Quelltext bearbeiten]

Die Übermittlung von Nachrichten im beA-System erfolgt mittels einer Ende-zu-Ende-Verschlüsselung. Metadaten wie Absender und Empfänger sind mit einer Transportverschlüsselung vor Dritten geschützt. Für den Zugang zum beA-System ist eine Erstregistrierung mit der beA-Karte notwendig. Nur in Deutschland zugelassene Anwälte erhalten eine beA-Karte. Greift man via Browser oder Kanzleisoftware auf das beA zu, folgt eine Authentifizierung: die Identitätsfeststellung erfolgt über die Kombination aus einer Chipkarte oder einem Softwarezertifikat (Besitz) und einer PIN (Wissen). Die Rechenzentren für das beA-System befinden sich ausschließlich in Deutschland und unterliegen dem Bundesdatenschutzgesetz.[16]:12 f. [10]:10 ff.. Da es möglich ist, innerhalb des Rechenzentrums mittels eines HSMs die Nachricht dahingehend umzuschlüsseln, dass ein anderer Empfänger festgelegt wird, liegt genau genommen keine echte Ende-zu-Ende-Verschlüsselung vor, denn das HSM selbst bildet einen Man in the Middle.

Sicherheitspannen[Bearbeiten | Quelltext bearbeiten]

Am 22. Dezember 2017 meldete der Online-Ticker des Heise-Verlag eine schwere Sicherheitspanne beim beA.[42] Ein nicht mehr funktionierendes Zertifikat führte dazu, dass das beA nicht mehr eingesetzt werden konnte. Zuerst gab die BRAK auf ihrer Webseite bekannt, dass das Zertifikat abgelaufen war. Als jedoch bekannt wurde, dass das benötigte Zertifikat wegen eines Sicherheitsbruchs durch das beA bzw. die BRAK von der Zertifizierungsstelle zurückgezogen wurde, änderte die BRAK die offizielle Verlautbarung dahingehend, dass das Zertifikat ungültig geworden sei. Hintergrund war, dass die BRAK für den Betrieb des beA auf den PCs designbedingt sowohl einen öffentlichen als auch einen privaten Schlüssel einspielen musste. Da alle Installationen das gleiche Schlüsselpaar bekommen hatten, war der geheime Schlüssel somit kompromittiert und durfte von der Zertifizierungsstelle nicht mehr als sicher angesehen werden. Gemäß ihrer Verpflichtung musste die Zertifizierungsstelle das Zertifikat zurückrufen, also für ungültig erklären. Zunächst schlug die BRAK in einer Online-Bedienungsanleitung vor, dass der Anwender das ungültige (nicht vertrauenswürdige) Zertifikat manuell als vertrauenswürdig deklarieren sollte. Die mit solchen Einstellungen einhergehenden schwerwiegenden Sicherheitssystemwarnungen führten dazu, dass die BRAK diesen Vorschlag wieder zurückzog, da er bei einem System, dass eine hochsichere Kommunikation gewährleisten soll, als nicht akzeptable Vorgehensweise anzusehen ist. In einem nächsten Schritt schlug die BRAK vor, ein zur Verfügung gestelltes eigenes Root-Zertifikat auf dem Rechner zu installieren. Dies brachte es jedoch mit sich, dass damit auf dem lokalen PC alle anderen Zertifikate manipuliert werden können, da der PC damit zu seiner eigenen Prüfinstanz wird. Die Vorgehensweise entspricht damit dem Aushebeln der gesamten https-Sicherheitsarchitektur. Als offenkundig wurde, dass die BRAK somit ein großes Sicherheitsproblem dadurch lösen wollte, dass sie ein noch Größeres schafft, wurde das beA über die Weihnachtsfeiertage vollständig vom Netz genommen.[43] In der offiziellen Verlautbarung bleibt der wahre Hintergrund unerwähnt. Es werden statt dessen vereinzelte Anwenderprobleme als Grund angegeben.

Am 27. Dezember 2017 veröffentlichte die BRAK online, dass das beA vorerst weiter offline bleiben wird. Die BRAK will das System erst dann wieder online schalten, wenn der Dienstleister die Sicherheitsthematik des Anmeldevorgangs gelöst hat.[44] Da es sich um ein grundsätzliches Designproblem handelt, geht eine Fehlerbehebung zwingend auch mit einer entsprechenden Neuinstallation der Client-Software einher. In der gleichen Meldung rät die BRAK den Anwälten auch, das zuvor durch die BRAK bereitgestellte Zertifikat dringend wieder zu deinstallieren, da mit dem Zertifikat Sicherheitsrisiken für die individuelle PC-Umgebung einhergehen. In einem Artikel der FAZ beschreibt der Autor Constantin van Lijnden den zeitlichen Verlauf der Ereignisse und zeigt auf, dass die durch die Zertifikatspanne zutage getretenen Probleme nur einen aktuellen Schlusspunkt einer langen Abfolge von Planungsproblemen und strategischen Fehlentscheidungen bilden. Der Artikel zeigt auf, dass konsequent über lange Zeit hinweg Vorschläge von Fachleuten ignoriert wurden und wider besseren Wissens auf Technologie gesetzt wurde, die für diesen Zweck nicht optimal geeignet ist.[45] Spiegel-Online stellt die Gesamtsituation in einem zusammenfassenden Artikel ebenfalls dar und zitiert zum Ende des Artikels „Das Problem liegt im Design der Software-Architektur. Das lässt sich nicht kurzfristig beheben.“ sowie „Die sollten das komplett neu entwickeln und dabei an bestehende Technologien anknüpfen. E-Mail-Verschlüsselung ist ja keine neue Sache.“[46]

Auf dem 34. Kongress des CCC wurde über das beA unter der Überschrift „Das besondere Anwaltspostfach beA als besondere Stümperei“ im Rahmen eines Vortrags[47] berichtet. Neben dem kurz zuvor bekannt gewordenen Zertifikate-Problem wurden Sicherheitsmängel durch veraltete Java-Bibliotheken, eine nicht vorhandene „Ende zu Ende Verschlüsselung“, Angreifbarkeit durch die seit 20 Jahren bekannte ROBOT-Attacke[48] und andere ungünstige Komponenten thematisiert. Nach dem Vortrag löschte die Bundesrechtsanwaltskammer eine zuvor herausgegebene falsche Beschuldigung Dritter von ihrer Webseite.[49] Die nicht vorhandene „Ende zu Ende Verschlüsselung“ wurde jedoch bereits im Jahr 2016 auf dem „Internationale Rechtsinformatik Symposion“ in Fachgremien diskutiert.[50]

Am 2. Januar 2018 verschickte die BRAK ein Rundschreiben an die örtlichen Rechtsanwaltskammern, in der sie partiell zu den Vorwürfen Stellung nahm. Der Tenor des Schreibens ist, dass das beA eine Erfolgsgeschichte mit großer Akzeptanz bei den Anwälten sei. Das Zertifikate-Problem wird – als einziges – eingeräumt; man sei hier vom Dienstleister Atos getäuscht worden. In dem Schreiben kritisiert die BRAK auch die Wortwahl, die in Form von Schreiben, Mails und Forenbeiträgen seit dem Bekanntwerden des Skandals veröffentlicht wurden. Man sei „erschrocken darüber, dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der BRAK und am beA verknüpft“. Zu den weiteren angesprochenen Problemen äußert sich die BRAK nicht.[51]

Am 4. Januar 2018 meldet die im Verlag C.H.Beck erscheinende Neue Juristische Wochenschrift in ihrem Onlineportal als Vorankündigung auf die kommende Ausgabe, dass das Bundesjustizministerium die Bundesrechtsanwaltskammer unter Druck setzt. Das beA müsse so schnell wie möglich wieder in Betrieb genommen werden, und das Ministerium verlangt eine Aufklärung darüber, welche Kriterien die BRAK dazu bewogen haben, das beA nach einer einjährigen freiwilligen Nutzung wieder außer Betrieb zu nehmen. Ferner verlangt das Ministerium Aufklärung darüber, warum zur Fehlerbehebung ein Zertifikat in Umlauf gebracht wurde, das kurze Zeit später wiederum zurückgezogen werden musste.[52]

Am 11. Januar 2018 forderte die Free Software Foundation Europe die Freigabe des Codes, um das Projekt zukunftsträchtig zu gestalten. Die FSFE betonte: „An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher auszuschließen, sollte die Bundesrechtsanwaltkammer nun die gesamte Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden. Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal erwiesen.“[53]

Am 17. Januar 2018 veröffentliche Heise Online eine Zusammenfassung der aktuellen Erkenntnisse inkl. eines Video-Mittschnitts der Präsentation des CCC.[54] Im Video und dem Begleittext wird nochmals aufgezeigt, was getestet und was nicht getestet wurde, sowie der Verlauf der nicht funktionierenden Kommunikation mit der BRAK. Herausgestellt wird, dass die grundsätzliche Konstruktion des Clients mit seinem lokalen Zertifikat einen irreparablen Konstruktionsfehler darstellt. Die Zeitschrift ct nimmt sich in Ihrer Ausgabe 3/2018 des Themas in einem eigenen Artikel an.

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Christopher Brosch, Nutzungspflicht für das besondere elektronische Anwaltspostfach?, Neue Juristische Wochenzeitschrift (NJW) 51/2015, S. 3692
  • Keine Angst vor dem beA, Hans-Georg Warken, Tobias Warken; Rubis & Hill, Riegelsberg 2017, ISBN 978-3-00-054919-9
  • Brosch, Lummel, Sandkühler, Freiheit, Elektronischer Rechtsverkehr mit dem beA: Eine Einführung, ISBN 978-3472089704
  • Jungbauer, Das besondere elektronische Anwaltspostfach (beA) und der ERV: Pflichten - Vorteile - Haftungsfallen, ISBN 978-3824014842
  • Müller, eJustice-Praxishandbuch, 2. Aufl., Norderstedt, 2017, ISBN 9783743176799

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Besonderes elektronisches Anwaltspostfach: Endlich geht’s los! – beA. Abgerufen am 28. November 2016.
  2. beA. Was ist das beA? In: bea.brak.de. 2015, abgerufen am 9. November 2015.
  3. beA muss vorerst offline bleiben – Sicherheit und Datenschutz haben Priorität. Abgerufen am 28. Dezember 2017.
  4. a b Elektronischen Gerichts- und Verwaltungspostfach EGVP. In: egvp.de. 2015, abgerufen am 9. November 2015.
  5. Fragen und Antworten. Werden Syndikusanwälte ein beA erhalten? Wie sieht es nach der geplanten Gesetztesänderung aus? Was ist bei der Bestellung der beA-Karte zu beachten? In: bea.brak.de. 2015, abgerufen am 12. Dezember 2016.
  6. EGVP - Rechtliche Grundlagen. Allgemeine rechtliche Grundlagen. In: egvp.de. 2015, abgerufen am 9. November 2015.
  7. Text der Rechtsanwaltsverzeichnis- und -postfachverordnung (RAVPV)
  8. Der elektronische Rechtsverkehr mit den Gerichten. Besonderes elektronisches Anwaltspostfach ante portas. In: brak-mitteilungen.de. Oktober 2015, S. 216f., abgerufen am 10. November 2015 (PDF; 1,4 MB).
  9. BRAK-Positionen zur nationalen Rechtspolitik. Elektronischer Rechtsverkehr. In: www.brak.de. 2015, abgerufen am 9. November 2015.
  10. a b c Signatur und Signiervorgang. Für Anwälte. In: brak-mitteilungen.de. August 2015, abgerufen am 10. November 2015 (PDF; 1,2 MB).
  11. Bundesrechtsanwaltskammer ~ Presseerklärung 20/2015. In: brak.de. Abgerufen am 26. November 2015.
  12. Presseerklärung der BRAK Nr. 7 v. 09.06.2016. 9. Juni 2016, abgerufen am 4. September 2016.
  13. beA kommt später. BRAK verschiebt Starttermin für besonderes elektronisches Anwaltspostfach. In: bea.brak.de. 26. November 2015, abgerufen am 1. Dezember 2015.
  14. Besonderes elektronisches Anwaltspostfach: Endlich geht’s los! – beA. Abgerufen am 28. November 2016.
  15. a b c beA. Zeitplan nach ERV-Gesetz. In: bea.brak.de. 2015, abgerufen am 1. November 2015.
  16. a b c d e f g h beA kommt. Ihr elektronisches Anwaltspostfach ab 2016. In: brak.de. 24. August 2015, abgerufen am 9. November 2015 (PDF; 409 kB).
  17. Michael Schinagl: „Können Sie es sich leisten, relevante Post zu verpassen?“ In: Berliner Anwaltsblatt, September 2015, S. 297–298 (Rechtsanwalt Schinagl)
  18. Berliner Anwaltsverein Gesamtausgabe September 2016
  19. Zedler, MDR 2015, 1163 ff., 1165
  20. Marcus Werner, Julius Oberste-Dommes: Keine Überwachungspflicht für beA ohne Erstregistrierung. In: Anwaltsblatt. Nr. 1 2016, 1. Januar 2016, S. 21–26 (WERNER Rechtsanwälte Informatiker [PDF; abgerufen am 8. Januar 2016]).
  21. Marcus Werner: Stellungnahme. Die BRAK darf das beA eines Rechtsanwalts ab dem 01.01.2016 nicht ohne dessen Erstregistrierung empfangsbereit schalten. In: WERNER Rechtsanwälte Informatiker. 15. Oktober 2015, abgerufen am 1. November 2015.
  22. Stellungnahme des DAV zum beA. In: Digitale Anwaltschaft. Abgerufen am 15. Juni 2016.
  23. BRAK-Antrag. Aufforderung an die BRAK, es zu unterlassen das beA empfangsbereit einzurichten, wenn der Rechtsanwalt die Erstregistrierung nicht durchgeführt hat und das Identifizierungsverfahren nicht durchlaufen hat. In: WERNER Rechtsanwälte Informatiker. 20. November 2015, abgerufen am 26. November 2015.
  24. BRAK-Antwort. BRAK weist in einem kurzen Schreiben das Unterlassungsbegehren zurück. In: WERNER Rechtsanwälte Informatiker. 27. November 2015, abgerufen am 8. Januar 2016 (PDF).
  25. AGH-Eilantrag. Eilantrag an den AGH Berlin gegen die BRAK, kein empfangsbereites beA einzurichten, ohne dass der Rechtsanwalt die Erstregistrierung durchlaufen hat. In: WERNER Rechtsanwälte Informatiker. 22. Dezember 2015, abgerufen am 8. Januar 2016 (PDF).
  26. Presseerklärung Nr. 2. AGH-Verfahren zum besonderen elektronischen Anwaltspostfach: Hauptversammlung der BRAK beschließt Widerruf des Vergleichs. In: Pressemeldungsarchiv der Bundesrechtsanwaltskammer. 15. März 2016, abgerufen am 25. Juni 2016.
  27. Beschluss des AGH Berlin. Beschluss des Anwaltgerichtshofs Berlin vom 6. Juni 2016 – II AGH 16/15 –. In: WERNER Rechtsanwälte Informatiker. Abgerufen am 9. Mai 2016 (PDF).
  28. Presseerklärung Nr. 7. AGH-Verfahren zum besonderen elektronischen Anwaltspostfach: Anwaltsgerichtshof Berlin gibt Anträgen der Antragsteller statt. In: Pressemeldungsarchiv der Bundesrechtsanwaltskammer. 9. Juni 2016, abgerufen am 25. Juni 2016.
  29. Fragen und Antworten zum beA. In: BRAK/beA. Abgerufen am 3. Juli 2016.
  30. Verschlüsselungskonzept des beA. 17. Dezember 2016, abgerufen am 17. Dezember 2016.
  31. beA - das neue Anwaltspostfach auf dem CCC Kongress. 28. Dezember 2017, abgerufen am 29. Dezember 2017.
  32. Browser oder Kanzleisoftware. 2016, abgerufen am 12. Januar 2017.
  33. Aktuelles beA – besonderes elektronisches Anwaltspostfach. 2016, abgerufen am 12. Januar 2017.
  34. Elektronisches Gerichts- und Verwaltungspostfach. Bekanntgabe der Bearbeitungsvoraussetzungen. 2017, abgerufen am 12. Januar 2017.
  35. Formatstandards / Versionen. Bekanntmachung aufgrund § 2 (3) der Verordnung über den elektronischen Rechtsverkehr mit der Justiz im Land Berlin (ERVJustizV) vom 27. Dezember 2006. Abgerufen am 12. Januar 2017.
  36. Stellungnahme des SIV-ERV zur Verfügbarkeit der Kanzlei-Clients. 16. Dezember 2016, abgerufen am 16. Dezember 2016.
  37. Legal Tribune Online zum Thema Verfügbarkeit der Kanzlei-Software-Clients. 16. Dezember 2016, abgerufen am 17. Dezember 2016.
  38. Stellungnahme des SIV-ERV zur Integration des beA in die Fachsoftwaresysteme. 26. Januar 2017, abgerufen am 26. Januar 2017.
  39. Bundesrat Drucksache zum Thema OCR. 20. Oktober 2017, abgerufen am 20. Oktober 2017 (PDF).
  40. Hans-Georg Warken, Tobias Warken: Keine Angst vor dem beA. Rubis & Hill, Riegelsberg 2017, ISBN 978-3-00-054919-9, S. 136.
  41. a b c d Zertifizierungsstelle Bundesnotarkammer. beA-Produkte der Zertifizierungsstelle. In: bea.bnotk.de. 2015, abgerufen am 10. November 2015.
  42. Heise meldet schwere Sicherheitspanne beim beA vom 22. Dezember 2017, abgerufen am 24. Dezember 2017
  43. BRAK nimmt beA über die Weihnachtsfeiertage wegen Wartungsarbeiten vom Netz vom 23. Dezember 2017, abgerufen am 24. Dezember 2017
  44. Veröffentlichung der BRAK - beA muss vorerst offline bleiben vom 27. Dezember 2017, abgerufen am 27. Dezember 2017
  45. FAZ Einspruch, Alles was Recht ist - kein beA zum neuen Jahr vom 27. Dezember 2017, abgerufen am 28. Dezember 2017
  46. Spiegel-Online, Chaos um beA - Die Postfach-Pleite vom 27. Dezember 2017, abgerufen am 28. Dezember 2017
  47. Hanno Böck: Talk von Markus Drenger auf dem 34C3 zum beA. 2. Januar 2018, abgerufen am 12. Januar 2018.
  48. Heise berichtet über ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch vom 13. Dezember 2017, abgerufen am 28. Dezember 2017
  49. Heise berichtet über den 34C3 - das beA als besondere Stümperei vom 28. Dezember 2017, abgerufen am 28. Dezember 2017
  50. Tagungsbericht IRIS 2016 -JurPC Web-Dok. 47/2016, Abs. 1 - 35, abgerufen am 28. Dezember 2017
  51. Der Präsident der BRAK an die Landeskammern - Eine Stellungnahme vom 2. Januar 2018, abgerufen am 3. Januar 2018
  52. NJW bei Beck.de - Justizminister setzt Anwaltskammer wegen beA unter Druck vom 4. Januar 2018, abgerufen am 4. Januar 2018
  53. Max Mehl: Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist. Hrsg.: Free Software Foundation Europe. 11. Januar 2018 (fsfe.org [abgerufen am 13. Januar 2018]).
  54. Volker Weber: Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach. Hrsg.: Heise Online. 11. Januar 2018 (heise.de [abgerufen am 20. Januar 2018]).
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!