BRAK weist Verantwortung für beAGate von sich: Anwälte müssen Umlage 2018 zahlen

von Pia Lorenz

18.01.2018

Obwohl das beA nicht funktioniert, erhebt die BRAK die Umlage auch für 2018. Das Anwaltspostfach zu verantworten habe man sich schließlich nicht ausgesucht. Und dessen komplexe Anforderungen habe der Gesetzgeber definiert.

Die Bundesrechtsanwaltskammer (BRAK) wird den Beitrag für das besondere elektronische Anwaltspostfach (beA) auch 2018 von den Kammern abrufen. Anträge mehrerer regionaler Kammern, die es für nicht vermittelbar hielten, die beA-Umlage von 58 Euro von den Anwälten zu erheben, obwohl das Anwaltspostfach seit Weihnachten und bis auf Weiteres offline ist, wurden offenbar abgelehnt. Die Möglichkeit, dass die BRAK die Sonderumlage für das Jahr 2018 nicht oder nur anteilig bei den regionalen Kammern abruft, war bereits im Rahmen der Hauptversammlung der BRAK im vergangenen Jahr beschlossen worden.

In der Hauptversammlung am Donnerstag habe man über den jährlichen Beitrag, der im Jahr 2018 bei 58 Euro liegt und den die Kammern bei den Anwälten einziehen, diskutiert, heißt es in der Mitteilung der BRAK. Man betont jedoch, dass man diese Beiträge "unter anderem für die Entwicklung des beA-Systems, den Betriebsaufwand der Rechenzentren und den Support durch einen Service Desk verwendet" habe. Kosten also, die unabhängig davon angefallen sind und weiterhin anfallen, ob das beA online ist oder eben nicht.

"Mögliche Minderausgaben werden sich, wie auch in den vergangenen Jahren, auf die Beiträge in den kommenden Jahren auswirken", heißt es in der Mitteilung. Die Anwälte hätten, so der Dachverband, für die Realisierung des beA seit 2015 Beiträge von insgesamt rund 32,5 Millionen Euro an die BRAK geleistet. Die habe davon an den technischen Dienstleister rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Systems gezahlt. Die weiteren Aufwendungen für die Realisierung des Systems betrügen seit Beginn des Projektes rund 5,5 Millionen Euro, so die Presseerklärung der BRAK. "Die derzeit noch zur Verfügung stehenden liquiden Mittel dienen dem Betrieb und der Weiterentwicklung des beA in den kommenden Jahren."

BRAK schiebt Verantwortung für beAGate von sich

Jede Verantwortung für das Desaster um das Postfach schiebt die BRAK weit von sich. Sie habe es sich schließlich nicht ausgesucht, das beA zu verantworten; so muss man den letzten Satz ihrer Erklärung vom Donnerstagabend wohl verstehen: "Als Dachorganisation der 28 Rechtsanwaltskammern als gemäß §§ 175 ff. BRAO errichtete Körperschaft des öffentlichen Rechts unter der Rechtsaufsicht des Bundesministeriums der Justiz fiel es der BRAK zu, die Entwicklung des beA zu verantworten", heißt es dort. 

Es sei schließlich der Gesetzgeber gewesen, der vorgeschrieben habe, dass der Zugang über eine Zwei-Faktor-Authentifizierung erfolgen und das System barrierefrei ausgestaltet sein müsse. Außerdem solle das beA unterschiedlich ausgestaltete Zugangsberechtigungen für Rechtsanwälte und für andere Personen vorsehen. Und auch die in der Anwaltschaft massiv kritisierte Beschränkung, dass eine Nachricht nicht größer als 60 MB sein und nicht mehr als 100 Anhänge haben darf, sei auf Vorgaben des Gesetzgebers zurückzuführen.

Erklären möchte die BRAK damit offenbar, warum sie nicht auf bestehende EGVP-Lösungen auf dem Markt zurück gegriffen, sondern für das Anwaltspostfach den Unternehmer Atos damit beauftragt hat, ein komplett eigenes System zu entwickeln und aufzusetzen.

BRAK: beA-Tests 2015/2016 ergaben ein "hohes Sicherheitsniveau"

Wann das Postfach wieder online gehen soll, ist weiter offen. Fest steht nun, dass die BRAK die vom Bundesamt für Sicherheit in der Informationstechnik (BSI)  empfohlene Gesellschaft secunet Security Networks AG mit der Erstellung eines Sicherheitsgutachtens zum besonderen elektronischen Anwaltspostfach (beA) beauftragen will. Das Sicherheitsgutachten soll sich vor allem auf die Frage fokussieren, ob es weiterhin mögliche Sicherheitsrisiken in der Verbindung zwischen Browser und Client Security des beA-Systems gibt, so die BRAK. Eine detaillierte unabhängige Prüfung der zahlreichen anderen Sicherheitslücken, insbesondere der zurzeit nicht vorhandenen Ende-zu-Ende-Verschlüsselung, scheint die BRAK nicht für notwendig zu erachten.

Antworten auf die zahlreichen weiteren Fragen, die die Anwälte in den vergangenen Wochen stellten, gibt die BRAK weiterhin nicht. Der Präsident der Anwaltskammer (RAK) Hamburg, Otmar Kury, hat jedoch bereits eine Stunde nach dem offiziellen Ende der Hauptversammlung die aus seiner Sicht wichtigsten technischen Informationen aus der Sitzung zusammen gestellt. Diese könne er weder technisch überprüfen noch kommentieren, betont Kury.

Sicherheitstests in den Jahren 2015/2016, in die auch die "vom Frontend erreichbaren Server sowie die Client Security" einbezogen worden seien, hätten ein "hohes Sicherheitsniveau" des beA-Systems ergeben. Vorgelegt hat die BRAK den Report der SEC Consult aber weiterhin nicht. Dieser sei als "streng vertraulich" gekennzeichnet, es gebe keine Freigabe dafür, ihn weiterzugeben.  

Die BRAK bleibt nach Angaben von Kury dabei, dass sie im Jahr 2015 mit der Idee an den Chaos Computer Club herangetreten sei, das beA-System im Rahmen eines Camps testen zu lassen. Sie habe die Idee nicht weiterverfolgt, nachdem der CCC nicht verbindlich zugesagt habe, ihr die Testergebnisse zur Verfügung zu stellen, gibt Kury die BRAK wieder. Nach LTO-Informationen stammte ein Vorschlag, den CCC (der ohnehin keine Sicherheits-Siegel vergibt) sich beim Camp das beA einmal ansehen zu lassen, dagegen von einem Dritten, der sich anbot, einen Kontakt zu vermitteln. Dieser Vorschlag soll nach Angaben gut informierter Kreise von der BRAK abgelehnt worden sein, weil Mitglieder des CCC nicht bereit gewesen sein sollen, Verschwiegenheit über die Ergebnisse zuzusagen.

"Kein Nutzer hat im normalen Betrieb Zugriff auf Schlüssel"

Zu den Sicherheitslücken der Client Software, die CCC-Mitglied Markus Drenger vor Weihnachten aufdeckte und die das IT-Magazin heise zuletzt am Donnerstag auf irreparable Konstruktionsfehler zurückführte, gibt Kury Folgendes wieder: "Die Implementierung des Hardware Security Moduls (HSM) enthält keinerlei Funktionalität, welche die Schlüssel im Klartext exportieren kann. Somit hat kein Nutzer im normalen Betrieb des HSM Zugriff auf die Schlüssel."

Und weiter: "Die Hardware des HSM ist durch Schutzmechanismen gesichert. Es ist gewährleistet, dass kein Anwender im Fall eines Angriffs auf das HSM (etwa das gewaltsame Öffnen und den Versuch des Auslesens des Speichers) Zugriff auf das Klartext-Schlüsselmaterial erhalten kann. Der physische Zugang zu den DataCentern und zum HSM ist durch ein mehrschichtiges Sicherheitskonzept geschützt."

Ob Nutzer im normalen Betrieb oder Anwender im Fall eines physischen Angriffs auf die Hardware auf die Schlüssel zugreifen könnten, ist allerdings nicht die Frage. Die schon in der Sondersitzung der vergangenen Woche unbeantwortet gebliebene Frage, ob Dritte – u.a. die BRAK selbst – per beA versandte Nachrichten entschlüsseln und lesen können, wurde offenbar weiterhin nicht beantwortet. Das IT-Magazin Heise sieht das grundlegende Problem darin, "dass der Client sowohl das Zertifikat als auch das Kennwort dazu kennt. Der Schlüssel liegt sozusagen unter der Fußmatte. Es spielt keine Rolle, unter welcher Ecke der Fußmatte man ihn versteckt". Unklar sei, so das Fachmagazin, wie diese Konstruktion überhaupt als sicher zertifiziert werden konnte.

Laut der BRAK, wiedergegeben von RAK-Präsident Kury, ist auch die HSM-Lösung von Capgemini überprüft worden. Und dann: "Die Ergebnisse der Überprüfung sind in die weitere Verhandlung der Konzeption des Systems eingeflossen."

Über das weitere Vorgehen will die BRAK wie bereits angekündigt auf der Grundlage des Gutachtens eines externen Experten sowie der Ergebnisse eines sogenannten beAthons in der kommenden Woche entscheiden. "Über die bereits diskutierten Mängel hinaus", die von Atos "im Rahmen des etablierten Fehlerbehebungsprozesses  behoben" würden, habe sie keine Kenntnis von relevanten Sicherheitslücken des beA.

Zitiervorschlag

Pia Lorenz, BRAK weist Verantwortung für beAGate von sich: Anwälte müssen Umlage 2018 zahlen . In: Legal Tribune Online, 18.01.2018 , https://www.lto.de/persistent/a_id/26563/ (abgerufen am: 17.10.2021 )

Infos zum Zitiervorschlag