Anwaltspostfach-Desaster: RAK Berlin hat kein Ver­trauen mehr, BUJ will zwei Monate vor einem Neu­start

von Pia Lorenz und Christian Dülpers

29.01.2018

Die RAK Berlin vertraut in Sachen beA der BRAK und Atos allein nicht mehr. Damit reagierte Präsident Mollnau auf die Ereignisse vom Freitag. Der BUJ fordert unterdessen Kanzleipostfächer und mehr Zeit vor einem Neustart des Anwaltspostfachs. 

Die Rechtsanwaltskammer (RAK) Berlin hat in einem Rundschreiben an ihre Mitglieder erklärt, nicht allein auf Erklärungen der Atos GmbH oder der Bundesrechtsanwaltskammer (BRAK) zu vertrauen, wenn es um die Sicherheit des besonderen elektronischen Anwaltspostfachs (beA) geht.

Präsident Dr. Markus Mollnau stellt sich damit für seine Hauptstadt-Kammer öffentlich gegen die Dachorganisation der Rechtsanwälte, die das Anwaltspostfach verantwortet. Er kündigte an, dass die RAK Berlin in der Hauptversammlung der BRAK beantragen werde, "dass eine Wiederinbetriebnahme des beA erst erfolgen darf, wenn durch externe Sachverständige nach vollständigen Prüfungen (White-Box-Tests) die Sicherheit des gesamten Systems und die absolute Vertraulichkeit der über das System zu versendenden Nachrichten gewährleistet und nachgewiesen sind."

Kurz vor Weihnachten hatte die verantwortliche BRAK das beA vom Netz genommen, nachdem man vom Chaos Computer Club auf gravierende Sicherheitsmängel hingewiesen worden war. Seitdem ist das Postfach offline. Es soll nun von einem externen Sachverständigen begutachtet und danach in zwei Phasen wieder hochgefahren werden. Zuerst soll die neue Client Security zum Download bereitgestellt, nach Ablauf einer "angemessenen" Frist das System selbst wieder aktiv geschaltet werden. Experten gehen davon aus, dass schon die Begutachtung eher Monate als Wochen dauern wird. Der Bund der Unternehmensjuristen (BUJ) forderte am Montag dennoch, dass die Frist zwischen Schritt eins und der Wieder-Inbetriebnahme mindestens zwei Monate betragen solle.

BUJ: Zwei Monate für Unternehmen und Kanzleien mit eigener IT-Struktur

Die BRAK hat bisher lediglich eine "angemessene" Zeitspanne zwischen Ankündigung und Neustart zugesagt, sich aber auf keine konkrete Dauer festgelegt. Zwei Monate bräuchten Unternehmen und Kanzleien mit eigener IT-Infrastruktur, so nun der BUJ. Denn deren einzelnen Nutzern und damit auch Rechtsanwälten und Syndikusrechtsanwälten würden regelmäßig keine Administratorenrechte eingeräumt. Jede neue Software und jedes Update müssten standardmäßig von der unternehmenseigenen IT-Security geprüft, freigegeben, paketiert und ausgerollt werden.

Da bisher nicht absehbar ist, wann das beA wieder online geht, wird nun der EGVP-Client mindestens bis Ende Mai 2018 laufen. Diese Zeit solle man bei der BRAK dazu nutzen, über das beA künftig auch Kanzleien, Rechtsabteilungen und anderen Berufsgeheimnisträgern Zugang zu eröffnen, so der BUJ. Am Montag vor seiner Jahrestagung bot der Verband zudem seine Unterstützung für einen Fachbeirat zum Anwaltspostfach an.

Am selben Morgen reagierte der Berliner Kammerpräsident, der schon nach den bisherigen Sitzungen der regionalen Präsidenten zum beA seine Mitglieder umgehend öffentlich informierte, auf die Ereignisse vom vergangenen Freitag. Nachdem Dienstleister Atos seine Teilnahme an einer Krisensitzung zum beA kurzfristig abgesagt hatte und danach öffentlich verkündete, das System sei nach einem Update wieder sicher und integer, trafen sich bei der BRAK IT-Experten zur beA-Krisensitzung ohne die Dienstleister.

Im Rahmen dieses sog. beAthon stellte sich heraus, dass über die bisher bekannten Sicherheitslücken hinaus der beA-Client von einer Lücke betroffen ist, über welche bösartige Webseiten Code ausführen und einen Rechner übernehmen könnten – auch während das System offline ist. Die BRAK forderte daraufhin per Pressemitteilung dazu auf, den Client zu deinstallieren. Nach LTO-Kenntnisstand gab es darüber hinaus bislang keine Informationen an die regionalen Kammern – und damit an die rund 165.000 Anwälte in Deutschland - über diese Gefahr, den sonstigen Verlauf des beAthon und seine Ergebnisse.

Was bisher geschah

Das Postfach sollte ursprünglich bereits im Jahr 2016 online gehen. Der Start verzögerte sich zunächst wegen technischer Probleme, dann aufgrund mehrerer Klagen von Anwälten. Erst nachdem eine Verordnung u.a. zur Regelung der Nutzungspflicht nachgeschoben wurde, konnte es losgehen.

Kurz vor Weihnachten vergangenen Jahres nahm die BRAK das System dann vom Netz, nachdem man gravierende Sicherheitsmängel festgestellt hatte. Zu diesem Zeitpunkt waren nach Angaben der BRAK von den rund 165.000 Anwälten in Deutschland erst rund 65.000 angemeldet.

Seit dem 1. Januar dieses Jahres sind die Anwälte verpflichtet, in dem System eingehende Schriftstücke gegen sich gelten zu lassen. An dieser gesetzlichen Regelung hält das Bundesjustizministerium bislang auch fest, für einen Machbarkeitsvorbehalt sieht man dort keinen Anlass. Die BRAK sichert zu, dass niemand Zugriff auf das System hat. Das Elektronische Gerichts- und Verwaltungspostfach (EGVP) soll zumindest bis Ende Mai weiterlaufen.

Zahlen sollen die Anwälte für das System trotzdem. Die BRAK will die Umlage auch 2018 abrufen, sie liegt derzeit bei 58 Euro pro Jahr und Anwalt. Anträge mehrerer regionaler Kammern, die das für nicht vermittelbar halten, waren nicht erfolgreich. Die BRAK erklärte, die Kosten fielen "unter anderem für die Entwicklung des beA-Systems, den Betriebsaufwand der Rechenzentren und den Support durch einen Service Desk" an und damit unabhängig davon an, ob das Postfach online ist oder nicht.

Die rund 165.000 Anwälte in Deutschland zahlen seit 2015 jährlich einen gesonderten Beitrag zuzüglich zum Kammer-Beitrag. Laut der BRAK haben sie bislang insgesamt rund 32,5 Millionen Euro geleistet. Die BRAK habe davon an den technischen Dienstleister rund 20,5 Millionen Euro für die Entwicklung und den Betrieb des Systems gezahlt. Die weiteren Aufwendungen für die Realisierung des Systems betrügen seit Beginn des Projektes rund 5,5 Millionen Euro. Laut der BRAK dienen die derzeit noch zur Verfügung stehenden liquiden Mittel dem Betrieb und der Weiterentwicklung des beA in den kommenden Jahren.

Zitiervorschlag

Pia Lorenz und Christian Dülpers, Anwaltspostfach-Desaster: RAK Berlin hat kein Vertrauen mehr, BUJ will zwei Monate vor einem Neustart . In: Legal Tribune Online, 29.01.2018 , https://www.lto.de/persistent/a_id/26755/ (abgerufen am: 29.11.2021 )

Infos zum Zitiervorschlag