Anwaltspostfach: Kein beA vor Juni

Das besondere elektronische Anwaltspostfach (beA) wird aller Voraussicht nach nicht vor Juni 2018 wieder online gehen. Die für Umsetzung und Betrieb verantwortliche Bundesrechtsanwaltskammer (BRAK) hat am Mittwoch die Präsidenten der regionalen Kammern über das Treffen mit dem Gutachter-Unternehmen Secunet AG informiert, das am Dienstag in Berlin stattfand. 

Nach der ersten Einschätzung des Unternehmens zum Sicherheitszustand des Anwaltspostfachs stehe fest, "dass das beA Schwachstellen hat, die wir vor dem Wiedereintritt in den online-Betrieb beseitigen werden", heißt es in dem Schreiben der BRAK. Und wörtlich weiter: "Aus den vorläufigen Einschätzungen des bisherigen Befundes geht aber auch hervor, dass keine der bislang identifizierten Schwachstellen eine grundsätzliche Überarbeitung der beA-Systemarchitektur erfordert". 

Nach Angaben der Dachorganisation der Anwälte wird das mit der Umsetzung und dem Betrieb des Systems beauftragte französische Unternehmen Atos einige Wochen brauchen, um die ausgemachten Sicherheitslücken zu beheben. In der Zwischenzeit soll Secunet eine umfassende Bewertung des beA-Systems vornehmen, die laut BRAK-Präsident Ekkehart Schäfer auch das umstrittene Hardware Security Modul (HSM) umfasst. Secunet selbst bietet HSM an. Nicht klar wird aus dem Schreiben von Schäfer, ob das HSM im Rahmen der bisherigen vorläufigen Prüfung bereits gecheckt wurde. Seine umfassende Prüfung will Secunet nach Aussage von Schäfer bis Mitte Mai abschließen und dann auch das vollständige Sicherheitsgutachten vorlegen. 

Damit ist der theoretisch frühestmögliche Zeitpunkt für eine Wiederinbetriebnahme Anfang Juni 2018. Selbst wenn das endgültige Gutachten ergäbe, dass keinerlei weitere Mängel beseitigt werden müssten, sondern dass System sofort online gehen kann, hat die BRAK bislang zumindest eine 14-tägige Frist vor einem Neustart des Postfachs zugesagt,  damit die Anwälte, die seit dem 1. Januar 2018 gesetzliche verpflichtet sind, eingehende Schriftstücke im beA gegen sich gelten zu lassen, sich auf den Start vorbereiten können. Wenn es nach dem Bund der Unternehmensjuristen (BUJ) geht, wäre ein Start erst frühestens Mitte Juli möglich. Der BUJ fordert eine mindestens achtwöchige Frist zwischen der Bereitstellung der Client-Security* und Wiederinbetriebnahme des Systems, weil die Syndizi in den Unternehmen nicht webbasiert auf das beA zugreifen können, sondern dieses über die IT-Abteilungen implementiert werden muss. "Für den Bundesverband der Unternehmensjuristen geht Sicherheit vor Schnelligkeit", bekräftigte die Leiterin der Hauptstadtrepräsentanz, Inga Vogt, gegenüber LTO. Der BUJ will sich weiter erst äußern, wenn das Gutachten und seine Ergebnisse vorliegen. 

Eine erste schriftliche Stellungnahme an die Kammerpräsidenten sowie eine öffentliche Erklärung zu den bisher identifizierten Sicherheitslücken kündigt die BRAK für die kommende Woche an. Das Schreiben, das den Kammerpräsidenten am Mittwoch zuging, endet mit einer Bitte um Verständnis dafür, "dass dieses Rundschreiben der internen Information und Transparenz dient, es ist derzeit nicht für die breite Öffentlichkeit bestimmt." Es wurde bereits am Mittwochabend mehrfach im Netz veröffentlicht. 

Zuvor hatten die Präsidenten der Kammern nachrichtlich noch ein anderes Schreiben von BRAK-Präsident Schäfer erhalten. In einer Mail, die LTO vorliegt, lehnt der Präsident es ab, der Aufforderung des Berliner Kammerpräsidenten nachzukommen, ein Protokoll der Präsidiumssitzung vom 8. Januar vorzulegen. Innerhalb der Sitzung habe das Präsidium der BRAK lediglich die Konferenz mit den regionalen Kammerpräsidenten vorbereitet, heißt es in der Mail. Das war die Sondersitzung, die kurzfristig anberaumt worden war, nachdem sukzessive immer mehr Sicherheitslücken des beA-Systems bekannt geworden waren, das die BRAK Weihnachten vom Netz genommen hatte. 

Die Entscheidungen, die das BRAK-Präsidium daraufhin getroffen hat, bezeichnet Schäfer in seiner Mail als Entscheidungen der laufenden Geschäftsführung im Sinne des § 6 Abs. 3 der Organisationssatzung. Sie seien also nicht zu protokollieren. Das gilt seines Erachtens auch für die "aufgrund der mit Atos abgeschlossenen Verträge zu erklärenden Abnahmen" bezüglich des beA-Systems, die er ebenfalls zu Entscheidungen der laufenden Geschäftsführung erklärt. 

Die nächste BRAK-Hauptversammlung steht am 27. April* an. Noch vor Ostern könnten die Kammern, die teilweise die beA-Umlage der Anwälte nur unter Vorbehalt an die BRAK weiter geleitet haben, darüber informiert werden, was die BRAK für das Jahr 2019 an Kosten für das beA veranschlagen wird.  

*Anm. d. Red.: zwei Korrekturen am 29.03.2018, 12.28 und 13.05 Uhr