Desaster beim Anwaltspostfach: Ist das beA noch zu retten?

3/3: Jetzt soll ein unabhängiger Fachbeirat her

Nun sind Zweifel an der gebetsmühlenartig wiederholten Behauptung der BRAK, das Anwaltspostfach sei besonders sicher und durch eine Ende-zu-Ende-Verschlüsselung geschützt, nicht neu. Branchenkenner weisen seit Jahren darauf hin, dass bei einer echten Ende-zu-Ende-Verschlüsselung nur ein Empfänger den Schlüssel hat, um die Nachricht zu dekodieren. Dort liegt allerdings auch eine berufsrechtlich bedingte Besonderheit des beA, die in gängigen IT-Sicherheitsstandards nicht berücksichtigt wird: Es muss gesichert sein, dass auch ein Vertreter des Postfachinhabers die Nachricht empfangen, also entschlüsseln kann. Diese Anforderung machte eine Umschlüsselung erst nötig, deren Umsetzung nun zu der Sicherheitslücke geführt hat.

CCC-Mitglied Drenger hält mit seiner Kritik am ausführenden französischen IT-Unternehmen Atos nicht hinter dem Berg: "Ich würde der Bundesrechtsanwaltskammer raten, sich einen neuen Dienstleister zu suchen – oder jedenfalls eine externe Beratung mit einer entsprechenden Fachkompetenz".

Letztere Forderung erhebt der DAV seit Jahren und wiederholte sie auch am Mittwoch. Auch aus IT-Kreisen wird ein solcher unabhängiger Fachbeirat der BRAK hinter den Kulissen seit Jahren ans Herz gelegt. Möglicherweise hätte er verhindern können, dass ein proprietäres System geschaffen und im stillen Kämmerlein für sicher erklärt wird, ohne es der Öffentlichkeit zum Testen zugänglich zu machen. Bisher waren diese Ratschläge stets ungehört verhallt. Nun aber erklärte die BRAK gegenüber LTO, bei der Entscheidung, wie es nun weiter gehen soll, auch externe Experten als Gutachter hinzuziehen zu wollen.  

Den Anwälten reicht es

Noch mehr aber als in Sachen Technik wird die BRAK in Sachen Kommunikation aus dem stillen Kämmerlein kommen müssen. Der DAV forderte am Mittwoch öffentlich mehr Transparenz von der BRAK. Ihre Mitteilungen hätten für Verunsicherung in der Anwaltschaft gesorgt, heißt es in seiner Erklärung. Der Anwaltverein beklage "den Vertrauensverlust der Anwaltschaft in das beA, der die Akzeptanz dieses Kommunikationsmittels weiter gefährdet".

Ein Blick in die sozialen Medien lässt daran zweifeln, dass es in der Anwaltschaft überhaupt noch Vertrauen und Akzeptanz gibt, die gefährdet werden könnten. Die Geduld der Anwälte scheint überstrapaziert, von gezielter Desinformation ist dort die Rede. Man überlegt laut, welche Schadensersatzansprüche man geltend machen wird – schließlich zahlen die Anwälte seit Jahren erhöhte Mitgliedsbeiträge für das System, haben besonders in größeren Einheiten schon erhebliche Anschaffungskosten gezahlt und natürlich Manpower in Anmeldung, Verständnis und Inbetriebnahme des Postfachs investiert.

Die Anwaltskammer (RAK) Thüringen hat in der Mail, mit der sie am 27. Dezember darüber informierte, dass sie das Zertifikat wieder deinstallieren sollten, ihre Mitglieder gebeten, sich, "sollte Ihnen ein Schaden entstanden sein, direkt an die Bundesrechtsanwaltskammer zu wenden. Die Rechtsanwaltskammer Thüringen ist weder für die Installation oder die Errichtung noch den Betrieb des beA verantwortlich".

Jan Helge Kestel, der Präsident der Thüringer Kammer, macht seiner Wut aber auch direkt gegenüber der BRAK Luft. In einem Brandbrief, der LTO vorliegt, bezeichnet er den gesamten Vorgang rund um das herunterzuladende Zertifikat als "ungeheuerlich und inakzeptabel". Die Kommunikation der BRAK, die die Kammern noch vor Weihnachten zur Veröffentlichung der Aufforderung zum Download des Zertifikats drängte, danach aber erst am 27. darüber informierte, dass man die Anwälte zum Download eines Sicherheitsrisikos aufgefordert hatte, sei "deutlich zu kritisieren".

Kammer-Präsident: desolate Informationspolitik der BRAK

Auch das Schreiben an die Kammern vom 27. Dezember, das LTO vorliegt, enthält kaum mehr Erklärungen oder Details, als auch die Öffentlichkeit zu diesem Zeitpunkt von der BRAK bekam. Das Schreiben bestätigt aber, dass die BRAK am Donnerstag, den 21. Dezember erfuhr, dass das System eine erhebliche Sicherheitslücke aufweist.

Für ihre Kommunikation danach gibt es bisher weder Erklärungen noch ausdrückliche Richtigstellungen: Weshalb sie die Anwälte darüber nicht spätestens am Freitagmorgen informierte, sondern mit einem angeblich abgelaufenen Zertifikat stattdessen eine Anweisung begründete, die alles noch schlimmer machte. Es gibt keine Erklärung dafür, weshalb der Download eines neuen Zertifikats für nötig erklärt wurde, obwohl in allen Browsern davor gewarnt wurde. Noch immer sagt niemand, warum die BRAK nicht zumindest bei der Abschaltung des beA erklärte, dass es um massive Sicherheitslücken ging, und keineswegs um "vereinzelte Verbindungsprobleme". Und noch immer gibt es auch keine Begründung dafür, dass die Anwälte noch über mehrere Tage die Anleitung zu dem gefährlichen Download auf der Webseite der BRAK fanden und auch die Kammern erst am 27. Dezember informiert wurden. Und niemand weiß, wer all diese Entscheidungen traf.

Jan Helge Kestel von der RAK Thüringen, nach eigenen Angaben ein Anhänger und Befürworter des Anwaltspostfachs, fühlt sich laut seinem Schreiben an die BRAK "aufgrund der desolaten Informationspolitik nicht mehr dazu in der Lage, vor Ort gegenüber dem beA eine positive Grundstimmung aufrechtzuerhalten oder zu schaffen und der wohl größer werdenden Zahl von Zweiflern entgegen zu treten". Sein Schreiben endet mit den Worten "Ich hoffe – nein, eigentlich erwarte ich -, dass es nicht bis zur Präsidentenkonferenz benötigt, um klare und nachvollziehbare Antworten auf die jetzt aufgeworfenen Fragen und Probleme zu erhalten".