Anwaltspostfach, nächste Runde: Sollte das beA noch später kommen?

Es müsste noch ein neues Verfahren implementiert werden, das die Verschlüsselung der über das System versandten Nachrichten ermöglicht. Das wäre zwar laut der BRAK noch pünktlich vor dem 3. September möglich - allerdings geht es dieses Mal nicht nur um das beA, sondern das Problem befindet sich an einer Schnittstelle zum EGVP, also dem System der Gerichte für den Elektronischen Rechtsverkehr. Und das EGVP-Projektbüro winkt ab: Die internen Prozesse schrieben vor, "dass zwischen der Abnahme einer Version und der Verpflichtung, sie im Echtbetrieb einzusetzen, mindestens ein Zeitraum von sechs bis acht Wochen liegen" müsse. Diese Frist ist evident nicht einzuhalten.

Die BRAK will deswegen mit dem alten, unsicheren Verfahren starten, um dann im laufenden Betrieb nach Abschluss der Testphase auf ein anderes System umzustellen. Das bestätigte sie gegenüber LTO am Donnerstag. Entscheiden sollen darüber nun wiederum die Präsidenten der Regionalkammern, die bis zum 7. August im schriftlichen Verfahren abstimmen oder eine erneute außerordentliche Präsidentenkonferenz erzwingen können, die dann am 13. August stattfinden würde. Vieles spricht dafür, dass es dazu kommen wird. Nun plädieren auch der Deutsche Anwaltverein (DAV) sowie der Bund der Unternehmensjuristen (BUJ) dafür, den beA-Start erneut zu verschieben. Und die Hersteller von Kanzlei-Software sehen sich in ihrer Annahme bestätigt, dass das Timing ohnehin denkbar ungünstig ist.

DAV & BUJ: Kein Start mit Sicherheitslücken

Nach Ansicht des Ausschusses Elektronischer Rechtsverkehr des DAV birgt der Plan der BRAK, mit dem alten Verfahren zu starten und im laufenden Betrieb dann nach einer kurzen Frist auf das neue System umzusteigen, "das Risiko, dass es zu Fehlern in der Kommunikation und damit schlussendlich zu einem vorübergehenden Ausfall des elektronischen Rechtsverkehrs kommen kann."

Dabei kämen bei einer weiteren kurzen Verschiebung der Wiederinbetriebnahme "weder die Justiz noch die Bundesrechtsanwaltskammer […] in Erklärungsnot", heißt es in der am Mittwoch veröffentlichten Stellungnahme. "Angesichts der beschriebenen Schwachstelle, die ein hohes Risiko für die Vertraulichkeit der verschlüsselten Daten darstellt, erwarten wir, dass die Wiederinbetriebnahme des Systems mit dieser Schwachstelle zu einem weiteren Vertrauensverlust in die Systeme des elektronischen Rechtsverkehrs führen kann", heißt es seitens des DAV.

Die Schwachstelle wurde von der Gutachterin Secunet AG als betriebsbehindernd, nicht aber als betriebsverhindernd bewertet. Diese Einstufung in die "mittlere" Kategorie B ergibt sich aus der als niedrig eingestuften Ausnutzbarkeit einerseits und der als hoch angesehenen Bedrohung der Vertraulichkeit andererseits. Die Lücke könnte, so die BRAK, laut Secunet nur durch sogenannte Innentäter, also wohl Mitarbeiter der BRAK und/oder des ausführenden IT-Unternehmens Atos ausgenutzt werden. Wenn das aber geschehen würde, wäre der eintretende Schaden wohl immens: Der Täter hätte Zugriff auf sämtliche über das beA verschickten Nachrichten der Anwälte inklusive aller höchstpersönlichen und sensiblen Mandantendaten.

Das ist auch die große Sorge des BUJ, der sich der Forderung des DAV anschließt, bei Sicherheitslücken den Starttermin des beA zu verschieben. Jetzt gehe es um noch mehr als die von den Syndikusanwälten bislang vor allem bemängelten Sicherheitsbedürfnisse der Unternehmen: "Das betrifft die Anwaltschaft als Einheit", so eine Sprecherin gegenüber LTO. "Das Anwaltsgeheimnis ist ein hohes Gut, das vor allem von der anwaltlichen Selbstverwaltung ernst genommen und geschützt werden muss".

Haftungsfalle für Anwälte?

Die Vorsitzende des Software Industrie Verbands Elektronischer Rechtsverkehr (SIV-ERV), in dem sich Hersteller von Kanzleisoftware zusammengeschlossen haben, bewertet die Gefahr, dass die Lücke ausgenutzt wird, als nicht allzu groß. "Das halte ich für relativ unwahrscheinlich", so Sabine Ecker gegenüber LTO.

Auch aus ihrer Sicht sollte das vor Weihnachten 2017 wegen Sicherheitslücken vom Netz genommene System aber erst online gehen, wenn auch die Zusammenarbeit mit dem EGVP funktioniert: "Wenn die Schnittstelle zum System der Justiz nicht angepasst wird, entsteht geradezu eine Haftungsfalle für Anwälte". Ecker geht davon aus, dass vom Go Live des beA bis zur Umstellung dann zwar andere Anwälte, nicht aber die Justiz über das beA-System adressierbar sind. Ein Mitarbeiter könnte das System nutzen, um ein fristgebundenes Schriftstück ans Gericht zu schicken. Im hektischen Kanzleialltag passiere das schnell - und die Anforderungen des Bundesgerichtshofs an die Kanzleiorganisation seien schließlich hinlänglich bekannt.

Die BRAK stellte auf Nachfrage von LTO dagegen klar: "Die Situation, dass die Systeme nicht miteinander kommunizieren könnten, würde nur eintreten, wenn nur einer der Kommunikationspartner ein neues Verschlüsselungsverfahren einsetzen würde", sagte eine Sprecherin. Aktuell verstünden sich die Systeme ja. "Daher soll die Umstellung abgestimmt erfolgen. Einen Überganszeitraum, innerhalb dessen nur eines der an den Verbund angeschlossenen Systeme umgestellt würde, soll es nicht geben."

Die Kanzleisoftware-Hersteller kritisieren das gewählte Datum des 3. Septembers ohnehin als wenig praktikabel. Alle Schulungen für die Wiederinbetriebnahme des Systems, das eigentlich schon im Jahr 2016 online gehen sollte, lägen 1,5 Jahre zurück. Und nun soll das beA unmittelbar nach der Urlaubszeit live gehen, wenn niemand Zeit habe, sich damit zu befassen, moniert Ecker den gewählten Termin.

Vorsicht vor der Nutzungspflicht: Mit beA in den Urlaub? 

Sie weist auf eine von vielen Anwälten bislang kaum bedachte ganz praktische Tücke hin: Wer sich erst jetzt, nach dem Neustart des Client am 4. Juli, erstregistriert habe und Anfang September in den Urlaub fahre, müsse sich am 3. September von dort aus auf das System schalten.

Erst ab diesem Tag  wird es wieder möglich sein, Berechtigungen für die Mitarbeiter einzuräumen, damit diese die Posteingänge im beA kontrollieren können. Und das müssen die Anwälte gewährleisten. Denn nach heutigem Stand müssen sie davon ausgehen, dass sie ab diesem Tag mit der Liveschaltung verpflichtet sind, dort eingehende Schriftstücke gegen sich gelten zu lassen (sogenannte passive Nutzungspflicht).

Die BRAK hat sich zwar nach eigenen Angaben Ende Juni an das Bundesministerium der Justiz und für Verbraucherschutz gewandt mit dem Ziel, für eine Übergangsphase eine rechtliche Möglichkeit zu schaffen, "das beA mit der Funktion 'Senden und Empfangen von Nachrichten' in Betrieb zu nehmen, ohne dass die passive Nutzungspflicht wieder auflebt". Eine Rückmeldung gab es aber bislang offenbar nicht, bisher stellt das Ministerium sich auf den Standpunkt, es gebe keinen gesetzgeberischen Regelungsbedarf. Die BRAK geht daher weiter davon aus, dass die seit dem 1. Januar 2018 geltende passive Nutzungspflicht mit Wiederinbetriebnahme des beA-Systems am 3. September wieder auflebt.

"Entweder müssen die Anwälte dann täglich selbst ins beA schauen oder aber aus dem Urlaub die Mitarbeiter freischalten, die das für ihn übernehmen sollen". Und das bedeutet: Laptop, Kartenlesegerät und die beA-Karte müssen mit in den Urlaub. Und am 3. September müsse, so Ecker, ein Telefonat mit der heimischen Kanzlei geführt werden, um die Karten-Nummern der Mitarbeiter abzufragen.

(Update nach Hinweis der BRAK, 16:38 Uhr) Die BRAK will das so nicht stehen lassen: Die Sprecherin weist darauf hin, dass der Postfachinhaber bei der Erstregistrierung eine automatische Benachrichtigung per E-Mail einrichten könne, die ihn und ggf. weitere Personen darüber informiert, dass eine neue Nachricht im beA eingegangen ist. "Es ist also nicht notwendig, täglich ins beA zu schauen, wenn man die Benachrichtigungsfunktion aktiviert hat. Diese Benachrichtigungsfunktion und auch die bereits vergebenen Berechtigungen an andere Personen sind übrigens, wenn man sie bereits vor Ende letzten Jahres eingestellt hat, unverändert erhalten, wenn das beA wieder in Betrieb geht". (Update Ende)

Warum die BRAK trotzdem live gehen will

Vielleicht wird es dazu aber gar nicht kommen. Zwar will die BRAK nach eigenen Angaben weiter an ihrem Plan festhalten, den Beschluss der BRAK-Präsidentenkonferenz vom 27. Juni 2018 so abzuändern, dass die Schwachstelle in Abstimmung mit der Justiz erst im laufenden Betrieb beseitigt wird, das beA also plangemäß am 3. September online geht. Das bestätigte eine Sprecherin am Donnerstag auf Anfrage von LTO. Einen Widerspruch zu dem seit Monaten von ihr postulierten Grundsatz, dass Sicherheit vor Schnelligkeit gehe, sieht die BRAK im Festhalten an dem Starttermin nicht.

Man folge damit der Empfehlung von Secunet, zumal nur ein krimineller Innentäter die Lücke ausnutzen könne. Dagegen habe Atos "nach ISO 27001 zertifizierte Maßnahmen getroffen", heißt es in dem Statement. Die Schwachstelle betreffe das gesamte EGVP-System, Abhilfe könne nur gemeinsam mit der Justiz geschaffen werden. Und auch die Justiz habe sich dafür entschieden, die Umstellung erst im laufenden Betrieb vorzunehmen. Wann sie stattfinden werde, könne man wegen der Abhängigkeit der Systeme voneinander noch nicht verbindlich sagen.

Das beA müsse die technischen Vorgaben des EGVP-Verbunds einhalten und Updates entsprechend der Abstimmung im Interesse aller Verbundpartner umsetzen, so die Sprecherin. "Gemäß § 20 Abs. 2 S. 2 RAVPV hat die BRAK fortlaufend zu gewährleisten, dass die am elektronischen Rechtsverkehr beteiligten Personen und Stellen miteinander sicher kommunizieren können. Daher darf sie den (Verschlüsselungs-)Standard nicht einseitig ändern". Die BRAK halte es für sinnvoll, "vor Wiederinbetriebnahme des beA funktionale Tests aller EGVP-Verbundpartner untereinander durchzuführen, um sicherzustellen, dass der Austausch von verschlüsselten Nachrichten bei allen Teilnehmern am ERV auch im neuen System funktioniert".

Ziehen die Kammern mit?

Entscheiden müssen über eine Änderung des Beschlusses, der die Beseitigung der Lücke vor dem Start des beA vorsah, aber die Kammerpräsidenten. Nach LTO-Informationen spricht einiges dafür, dass einige Kammern nicht noch einmal einen Starttermin abnicken werden, bevor relevante Sicherheitslücken behoben wurden. Die erforderlichen fünf Kammern, die es braucht, um nach § 9 Abs. 4 S. 3 der Satzung der BRAK eine Entscheidung im schriftlichen Verfahren zu verhindern, dürften sich mit großer Wahrscheinlichkeit finden.

Nach LTO-Informationen wird der Präsident der Anwaltskammer Berlin auch nicht der Einzige sein, der die vom BRAK-Präsidium beantragte Änderung des Beschlusses vom 27. Juni ablehnen wird. Dr. Marcus Mollnau hat bereits erklärt, die Forderung des DAV nach einer späteren Inbetriebnahme zu unterstützen, das System erst wieder in Betrieb zu nehmen, wenn alle – auch die als nur betriebsbehindernd eingestuften – Schwachstellen beseitigt sind. Das gelte auch für die nun umstrittene Schwachstelle, zumal feststehe, dass deren Abstellen vor der Wiederinbetriebnahme mit vertretbarem Aufwand möglich ist, sagte der Berliner Anwalt, der sich bereits seit Monaten offensiv für eine Ende-zu-Ende-Verschlüsselung des beA einsetzt, gegenüber LTO: "Es kann nicht das Ziel der Selbstverwaltung sein, so schnell wie möglich ein mit Schwachstellen behaftetes System wieder in Betrieb zu nehmen".

Schon bei dem Beschluss von 27. Juni hatten neun der Kammerpräsidenten dagegen gestimmt, sich auf einen Starttermin festzulegen, bevor die Mängel beseitigt sind, die als betriebsverhindernd identifiziert worden waren. Sie wurden überstimmt (mit 16 Stimmen bei zwei Enthaltungen). Aber das Unbehagen über den von einigen in Bezug auf die Mängelbeseitigung als bloße Absichtserklärung empfundenen Beschluss blieb. Es dürfte mit den neuen Entwicklungen nicht geringer geworden sein.