Eine wahre Herkulesaufgabe

Eine wahre Herkulesaufgabe

Eine wahre Herkulesaufgabe

Das besondere elektronische Anwaltspostfach (beA) bleibt offline. Mit Hochdruck wird derzeit an den technischen Problemen gearbeitet. Der BUJ begrüßt derweil die zweiphasige Wiederinbetriebnahme des beA durch die BRAK und fordert eine Vorlaufzeit für die neue Software und zukünftige Updates von mindestens zwei Monaten.

Das besondere elektronische Anwaltspostfach (beA) bleibt offline. Mit Hochdruck wird derzeit an den technischen Problemen gearbeitet. Der BUJ begrüßt derweil die zweiphasige Wiederinbetriebnahme des beA durch die BRAK und fordert eine Vorlaufzeit für die neue Software und zukünftige Updates von mindestens zwei Monaten.

 

Ein zum Betrieb erforderliches Sicherheitszertifikat, das die browserbasierte Arbeit am Postfach erst ermöglicht, erwies sich als Hintertür für Schadsoftware. Weil das seit 2014 beauftragte Unternehmen Atos und sein Subunternehmer Governikus keine verlässliche Lösung pünktlich zum für alle Rechtsanwälte verbindlichen Start anbieten konnte, entschied sich die Bundesrechtsanwaltskammer (BRAK), das beA kurzum bis auf Weiteres vom Netz zu nehmen.

Alle Berufsträger, die das Postfach seit seiner Einführung im November 2016 fleißig nutzten und die Vorteile bislang zu schätzen wussten, dürften verärgert sein. Gegner des beA, darunter Kollegen, die den digitalen Umzug ihrer Kommunikation prinzipiell nicht mitmachen wollten, werden hingegen frohlocken. Die Skeptiker sehen sich darin bestätigt, dass der gute alte Übertragungsweg per Briefpost und Fax immer noch der sicherste ist, ganz gleich, ob sie mit dieser Haltung inzwischen zu den Dinosauriern ihrer Zunft zählen. Es darf als eine IT-Herkulesaufgabe bezeichnet werden, die Digitalisierung auch für die anwaltliche Kommunikation rechtssicher unter Maßgabe aller berufsständischen Regeln zu gestalten.

So war das beA von Anfang an ein sehr anspruchsvolles Projekt: 154.683 Rechtsanwälte im Bundesgebiet (Stand 2017), davon über 9.000 Unternehmensrechtsanwälte, mussten mit dem neuen Postfach vernetzt werden. Es bleiben viele spannenden Fragen, vor allem, wann es wieder funktionieren wird. Wen trifft die Schuld für die Sicherheitspanne und die Nichtnutzbarkeit des beA? Ende Januar dieses Jahres lässt Atos per Presseerklärung verbreiten, dass ein Lösungsansatz gefunden sei. Der BRAK sei eine neue Client-Anwendung zur Verfügung gestellt worden, die bei der Installation auf dem Rechner des Nutzers lokal ein individuelles Zertifikat erstellt. Dieses Zertifikat hätte lediglich eingeschränkte Rechte und sei nur in der lokalen Installation bekannt. Der „Schutz gegen missbräuchlichen Einsatz des Zertifikats“ sei dadurch „massiv erhöht“ worden, so Atos. Auf dem am 26. Januar 2018 abgehaltenen Sicherheitsdialog BeAthon, an dem Atos und der Subunternehmer Governikus aber nicht teilnahmen, wurde die neue von Atos angebotene Client Security seitens der BRAK immerhin als „sichere Basis“ bezeichnet. Aus Sicherheitsgründen sprach die BRAK gleichzeitig aber die Empfehlung aus, veraltete Client Security umgehend zu entfernen.

Das beA kommt zurück, so oder so, weil es gesetzlich vorgeschrieben ist. Die Nutzung des beA kann auch dazu führen, dass alte Hard- und Software gegen aktuelle ausgetauscht werden muss. Das ist im Zweifel mit erforderlichen Investitionskosten verbunden, Kosten, die aber nicht der Verpflichtung zur Bereitstellung des beA geschuldet sind. Spätestens mit der ab Mai geltenden DSGVO muss nämlich die Computertechnik jeder Kanzlei und Rechtsabteilung aus Datenschutzgründen „ajour“ sein (Art. 25, 32 DSGVO). Wann das beA wieder online sein wird, bleibt trotz intensiver Bemühungen der BRAK dennoch weiter offen (Stand 13.02.2018). Patrick Ruppert

Der Vizepräsidenten der BRAK, Dr. Martin Abend, verantwortlich für die technische Umsetzung des beA, zu der aktuellen Problemlage.

Das beA sollte ein Meilenstein für die rechtliche Kommunikation sein. War die Zeit der Planung und Umsetzung, vor allem nach den gegen das beA geführten Gerichtsverfahren, für eine verpflichtende Nutzung für alle Rechtsanwälte zum 1. Januar 2018 nicht zu ambitioniert gesetzt?

Die Gerichtsverfahren haben mit der momentanen Betriebsunterbrechung nichts zu tun. Das beA-System nahmen wir am 28. November 2016 in Betrieb. Anwälte nutzten es bis zur Betriebsunterbrechung Ende Dezember 2017.Seit der Inbetriebnahme des beA Ende November 2016 entwickelten wir das System weiter, um die seither geänderten gesetzlichen Anforderungen umzusetzen: Über das Berufsrecht der Syndikusrechtsanwälte haben sich beispielsweise Änderungen ergeben, die wir im November 2017 in das beA aufnahmen. Auch das Gesetz über die Umsetzung der Berufsanerkennungsrichtlinie hat zu einem Update im beA-System geführt. Diese Entwicklungen haben uns nicht besonders unter Druck gesetzt. Diese Updates hängen auch nicht mit dem Defekt zusammen, der zur Entscheidung führte, das beA offline zu nehmen.

Was war dann der Grund?
Der Grund, das beA offline zu nehmen, liegt am Umgang mit den digitalen Zertifikaten in der Client Security. Mit der Client Security, die auf dem Computer des Anwalts liegende Software des beA-Systems, erhält der Nutzer Zugang zum beA. Deswegen ist es misslich, dass es bei dieser Software, die jeder Anwalt, jede Anwältin auf ihren Rechner installieren muss, zu dieser Betriebsstörung gekommen ist. Wir tun alles, das beA so schnell wie möglich wieder online gehen zu lassen, indem wir die Client Security neu aufbauen lassen. Über das beA versandte Nachrichten waren jederzeit durchgehend verschlüsselt. Auf die Verschlüsselung wirkte sich der Defekt in der Client Security nicht aus.

Hätte die BRAK nicht noch gezielter die Berufsträger ansprechen müssen, um dieses so wichtige Vorhaben besser zu vermitteln?
BRAK und Rechtsanwaltskammern unterrichteten über die gesetzlichen und technischen Entwicklungen um den ERV und das beA kontinuierlich seit 2013, seit einiger Zeit auch in den regelmäßig versandten beA-Newslettern. Darüber hinaus sind wir Anwälte auch verpflichtet, uns ständig über die Rechtsentwicklung auf dem Laufenden zu halten, insbesondere über die berufsrechtliche Entwicklung. Selbst wer nur regelmäßig die NJW liest, wusste, was beA bedeutet.

Die berufsrechtlichen Anforderungen an das beA sind sehr konkret. Wir mussten die sichere und nicht für Dritte einsehbare Kommunikation zwischen Anwälten und der Justiz herstellen. Und – das ist einer der Gründe, warum das beA einzigartig ist, anders als das EGVP – es war sicherzustellen, dass Anwälte zum Zeitpunkt des Sendens einer Nachricht zugelassen sind. Sämtliche Regeln der BRAO hatte das beA technisch abzubilden. Wir konnten uns eben nicht nur an EGVP und DE-Mail orientieren, auch nicht an anderen technischen Lösungen.

Sieht man einmal von der Sicherheitspanne ab, gibt es Positives über das beA zu berichten?
Mit dem seit November 2016 eingesetzten beA erleichterte sich die Kommunikation der Rechtsanwälte mit Gerichten im Rahmen des ERV immens. Für mich zum Beispiel hat das beA schon fast zu viele Möglichkeiten, was man damit machen kann. Andere fragen dagegen nach noch weiteren Funktionen. Die BRAK wird neben den Gesetzänderungen auch diese Interessenvarianz bei der Weiterentwicklung des beA-Systems zu berücksichtigen.Diejenigen, die mit dem beA seit 13 Monaten gearbeitet haben, sind ganz überwiegend zufrieden. Wer mit dem beA arbeitet und darin Routine bekommt, der ist jetzt enorm enttäuscht, dass es im Moment ausfällt.

Wer trägt die Schuld am Ausfall des beA?
Das ist eindeutig ein Mangel oder ein Fehler, der unserem Technologiepartner unterlaufen ist bei der Reparatur der Client Security. Markus Drenger vom Chaos Computer Club hat innerhalb der Client Security ein Software-Zertifikat namhaft gemacht, das daraufhin nicht mehr verwendet werden durfte. Und in dem raschen Reparaturbetrieb, den Atos dann durchführte, ist ein eklatanter Fehler passiert, der uns veranlasste, die Client Security und damit das beA offline zu nehmen.

Beurteilt Atos die Frage nach der Verantwortlichkeit für den Fehler auch so?
Selbstverständlich, das ist eindeutig! Da zweifelt keiner dran.

 

Das beA wird auf älteren Plattformen vermutlich nicht laufen. Schwierig dürfte es mit weniger verbreiteten Betriebssystem wie etwas MAC OS sein.
Das ist leider so. Wir müssen die Client Security anpassen an die große Varietät der verwendeten Betriebssysteme. Bei Apple unterstützen wir Sierra und das kommende High Sierra. Die Unterstützung älterer Systeme ist ein Aufwand, den wir nicht betreiben können. Das beA kostet zwischen 67 und 50 Euro per annum. Diese Kosten werden zukünftig voraussichtlich sinken.

Kommen höhere Kosten auf die Nutzer des BeA zu? Wann wird eine tragfähige und sichere Lösung wieder online sein?
Nein, mit höheren Kosten rechne ich nicht. Den Zeitpunkt, ab wann eine tragfähige und sichere Lösung zur Verfügung steht, kann ich allerdings nicht nennen. Wir arbeiten an dieser Lösung, so schnell wie möglich. Trotzdem gilt hier: Sicherheit geht vor Geschwindigkeit!                                                                                                                                          Interview: Patrick Ruppert

November, 2018

Mo

Di

Mi

Do

Fr

Sa

So

-

-

-

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

08Nov(Nov 8)9:3009(Nov 9)18:10Digital General Counsel

22Nov(Nov 22)18:3023(Nov 23)18:10Digital Legal Counsel

26Nov(Nov 26)18:3027(Nov 27)18:10IP Summit 2018



X