Menu

#beagate – Passive Nutzungspflicht des beA fällt vorerst aus

von Carsten Kindermann | beA

Dez 29

Für das besondere elektronische Anwaltspostfach, kurz beA, sollte in den kommenden Tagen die „passive Nutzungspflicht“ beginnen, also die Verpflichtung für Anwälte in Deutschland, Ihr beA-Postfach einzurichten und für eingehende Nachrichten von Gerichten oder anderen Anwälten empfangsbereit zu sein.

Daraus wird jetzt nichts. Das beA ist seit dem 23.12. wegen einer schweren Sicherheitspanne offline – und wird auch nicht zum 1.1.2018 wieder online gehen.

Für alle, die die Ereignisse seit dem 22. Dezember nicht oder nur in Teilen mitbekommen haben, habe ich hier noch einmal einige der aus meiner Sicht wichtigsten Artikel zusammengestellt und zum Teil kommentiert. Die Auswahl ist sehr subjektiv und erhebt keinen Anspruch auf Vollständigkeit.

Fangen wir an mit ein paar allgemeineren Berichten zur aktuellen Situation und zum Werdegang dessen, was im Netz schon als „beA Gate“ bezeichnet wird:

Die folgenden Artikel beschreiben etwas detaillierter, wie die Situation am 22. Dezember eskalierte – und gehen etwas detaillierter auf die Sicherheitslücke und die damit verbundenen Risiken ein:

  • Hanno Blöck für GOLEM.de:
    Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre,
    https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html

    • Markus Drenger vom Darmstädter Ableger des Chaos Computer Club entdeckt die unsachgemäße Verteilung eines privaten Schlüssels, worauf das Zertifikat von der T-Systems/Telesec gesperrt wird.
    • Die Nachbesserungsversuch seitens ATOS als Hersteller der beA-Software verschlimmert das Problem noch.
    • Die BRAK entfernt den Aufruf zur Nachinstallation des neuen Zertifikats ohne auf die Sicherheitsrisiken zu informieren.
    • GOLEM stellt einen einfachen Online-Test bereit, mit dem Anwälte überprüfen können, ob sie nach der Nachinstallation und der versuchten Deinstallation von dem (zweiten) Sicherheitsproblem betroffen sind.

Am 28.12.2017 halten die Darmstädter „Hacker“ Markus Drenger und Felix Rohrbach auf 34. Jahreskonferenz des Chaos Computer Club (CCC) einen Vortrag über die Ergebnisse ihrer Analysen:

  • Detlef Borchers für Heise:
    34C3: Das besondere Anwaltspostfach beA als besondere Stümperei, https://heise.de/-3928474

    • Bericht über den Vortrag von Markus Drenger und Felix Rohrbach auf der 34C3.
    • Die beiden Hacker haben keinen Angriff auf die Software unternommen, sondern nur öffentlich zugängliche Dokumente analysiert.
    • Neben den o.g. Problemen mit den offen gelegten privaten Schlüsseln, haben beide weitere Schwachstellen des beA-Systems identifiziert, z.B. die Verwendung von Java-Libraries, die seit August 2015 „End of Life“ sind.
    • Drenger/Rohrbach äußern Zweifel an der von der BRAK zugesagten Ende-zu-Ende-Verschlüsselung.

Eher etwas für Liebhaber ist folgender Artikel zum Thema Ende-zu-Ende-Verschlüsselung:

  • Günter Urbanczyk:
    Warum das „besondere elektronische Anwaltspostfach“ (beA) keine echte Ende-zu-Ende-Verschlüsselung hat,
    http://www.q4-kanzlei.de/uploads/beA-Sicherheit.pdf

    • Detaillierte Beschreibung des Verschlüsselungsprinzips des beA, soweit dieses aus den Unterlagen auf der bea.brak.de ersichtlich ist.
    • Entspricht wohl im Kern der Darstellung von Drenger/Rohrbach.
    • Vermutlich werden die Mitteilungen/Dateien/etc. bei der Übermittlung vom Sender an den Empfänger nicht entschlüsselt.
    • Aber: Die BRAK könnte die Dateien vermutlich entschlüsseln (sie hat Zugriff auf alle dafür benötigten Schlüssel).

Ein großes Ärgernis war aus Sicht vieler Anwälte lange Zeit die (fehlende, unvollständige oder zum Teil nicht korrekte) Krisenkommunikation der BRAK (s. auch die Hinweise in o.g. Artikeln). Mittlerweile bemüht man sich seitens der BRAK um eine bessere Informationspolitik:

Die Preisfrage ist jetzt: Wie geht es weiter?

  • Einen zeitlichen Fahrplan für eine Wiederfreischaltung des beA kann die BRAK derzeit offensichtlich nicht bekanntgeben.
  • Aus Sicht der BRAK existiert ohne bereitgestellte beA-Infrastruktur auch keine (passive) Nutzungspflicht zum 1.1.2018.
  • Den Anwaltspostfächer im beA-System können derzeit keine Nachrichten zugestellt werden. Denn andere Anwälte können das beA auch nicht nutzen und damit ihren Kollegen keine Nachrichten senden. Und auch die Gerichte können lt. BRAK – trotz weiterhin vorhandener EGVP-Infrastruktur – die beA-Postfächer derzeit nicht adressieren.
  • Zwischen einer Ankündigung, dass das beA wieder online geht, und seiner Nutzbarkeit sollen die Anwälte eine Vorbereitungszeit bekommen.

Was aber, wenn eine Anwältin oder ein Anwalt auf die Vorteile des elektronischen Rechtsverkehrs (ERV) nicht verzichten möchte, bis irgendwann das beA wieder freigeschaltet wird? Oder ergibt sich sogar eine Verpflichtung, einen alternativen elektronischen Nachrichtenzugang zu eröffnen?

Update vom 30.12.2017: Und zu guter Letzt möchte ich Ihnen folgenden lesenswerten Artikel empfehlen:

Soweit meine persönliche Zusammenstellung von Artikeln zur dramatisch veränderten Situation rund um das besondere elektronische Anwaltspostfach vor dem Jahreswechsel 2017/2018 in Folge des #beagate.

Trotz aller Turbulenzen: Kommen Sie gut ins neue Jahr!

Mit besten Grüßen,

Carsten Kindermann

P.S. Blättern Sie bitte weiter nach unten und hinterlassen Sie einen Kommentar: Wie werden Sie sich jetzt verhalten? Bleiben Sie bei gelber/grüner Post und Fax oder versuchen Sie sich bis zur Wiederfreischaltung des beA mit einer der ERV-Alternative zu behelfen?

Folge

Über den Autor

Carsten Kindermann ist Gründer von Legalito und verantwortet die Legalito Services und Projekte für Anwaltskanzleien und Notariate. Bei Legalito ist er Chef-Digitalisierer und IT-Manager für Kanzleien unterschiedlicher Größe und als zertifizierter Datenschutzexperte (DEKRA) als Berater und externer Datenschutzbeauftragter tätig. Carsten Kindermann ist Gründer und Geschäftsführer der LKzwo GmbH, der Firma hinter Legalito. Seit Mitte der 90er Jahre hat er Digitalisierungsprojekte in unterschiedlichen Branchen konzipiert, geleitet und erfolgreich umgesetzt. Er hat an der TU Berlin Informatik studiert und in Künstliche Intelligenz promoviert. Er ist mit einer Rechtsanwältin verheiratet und hat zwei Kinder.

  • Rolf Mertig sagt:

    Vielen Dank für die gute Übersicht!
    Was für ein Drama.

    Der Linkedin Link geht nicht mehr. Dieser schon:
    http://legal-tech-blog.de/7-lehren-aus-dem-bea-debakel

    • Carsten Kindermann sagt:

      Danke für die freundliche Rückmeldung. Und den Hinweis auf den „broken link“ – habe das im Beitrag gleich mal mit „Ihrem“ Link korrigiert.

  • […] #beagate – Passive Nutzungspflicht des beA fällt vorerst aus eine zeitlich und thematisch gewichtete Linkssammlung […]

  • >