BRAK legt Fahrplan für den Neustart des beA vor
Für die BRAK sind die Ergebnisse des Sicherheitsgutachtens eindeutig: Der Wiederinbetriebnahme des beA stehen keine unüberwindliche Hürden im Weg. Das Abschlussgutachten zeige, dass das beA ein geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr sei, heißt es in dem parallel zum Gutachten veröffentlichten Rundschreiben an die Kammerpräsidenten vom 20. Juni 2018. Das Verschlüsselungskonzept biete technisch gesehen einen hinreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten. Bereits am 27. Juni 2018 – also in einer Woche – soll eine außerordentliche BRAK-Präsidentenkonferenz als BRAK-Hauptversammlung den weiteren Fahrplan zur Wiederinbetriebnahme beschließen.
BRAK-Präsidium: beA kann am 3. September 2018 online gehen
Geht es nach dem BRAK-Präsidium wird die beA-Client-Security bereits ab Mittwoch, den 4. Juli 2018, wieder zum Download zur Verfügung stehen – Mitten in den beziehungsweise pünktlich zu Beginn der Sommerferien in vielen Bundesländern. Ab dem 4. Juli 2018 sollen dann auch Registrierungen von Postfächern wieder möglich sein, so dass Nachzügler den Start ihres beA vorbereiten können. Nachrichtenübermittlungen werden aber nicht möglich sein. Das beA selbst soll dann am Montag, den 3. September 2018, wieder ans Netz gehen. Dann sollen Nachrichten empfangen werden und gesendet werden können.
Keine Testphase vor Neustart
Bemerkenswert: Die BRAK scheint davon auszugehen, dass mit der Freigabe der Postfächer auch die passive Nutzungspflicht aufleben soll – auf eine Testphase vor dem berufsrechtlich relevanten Echt-Start will das BRAK-Präsidium offensichtlich verzichten. Mutig nach der Vorgeschichte erscheint: Das BRAK-Präsidium ist sich sicher, dass die in dem Sicherheitsgutachten dargestellten Schwachstellen bis zur Wiederinbetriebnahme beseitigt werden können, so wie es die Gutachter vorschlagen. In der höchsten Schwachstellen-Kategorie A sind nach Angaben der Gutachter aber noch zwei Schwachstellen offen, darunter auch eine bei der beA-Client-Security. Ihre Empfehlung auf Seite 13 des Gutachtens: „Für die noch nicht behobenen betriebsverhindernden Schwachstellen wird empfohlen, die beA-Anwendung erst nach deren vollständiger Beseitigung wieder in Betrieb zu nehmen. Darüber hinaus empfehlen wir ebenfalls, die als ‚betriebsbehindernd‘ eingestuften Schwachstellen baldmöglichst zu beheben.“
DAV will Sicherheitsgutachten selbst analysieren lassen
In einer ersten Reaktion begrüßte der Präsident des Deutschen Anwaltvereins die Veröffentlichung des Sicherheitsgutachtens: „Der DAV begrüßt, dass die BRAK ihrem Versprechen folgend das Gutachten nun veröffentlicht hat. Mit der Veröffentlichung ist ein wichtiger Schritt zur dringend erforderlichen Transparenz getan. Der DAV wird das Gutachten nun mithilfe externer Fachleute analysieren. Er möchte damit seinen Beitrag dazu leisten, dass die Anwaltschaft zuletzt verloren gegangenes Vertrauen in das beA und in den Elektronischen Rechtsverkehr zurückgewinnen kann“, so Schellenberg.
Auf jeden Fall ist eines nach der ersten Durchsicht des Sicherheitsgutachtens klar: Genauso wenig wie Menschen fehlerfrei arbeiten, gibt es die perfekte Technik. Am Ende geht es um die Bewertung von Risiken beim beA und wie sie wirtschaftlich und technisch vertretbar minimiert werden können. Dafür sollte sich die Anwaltschaft vielleicht die Zeit nehmen, die eine solche Diskussion braucht, zumal Anwältinnen und Anwälte vor dem AGH Berlin gegen das beA klagen. Immerhin ist das beA in diesen Tage bereits fast sechs Monate vom Netz.
Erste DAV-Analyse: Zeitplan den tatsächlichen Notwendigkeiten anzupassen - Sicherheit vor Schnelligkeit
(Erstes Update 26. Juni 2018)
Der DAV hat am 26. Juni 2018 in der DAV-Stellungnahme Nr. 28/2018 ausdrücklich die Veröffentlichung des Gutachtens der Secunet Security Networks AG begrüßt. Mit dieser Initiativ-Stellungnahme gibt der DAV - einen Tag vor der außerordentlichen BRAK-Präsidentenkonferenz am 27. Juni 2018 - eine erste Einschätzung zu dem Gutachten ab. Der DAV erwartet, dass vor der Wiederinbetriebnahme des beA-Systems die von Secunet beschriebenen Schwachstellen der Kategorie A (betriebsverhindernde Fehler) und der Kategorie B (betriebsbehindernde Fehler) behoben werden. Außerdem müsse vor Inbetriebnahme das im Gutachten geforderte umfassende Sicherheitskonzept für das beA erstellt und in wesentlichen Teilen veröffentlicht werden. Der DAV fordert die BRAK zudem auf, den Zeitplan den tatsächlichen Notwendigkeiten anzupassen. Das beA-System sollte erst online gehen, wenn Secunet mitgeteilt hat, dass alle betriebsver- und behindernden Fehler beseitigt worden sind. Zwischen der Mitteilung und dem Neustart sollte ein Monat als sicher Ankündigungszeitrum liegen. So hätte die BRAK die Möglichkeit, heißt in der Stellungnahme, die Wiederinbetriebnahme des beA möglicherweise zu verschieben.
beA offline - Anwälte sollen trotzdem für beA-Karten zahlen
(Zweites Update 26. Juni 2018)
Das besondere elektronische Anwaltspostfach (beA) ist nach wie vor offline. Das hindert die Zertifizierungsstelle der Bundesnotarkammer (BNotK) nicht, trotzdem Geld für die beA-Karten einzufordern. Seit einigen Tagen verschickt sie Rechnungen, mit denen Leistungen der Zertifizierungsstelle auch für Zeiträume abgerechnet werden, in denen das beA gar nicht genutzt werden konnte. Das sorgt für weiteren Unmut in der Anwaltschaft.
„Es ist sicher richtig, dass die Zertifizierungsstelle in den letzten Monaten die beA-Karten zu Verfügung gestellt hat und auch Aufwand etwa für den Support der Karten und Zertifikate hatte, doch von einer tatsächlichen Nutzung der Karten kann nicht gesprochen werden“, so Rechtsanwalt Martin Schafhausen, Vorsitzender des DAV-Ausschusses Elektronischer Rechtsverkehr. Begrüßenswert wäre es, wenn die Bundesnotarkammer wie im Jahr 2016 verfahren würde. Damals hatte sie bei der Aussetzung der Inbetriebnahme der Postfächer entschieden, den Nutzungszeitraum um die Zeit zu verlängern, in denen unter anderem wegen der gerichtlichen Entscheidung des Anwaltsgerichtshofs Berlin, das beA für die Antragsteller nicht in Betrieb zu nehmen, nicht genutzt werden konnte (AGH Berlin, AnwBl 2016, 601). „Entsprechend mag auch jetzt verfahren werden“, so Schafhausen, „die BRAK kann der Zertifizierungsstelle die Kosten erstatten und Ansprüche gegenüber Atos anmelden.“
Die Rechtsanwaltskammer Berlin empfiehlt ihren Mitgliedern, die Rechnung zu begleichen und den Rechnungsbetrag gegenüber der Bundesrechtsanwaltskammer als Schadensersatz geltend zu machen. Der Präsident der Bundesrechtsanwaltskammer habe bereits angekündigt, schlüssig vorgetragene Ansprüche an die Firma Atos weiterleiten zu wollen.
