Besonderes elektronisches Anwaltspostfach: Deutscher Anwaltverein fragt "beA - Wie geht es weiter?"
Nachdem der CCC Sicherheitslücken beim besonderen elektronischen Anwaltspostfach meldete und eine Nachbesserung gründlich schiefging, wurde das beA kurzerhand abgeschaltet. Wie geht es nun weiter?
Am 1.1.2018 sollte das besondere elektronische Anwaltspostfach beA für die Kommunikation zwischen Anwalt und Gericht starten. Kurz vor Weihnachten führten gravierende Sicherheitsprobleme dagegen zu einem fristgerechten Fehlstart. Am Montag, den 22. Januar beschäftigte sich nun der Deutsche Anwaltverein (DAV) in Berlin in einem eigenen Symposion “beA – Wie geht es weiter?” mit den zutage getretenen Problemen.
In einer ersten technischen und rechtlichen Bestandsaufnahme zum beA hielt Rechtsanwalt Ulrich Schellenberg, DAV-Präsident, fest: "Wir brauchen ein absolut sicheres und nutzerfreundliches beA, damit das Vertrauen der Anwaltschaft in den elektronischen Rechtsverkehr nicht verloren geht. Um dies zu erreichen brauchen wir eine schonungslose Fehleranalyse, Transparenz und eine seriöse Planung für den Neustart." Sicherheit gehe vor Schnelligkeit. Wichtig sei, dass alle Beteiligten offen zusammen arbeiteten. Wesentlich aus Sicht des DAV ist, dass neben Rechtsanwälten auch unabhängige technische Experten hinzugezogen werden.
Schellenberg dankte ausdrücklich Markus Drenger vom Chaos Darmstadt e.V. dafür, Sicherheitsprobleme vor dem eigentlichen Start gemeldet zu haben, statt erst im laufenden Betrieb. In Teilen der Anwaltschaft ist diese Aussage umstritten. Mancher vermutete ein bösartige Attacke. In seinem technischen Vortrag legte Denger noch einmal die möglichen Handlungsalternativen Full Disclosure, Responsible Disclosure und Schweigen dar und erklärte, warum sich Chaos Darmstadt von Anfang an für Responsible Disclosure entschieden hatte. Nur bekannte Probleme würden auch behoben und schlössen damit spätere bösartige Attacken aus.
Vertrauen ist ein scheues Reh
Im Anschluss an den technischen Vortrag beleuchtete Rechtsanwalt Martin Schafhausen, Vorsitzender des Ausschusses Elektronischer Rechtsverkehr des DAV, die rechtliche Situation des ausgefallenen beA. Er betonte vor allem die Verschwiegenheitspflicht der Anwaltschaft über die Belange ihrer Mandanten und folgerte daraus, wie wichtig das Vertrauen in die beA-Sicherheit sei. Vertrauen sei ein scheues Reh, dass schnell flüchtet.
Die anschließende Podiumsdiskussion zeigte viele Gemeinsamkeiten, aber auch fundamentale Differenzen auf. Einerseits besteht großes Interesse, das ohnehin schon zwei Jahre verspätete beA in Betrieb zu nehmen, um die Digitalisierung der Anwälte voran zu treiben. Andererseits besteht großes Misstrauen in die technische Lösung. Insbesondere die vielen Probleme, die eine oberflächliche Analyse der Client-Security bereits offengelegt hat, erschüttern das Vertrauen in die gesamte Implementierung. Man glaubt den Beteuerungen der BRAK (Bundesrechtsanwaltskammer) und des technischen Dienstleisters Atos einfach nicht. Die Diskrepanz zwischen dem Anspruch einer Ende-zu-Ende-Verschlüsselung und einer undokumentierten und ungeprüften Umschlüsselung im Kern des Systems macht den Anwälte zu schaffen.
Einig waren sich alle Beteiligten, dass der von der BRAK für den Freitag angesetzte beAthon eine reine Werbeveranstaltung ist. An einem Nachmittag ließe sich die Sicherheit der Plattform nicht herstellen. Der Name beAthon klinge nach einem Hackathon, aber das sei nicht zu erwarten.
Ende-zu-Ende oder nicht?
Rechtsanwältin Nina Diercks, beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte, forderte eine kritische Analyse ein und stellte in den Raum: Entweder habe die BRAK keine Kenntnisse von Problemen gehabt, oder sie wollte sie nicht wahrhaben und habe Fehler ignoriert und die Entwickler mit NDAs gekettet, so dass diese Fehler nicht melden konnten. Sie misstraut dem Hardware-Sicherheits-Modul (HSM) und stellte fest, beim beA wurde überhaupt nicht an die EU-DSGVO gedacht.
Rechtsanwalt Prof. Dr. Peter Bräutigam, Mitglied des Geschäftsführenden Ausschusses der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (DAVIT) betonte vor allem seine Bereitschaft, der BRAK in der Not zu helfen. Man sitze in einem Boot und brauche endlich Offenheit und Transparenz, sowie alle Dokumente und Spezifikationen. Weniger Transparenz wünschte er sich in der Außenwirkung. “Wir sollten als Anwälte die Öffentlichkeit außen vor lassen, das nicht in der breiten Öffentlichkeit diskutieren und vor allem nicht über die Presse kommunizieren.”
Eine technische Lösung
Ralph Vonderstein, Leiter des Geschäftsbereich Legal Software bei Wolters Kluwer und früher selbst Software-Entwickler, warb vor allem für eine langfristige Weiterentwicklung von beA. Man könne nicht einfach ein Release veröffentlichen und dann fünf Jahre nichts mehr unternehmen. beA brauche einen Projektverantwortlichen, der nicht von Bürokratie gebremst werde, eine langfristige Pflege und externe technische Beiräte.
Vonderstein hält die Client-Security für einen Totalausfall. Die meisten Anwender nutzten das KSW-Toolkit im Rahmen ihrer Kanzleisoftware. Die Client-Security sei nur einmal zur Einrichtung der Postfächer notwendig. Sein Unternehmen habe die Java-Implementierung von Atos umgeschrieben und neu als .NET-Bibliothek implementiert. Wolters Kluwer sei bereit, diese Bibliotheken und auch den Source-Code zur Verfügung zu stellen, damit daraus native Clients für Windows und macOS erstellt werden können. Die Sicherheitsprobleme der Client-Security seien damit hinfällig. Wolters Kluver nutzt die Bibliotheken selbst für die eigene Kanzlei-Software, so dass Mitarbeiter für die Anbindung an beA die von Atos erstellte Client-Software gar nicht nutzen würden.
Die Frage, ob das HSM sicher sei, könne niemand beantworten, meint Vonderstein. Seiner Meinung nach ist das Gerät sicher, zumindest sicherer als alles, was aktuell eingesetzt werde. Man könne das beA retten und innerhalb von Monaten oder Jahren auf eine stabile Version 2 fortentwickeln. Vonderstein thematisierte auch das Thema Lasttest. Die BRAK wisse schlicht nicht, wie tragfähig das System ist.
Rechtsanwalt Martin Schafhausen forderte ein Kanzleipostfach als Erweiterung der Anwaltspostfach, das eine arbeitsteilige Nutzung besser unterstützt. Sein Herzenswunsch sei darüber hinaus die Nutzung des Bürger-Client für das EGVP nur mit persönlicher Authenfizierung zu erlauben, damit nicht irgendwelche Hacker das System mit Konten und Nachrichten fluten können.
Insellösungen
Markus Drenger vom Chaos Darmstadt beklagte, dass in Deutschland an allen Ecken irgendwelche Speziallösungen entwickelt würden, die sich am Ende aber nicht durchsetzten. Man sollte mehr auf offene Standards setzen.
Die Diskussion wirft die Frage auf, warum die Anwaltschaft unbedingt eine eigene Lösung wollte, wo es doch bereits die De-Mail gibt, die sich auch nicht so recht durchsetzt. Was Rechtsanwalt Schafhausen fordert, leistet De-Mail bereits. Und die Justiz unterhält Gateways zu De-Mail.
Vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) war Marie Luise Graf-Schlicker, Abteilungsleiterin der Abteilung R (Rechtspflege), anwesend. Nur die BRAK hatte keinen Vertreter geschickt. Dabei wäre der Weg nicht weit gewesen. Der DAV sitzt in der Littenstraße 11 in Berlin, die BRAK nebenan in der Littenstraße 9.
Update 24.1.2018: Der Deutsche Anwaltverein hat die Videoaufzeichnung des Symposiums veröffentlicht.
(vowe)
