Informationen zur BRAK-Hauptversammlung am 09.01.2018

Mitteilung von Dr. Marcus Mollnau, Präsident

Der Präsident der Bundesrechtsanwaltskammer (BRAK) hatte in Vorbereitung der außerordentlichen Hauptversammlung (HV) noch einmal die Abläufe und Geschehnisse zusammengefasst, das Schreiben vom 08.01.2018 finden Sie hier.

Im Vorfeld der HV am 09.01.2018 habe ich der BRAK einen Fragenkatalog übersandt. Ich möchte mich an dieser Stelle bei den Mitgliedern des Vorstandes der Berliner Kammer und insbesondere bei den vielen Kolleginnen und Kollegen, die mir bei der Formulierung des Schreibens Unterstützung und Hilfe gewährt haben, herzlich bedanken. Hier finden Sie das Schreiben der RAK Berlin.

In der HV am 09.01.2018 konnten naturgemäß nicht alle Fragen vollständig beantwortet werden. Die BRAK hat jedoch ausdrücklich zugesagt, innerhalb weniger Tage eine schriftliche Beantwortung sämtlicher Fragen durchzuführen. Ich werde Sie über den Eingang dieses Schreibens informieren. Die Presseerklärung der BRAK über Inhalt und Verlauf der HV finden Sie hier. Insbesondere wurde am 09.01.2018 folgendes mitgeteilt:

Früherer Sicherheitstest
Die ATOS GmbH als Auftragnehmer der BRAK habe 2015 die Fa. Sec Consult mit der Durchführung eines Sicherheitstests beauftragt. Der Prüfbericht läge der BRAK vor. Meiner Bitte, diesen Prüfbericht zu erhalten, wurde bisher nicht entsprochen; die BRAK erwartet hier noch eine Freigabe durch die ATOS GmbH.

Die die BRAK beratende Firma Capgemini Deutschland GmbH habe den Prüfbericht von Sec Consult geprüft. Auffälligkeiten habe man nicht festgestellt.

Die BRAK sei zu früheren Zeiten auch an den CCC herangetreten und habe den Vorschlag unterbreitet, durch den CCC eine Überprüfung des beA-Systems durchzuführen. Dabei sollte es sich um einen Black-Box-Test handeln. Eine Vereinbarung mit dem CCC zur Durchführung einer solchen Überprüfung sei jedoch nicht zustande gekommen, da nicht gewährleistet worden sei, dass der CCC sämtliche Testergebnisse der BRAK vollständig zur Verfügung stellen würde.

Neue Sicherheitstests
Das beA-System soll erst dann wieder online gehen, nachdem es durch extern hinzugezogenen Sachverstand geprüft wurde. Durch wen die Überprüfung im Auftrag der BRAK durchgeführt werden soll, wird von der Hauptversammlung am 18.01.2018 entschieden werden; an der Suche nach einem geeigneten Sachverständigen ist auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) beteiligt. Noch nicht entschieden ist, ob Black-Box-Test oder White-Box-Test durchgeführt werden. Nach Auskunft der BRAK soll entweder vor der Wiederinbetriebnahme einen Black-Box-Test und dann im laufenden Betrieb ein White-Box-Test oder vor der Wiederinbetriebnahme auch der White-Box-Test durchgeführt werden. Da dieser jedoch auch zeitlich aufwendiger ist, würde das beA-System in einer ca. zwei- bis dreimonatigen Prüfungsphase weiter offline sein.

Der Vorstand der Berliner Kammer hat in seiner Sitzung am 10.01.2018 einstimmig beschlossen, dass das beA-System erst nach einem White-Box-Test online gehen soll. Alles andere wäre ein zu großes Risiko.

Ende-zu-Ende-Verschlüsselung und HSM
Erfreulich war, dass zu der HV zeitweilig auch Vertreter der ATOS GmbH sowie von Governikus hinzugezogen wurden. So konnten einzelne Fragen gestellt werden, die sich um das System und die Systemarchitektur rankten. Die Frage, ob trotz zugesagter „Ende-zu-Ende-Verschlüsselung“ die theoretische Möglichkeit bestehe, dass eine vom Absender verschlüsselte Nachricht im beA-System bzw. im Hardware Security Module (HSM) entschlüsselt und durch einen Dritten, zu denen auch die BRAK selbst gehört, zur Kenntnis genommen werden kann, konnte nicht abschließend beantwortet werden. Viele Kammerpräsidenten äußerten darüber ihr Unverständnis; es wurde den Teilnehmern der HV jedoch zugesichert, in den nächsten Tagen diesbezüglich eine abschließende schriftliche Antwort zu erhalten. Zugleich sollen auch die konkreten technischen Abläufe „innerhalb“ des HSM noch einmal erläutert und dargestellt werden sowie zur Notwendigkeit und Art/Umfang der Pflege und Wartung des HSM Stellung genommen werden.

beA-Update
Durch eine Update-Version beA 2.08. sollen alle von Herrn Drenger festgestellten Mängel und Bedenken ausgeräumt werden. Dieses Update soll laut ATOS GmbH in der 2. Januardekade 2018 zur Verfügung stehen.

Die BRAK plane, zeitnah ein so genanntes „beAthon“ durchzuführen. Hier sollen externe Sachverständige sowie auch Kritiker des Systems gemeinsam mit dem Hersteller und der BRAK über die in dem Update enthaltenen Lösungsansätze diskutieren. Diese Einbindung soll dazu führen, dass nicht ausreichende Lösungsvorschläge besser und schneller erkannt und korrigiert werden können.

Die BRAK konnte zudem mitteilen, dass zumindest das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) ab dem 10.01.2018 wieder online und nutzbar ist. In diesem Verzeichnis sind alle in Deutschland zugelassenen Rechtsanwältinnen und Rechtsanwälte sowie Syndikusrechtsanwältinnen und Syndikusrechtsanwälte eingetragen.

Die BRAK informierte darüber, dass das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) im Rahmen der Staatsaufsicht gem. § 176 Absatz 2 BRAO mit Schreiben vom 29.12.2017 die BRAK zur Stellungnahme aufgefordert hat. Das BMJV untersucht u.a., welche Sicherheitsrisiken bestanden haben, wie diese behoben werden sollen und wie ein Krisenmanagement bei technischen Störungen des beA organisiert sei. Die BRAK wird das Antwortschreiben den Kammern zur Verfügung stellen.