So erreichen Sie uns:

  • Rechtsanwaltskammer Berlin
    Littenstraße 9 · 10179 Berlin
  • Tel. (030) 306931-0
  • info@rak-berlin.org
28.06.2018

Zum 03.09.2018 soll das beA-System freigeschaltet werden

Der Kammerpräsident berichtet von der außerordentlichen Präsidentenkonferenz am 27.06.2018

Liebe Kolleginnen und Kollegen,

am 27.06.2018 trat eine außerordentliche Präsidentenkonferenz (PräsK) der Bundesrechtsanwaltskammer (BRAK) zusammen, die sich erneut mit dem beA-System beschäftigte. Grundlage der Debatte war das Gutachten der Secunet AG. Ich berichte wie folgt:

1.    Zuerst der am Ende der Sitzung gefasste Beschluss:

Die PräsK hat beschlossen, ab dem 04.07.2018 die Client Security des beA zum Download und zur Installation bereitzustellen und die Erstregistrierung zu ermöglichen, soweit von der Secunet AG zuvor bestätigt wird, dass einzelne der festgestellten und derzeit noch nicht behobenen Schwachstellen beseitigt wurden. Zum 03.09.2018 soll das beA-System freigeschaltet und damit wieder in Betrieb gehen, soweit die Secunet AG die Beseitigung weiterer Schwachstellen bestätigt hat.

Zwei der festgestellten Schwachstellen (Ziffer 5.5.1. und 5.5.3. des Gutachtens der Secunet AG) werden erst im laufenden Betrieb, voraussichtlich in den ersten Monaten des Jahres 2019, beseitigt. Auch die in Kapitel 5.7. des Gutachtens geforderte Optimierung der Betriebs- und Sicherheitskonzepte soll im laufenden Betrieb, voraussichtlich in den ersten Monaten des Jahres 2019, durchgeführt werden.

Den gefassten Beschluss finden Sie hier.

2.    Damit wird es ab dem 04.07.2018, wenn die Voraussetzungen vorliegen, für jede Kollegin und jeden Kollegen möglich sein, die Client Security auf dem Kanzleirechner zu installieren. Soweit Sie eine Kanzleisoftware nutzen, empfehle ich Ihnen, zeitnah mit dem Anbieter der Software Kontakt aufzunehmen und mit diesem zu klären, ob Sie die Client Security installieren müssen oder ob eine Implementierung des beA-Systems in die Kanzleisoftware erfolgt(e). Ich verweise darauf, dass ab dem 04.07.2018 lediglich eine Erstregistrierung im beA möglich ist; die Vergabe einzelner Rechte zum Zugriff auf das Postfach etc. kann jedoch noch nicht erfolgen. Diese Rechtevergabe wird erst ab der Wiederinbetriebnahme des beA-Systems möglich sein.

3.    In der PräsK wurde unter anderem auch der Auftrag der BRAK an die Secunet AG, der Grundlage für die Erstellung des Abschlussgutachtens war, erörtert. Nach den mündlichen Ausführungen des Präsidenten der BRAK wurde die Secunet AG mit Folgendem beauftragt:

a)    Technische Analyse des beA-Clients
b)    Konzeptprüfung des beA-Systems insgesamt
c)    Sicherheitsanalyse des beA-Systems insgesamt
d)    Abschlussanalyse für die BRAK-PräsK

4.    Berichtet wurde vom Präsidenten der BRAK zudem, dass die erste Fassung des Gutachtens, die die Secunet AG vorgelegt hatte, einem Umfang von ca. 50 Seiten hatte und nach einer Diskussion der Secunet AG mit dem Präsidium der BRAK zurückgezogen wurde. Grund dafür sei, dass es keine Empfehlungen an die PräsK für das weitere Vorgehen im Gutachten gegeben habe. Zudem sei die Verständlichkeit einzelner Passagen nicht ausreichend gewesen.

5.    Bekanntlich hat die Secunet AG in dem Abschlussgutachten die festgestellten Schwachstellen in drei Kategorien eingestuft. Bei der Kategorie A handelt es sich um betriebsverhindernde Schwachstellen, bei der Kategorie B um betriebsbehindernde Schwachstellen und bei der Kategorie C um sonstige Schwachstellen. Für die Kategorie A wurde von der Secunet AG dringend empfohlen, diese Schwachstellen vor einer Inbetriebnahme zu beheben. Schwachstellen der Kategorie B sollten sobald wie möglich behoben werden; sie stünden aber einer vorherigen Wiederinbetriebnahme nicht entgegen. Die Schwachstellen der Kategorie C haben lediglich unerhebliche Auswirkungen auf den beA-Betrieb, so dass eine Abstellung empfohlen wird, soweit dies mit verhältnismäßigem Aufwand möglich ist.

Ausgehend von dem Ihnen oben mitgeteilten Beschluss wird die Beseitigung aller A-Schwachstellen sowie die Überprüfung der Beseitigung als Voraussetzung für die Wiederinbetriebnahme des beA-Systems festgelegt. Auch die überwiegende Zahl der B-Schwachstellen wird bis zur Wiederinbetriebnahme abgestellt sein. Bei einzelnen ist dies jedoch nicht der Fall.

6.    Auf der PräsK am 27.06.2018 bestand Gelegenheit, zwei Vertreter der Secunet AG zu den Ergebnissen ihrer Untersuchungen und zum Inhalt des Abschlussgutachtens zu befragen. Die Befragung erfolgte in einer angenehmen und konstruktiven Atmosphäre; die Vertreter machten auf mich einen sachlichen, an der Lösung von Problemen orientierten und kompetenten Eindruck. Die Vertreter der Secunet AG stellten dar, dass es aus ihrer Sicht kein unvertretbares Risiko sei, das beA-System wieder in Betrieb zu nehmen, ohne dass das in Kapitel 5.7. des Gutachtens geforderte Sicherheitskonzept vollständig vorliegt. In gleicher Weise gelte dies für die verbleibenden Schwachstellen der B-Kategorie.

7.    Die Vertreter der Secunet AG haben mitgeteilt, dass die Hardware Security Module (HSM) auf der Grundlage der zur Verfügung gestellten Dokumentationen geprüft wurden. Demzufolge erfolgte weder eine Augenscheinnahme der HSM noch eine Quelltextanalyse etc. der auf den HSM installierten Software. Bei der Prüfung nach Dokumentenlage seien von der Secunet AG insbesondere die Software-Schnittstellen des HSM geprüft worden.

8.    In der Befragung der Vertreter der Secunet AG konnte festgestellt werden, dass der im Abschlussgutachten unter Kapitel 5.4.1. ursprünglich als A-Schwachstelle dargestellte Fehler nunmehr, nach weiteren Untersuchungen, als B-Schwachstelle zu definieren sei. Dies hängt damit zusammen, dass bei Ausnutzen dieser Schwachstelle durch Innentäter oder sonstige Angreifer nicht – wie ursprünglich befürchtet – auf die Nachrichtenanhänge einer beA-Nachricht (z.B. Klageschrift, Schriftsätze, Schreiben etc.) zugegriffen werden kann, sondern nur auf den Text der beA-Nachricht selbst. Da hier jedoch lediglich auf die Versendung der anliegenden Anhänge verwiesen werde, erfolgte die Zurückstufung in eine betriebsbehindernde Schwachstelle.

9.    Im Anschluss an die Befragung der Vertreter der Secunet AG wurden unterschiedliche Bewertungen in der PräsK vorgetragen. Für die Rechtsanwaltskammer Berlin habe ich – ausgehend von den Beschlüssen unserer Kammerversammlung sowie auch einem einstimmigen Beschluss unseres Vorstandes vom Mai 2018 – eine Wiederinbetriebnahme des beA-Systems erst dann befürwortet, wenn das System eine echte Ende-zu-Ende-Verschlüsselung gewährleistet. Dies ist beim vorliegenden System nicht der Fall.

Unabhängig davon habe ich die Auffassung vertreten, dass eine Wiederinbetriebnahme des derzeitigen Systems erst nach einer vollständigen Überprüfung der gesamten Hard- und Software des beA-Systems erfolgen könne. Da bei den Überprüfungen durch die Secunet AG die HSM sowie die dort laufende Software lediglich nach Dokumentenlage überprüft worden sei, habe ich auch aus diesem Grund eine Wiederinbetriebnahme des Systems abgelehnt und gegen die Beschlussvorlage gestimmt.

Letztlich war ich der Auffassung, dass vor einer Wiederinbetriebnahme alle Schwachstellen der Kategorie A und B abgestellt werden müssen.

Eine Mehrheit der einzelnen Rechtsanwaltskammern war jedoch davon überzeugt, dass das beA-System bereits wieder in Betrieb gesetzt werden kann, wenn die im Beschlussvorschlag definierten Voraussetzungen vorliegen. Demzufolge wurde die Beschlussvorlage mit 16 Ja- und 9 Nein-Stimmen bei 27 anwesenden Kammern angenommen.

10.    Die Vertreter der Secunet AG haben erklärt, dass derzeit davon ausgegangen werden kann, dass die im Beschluss genannten Voraussetzungen rechtzeitig eintreten werden.

Ich bitte Sie deshalb, sich auf die Wiederinbetriebnahme des beA-Systems ab dem 03.09.2018 einzustellen. Nach der derzeit geltenden Rechtslage entsteht dann, mit Wiederinbetriebnahme, auch die passive Nutzungspflicht eines jeden Postfachinhabers. Er ist dann verpflichtet, dort eingehende Post zur Kenntnis zu nehmen. Vor diesem Hintergrund wurde letztlich (vgl. Beschluss) auch angeregt, Möglichkeiten zu eruieren, ob nach der Wiederinbetriebnahme eine vierwöchige Testphase möglich sei, in der die passive Nutzungspflicht noch nicht greift. Es kann jedoch heute noch nicht eingeschätzt werden, ob diese Bemühungen erfolgreich sein werden. Selbstverständlich werde ich Sie unverzüglich informieren, sobald zu diesem Punkt Informationen vorliegen.

11.    In den letzten Tagen ist sicherlich auch Ihnen die Jahresrechnung der Bundesnotarkammer für die beA-Karte zugegangen. Die Abrechnung betrifft auch Zeiträume, in denen das beA abgeschaltet und deshalb nicht nutzbar war. Bezüglich der damit im Zusammenhang stehenden Fragen verweise ich an dieser Stelle noch einmal auf die Ausführungen auf unserer Kammerversammlung im März 2018: Eine direkte vertragliche Beziehung besteht zwischen dem/der jeweiligen Berufsträger/Berufsträgerin und der Bundesnotarkammer. Diese hat ihre Leistungen, also die Bereitstellung einer Karte, auch erbracht. Insoweit sieht der Vorstand der Rechtsanwaltskammer Berlin keinen Rechtsgrund, die Zahlung an die Bundesnotarkammer verweigern zu können.

Soweit ein Berufsträger/Berufsträgerin nach Prüfung der konkreten Sach- und Rechtslage der Auffassung ist, er/sie verfüge gegenüber der BRAK, als der gesetzlich verpflichteten Anbieterin des beA-Systems, wegen des Abschaltens des beA-Systems über einen Anspruch, so sollte dieser gegenüber der BRAK substantiiert vorgetragen werden. Der Präsident der BRAK hat auch gestern wieder bestätigt, dass die BRAK substantiierte Ansprüche dann gegenüber der Atos GmbH geltend machen wolle.

Über die weiteren wesentlichen Entwicklungen werde ich Sie selbstverständlich informiert halten. Für heute verbleibe ich – verbunden mit den besten Wünschen für eine angenehme Sommerzeit –


Dr. jur. Mollnau
Präsident