Verehrte Kolleginnen und Kollegen,
im Namen der Bundesrechtsanwaltskammer und meiner Kolleginnen und Kollegen wünsche ich Ihnen ein gesundes, glückliches und erfolgreiches neues Jahr 2018 - ich hoffe sehr, dass 2018 für uns alle besser wird, als das Jahr 2017 für die BRAK, das besondere elektronische Anwaltspostfach beA, aber auch für Sie alle als beA-Nutzer geendet hat. Sie können sich denken, dass ich zahlreiche Telefonate und E-Mails über die massiven Probleme mit der beA Plattform und deren Unerreichbarkeit erhalten habe. Seien Sie versichert: Ich verstehe diejenigen, die sich in den letzten Tagen aufgebracht an uns gewandt haben. Und ich bedauere die Ihnen entstandenen Unannehmlichkeiten außerordentlich. Glauben Sie mir, jede und jeder hier in der BRAK hätte Ihnen und uns allen diese Situation gerne erspart.
Das beA-System ist nun seit 15 Monaten online. Die Vorteile eines reibungslos funktionierenden elektronischen Rechtsverkehrs für die Kanzleipraxis sind mittlerweile unstrittig. Viele Rechtsanwältinnen und Rechtsanwälte konnten sich davon in letzter Zeit überzeugen. Anfängliche Bedenken gegen die passive Nutzungspflicht wichen der Erkenntnis, welche Erleichterungen die digitale Kommunikation über das beA für den Kanzleibetrieb mit sich bringt - so das Feedback, das die BRAK in den letzten Monaten erreicht hat. Aber es ist auch klar: Je mehr Anwältinnen und Anwälte sich auf das besondere elektronische Anwaltspostfach in ihrer Arbeit stützen, insbesondere aber mit dem Inkrafttreten der passiven Nutzungspflicht zum 1. Januar 2018, trifft die BRAK als Betreiberin des Systems beA eine wachsende Verantwortung für einen reibungslosen, vertraulichen, sicheren und stets verfügbaren Dienst.
Seit der Inbetriebnahme hat das beA in dieser Weise funktioniert, bis es vor wenigen Wochen ein weiteres Versionen-Update erhielt. In seiner Folge wies im Dezember die beA-Plattform wiederholt Schwächen auf, war teilweise mehrere Stunden nicht erreichbar oder lief eindeutig zu langsam. Auf Drängen der BRAK konnte unser technischer Dienstleister, die Firma Atos GmbH, mittels entsprechender Aufrüstung der IT und verbesserter Konfigurationsparameter dieses Problem beheben. Mit zuletzt 65.000 registrierten Nutzern hat das beA inzwischen auch eine so hohe Zahl von Anwendern, dass Atos davon ausgeht, dass auch bei steigenden Nutzerzahlen weitere Skalierungsprobleme nicht mehr auftreten bzw. kurzfristig behebbar sind.
Am 20. Dezember 2017 kam es dann zu dem Ereignis, das uns bis heute beschäftigt: Herr Drenger, ein Mitglied des Chaos Computer Club Darmstadt, fand in der gesonderten Software für die Anmeldung zum Postfach, im sog. ClientSecurity System, einen Schwachpunkt beim Sicherheitszertifikat. Er teilte seine Erkenntnisse daraufhin dem Zertifikateanbieter T-Systems und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mit, sodass T-Systems ihr Zertifikat für ungültig erklären musste und damit das beA nicht mehr ansteuerbar war. Die BRAK hat sich bei Herrn Drenger zwischenzeitlich für das Aufdecken der Sicherheitslücke und deren vertrauliche Meldung bedankt. Zur Klarstellung: Nach unseren Informationen waren und sind die beA-Plattform selbst, die Verschlüsselung der Nachrichten und die Sicherheit der Nachrichtenübermittlung und Speicherung im beA-System von der aktuell festgestellten Sicherheitslücke nie betroffen.
Angesichts der uns alle ab dem 1. Januar 2018 treffenden passiven Nutzungspflicht sah sich die BRAK verständlicherweise unter einem hohen Druck, eine rasche Lösung für die Erreichbarkeit des beA zu finden. Atos schlug binnen eines halben Tages eine Ersatzlösung mit einem neuen Zertifikat vor, bei der die zuvor kritisierte Problematik nicht mehr auftreten sollte. Atos hat dabei zu keinem Zeitpunkt auf mögliche anders gelagerte Risiken hingewiesen. Deshalb wurde das neue Zertifikat am Morgen des 22. Dezember zum Download auf der beA-Plattform angeboten. Gegen 13:00 Uhr erkannte Atos dann die neu entstandene Sicherheitsproblematik und informierte die BRAK. Demnach riss das neue Zertifikat eine klaffende, angreifbare Wunde auf den Rechnern des einzelnen Nutzers mit der Folge, dass die IT-Infrastruktur der nutzenden Rechtsanwältinnen und Rechtsanwälte somit deutlich unsicherer wurde. Mit Einverständnis der BRAK nahm Atos deshalb das beA-System vom Netz.
In einer Telefonkonferenz des Präsidiums der Bundesrechtsanwaltskammer am 26. Dezember 2017 stuften wir die bis dahin von Atos vorgestellten Lösungsversuche als nicht hinreichend sicher ein. Das beA blieb deshalb offline. Denn Sicherheit hat Vorrang vor Geschwindigkeit. Das gesamte beA-System wird daher erst wieder online gehen, wenn wir sicher sein können, dass mit der ClientSecurity keine Sicherheitsrisiken mehr verbunden sind. Wir beschlossen ferner, einen externen Experten einzuschalten, der den von Atos geforderten Lösungsvorschlag begutachten und dessen Sicherheit testieren soll.
Ich kann Ihnen heute noch nicht sagen, wann das beA wieder online gehen wird. Es werden wie angedeutet verschiedene technische Varianten für eine sichere Lösung auf ihre Machbarkeit geprüft. Ich gehe momentan aber davon aus, dass das beA auch im Januar nicht erreichbar und nicht adressierbar sein wird, auch nicht für Gerichte oder andere nichtanwaltliche Teilnehmer am elektronischen Rechtsverkehr.
Während das beA offline ist, kann die von uns Rechtsanwältinnen und Rechtsanwälten grundsätzlich ab 1. Januar 2018 zu beachtende passive Nutzungspflicht natürlich nicht erfüllt werden. Die BRAK hat daher umgehend nach Weihnachten das Bundesministerium der Justiz und für Verbraucherschutz offiziell hierüber in Kenntnis gesetzt. In den nächsten Tagen werden wir das Gespräch mit den zuständigen Vertretern des Ministeriums suchen, insbesondere, weil wir für die Wiederinbetriebnahme des beA derzeit einen zweiphasigen Prozess beabsichtigen: Zuerst wollen wir die neue ClientSecurity zum Herunterladen bereitstellen, erst nach einer angemessenen Frist wollen wir dann das beA wieder aktiv schalten. Wir werden konkrete Termine rechtzeitig auf der Homepage der BRAK, der beA-Homepage und über Newsletter den Rechtsanwaltskammern und ihren Mitgliedern mitteilen.
Für uns Rechtsanwältinnen und Rechtsanwälte ist es wichtig, zu wissen, dass das beA in seiner Anwendung stets komplett sicher war, niemand also die Vertraulichkeit der übersandten Dokumente verletzen konnte. Das beA wird erst wieder online gehen, wenn dies auch weiterhin gesichert ist. In diesem Zusammenhang nochmals ein Hinweis: Durch das am 22. Dezember 2017 kurzzeitig zur Verfügung gestellte Zertifikat für die ClientSecurity hat sich leider das Risiko für die IT-Sicherheit der Computer der Nutzer erhöht. Daher sollten Sie dieses Zertifikat vom 22. Dezember 2017 auf Ihren Computern wieder löschen, falls Sie es heruntergeladen haben. Wir empfehlen auch, dass Sie ihren Rechner mit einem aktuellen Virenscanner untersuchen und sichern. Aktuell gibt es keinerlei Hinweise darauf, dass irgendwo irgendjemand diese Sicherheitslücke genutzt hat, aber zu Ihrer eigenen Sicherheit sollten Sie diesen Schritt vornehmen.
Gestatten Sie mir noch eine persönliche Anmerkung. Ich bin erschrocken darüber, dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der BRAK und am beA verknüpft. So zu "argumentieren", mag in den letzten Jahren in Deutschland üblich geworden sein. Gerade wir Rechtsanwältinnen und Rechtsanwälte sollten aber mit gutem Beispiel vorangehen, wenn es darum geht, nachhaltige Lösungen für aufgetretene Probleme zu finden. Neben der Sache liegende Verunglimpfungen und verbale Entgleisungen helfen dabei nicht.
Liebe Kolleginnen und Kollegen,
ich will nicht darum herum reden: In den Tagen vor Weihnachten sind Fehler gemacht worden. Wir haben nicht in jedem Moment mit der erforderlichen Vorsicht agiert und uns zu schnell auf einen Lösungsvorschlag unseres technologischen Dienstleisters eingelassen. Vor allem aber haben wir unzureichend und unvollständig Ihnen gegenüber kommuniziert. Das ist mit Blick auf die Feiertage und den Stichtag 1. Januar zwar möglicherweise verständlich, aber dennoch nicht akzeptabel. Darum möchte ich Sie ganz persönlich, aber auch im Namen des Präsidiums der BRAK um Entschuldigung bitten.
Sie können versichert sein, dass wir unseren technologischen Dienstleister nicht aus der Verantwortung entlassen, eine vollends sichere Lösung für das beA-System zeitnah zur Verfügung zu stellen. Bei deren Prüfung werden wir uns diesmal auch auf einen zusätzlichen externen Experten stützen, der den Lösungsvorschlag begutachtet. Denn wir alle wissen, dass das beA auch in Zukunft das volle Vertrauen aller Rechtsanwältinnen und Rechtsanwälte bekommen muss, um seine Aufgaben im digitalen Rechtsverkehr erfüllen zu können.
Mit freundlichen kollegialen Grüßen
Ekkehart Schäfer Rechtsanwalt