von Rechtsanwältin Dr. Tanja Nitschke, Mag. rer. publ., BRAK, Berlin

Berlin, 14.08.2018 (Veröffentlichung aus dem BRAK-Magazin Heft 4/2018)

 

„Wie geht es weiter mit dem beA – und vor allem: wann?“ Was sich in der letzten Ausgabe erst teilweise beantworten ließ, hat zwischenzeitlich konkrete Formen angenommen:

Das Sicherheitsgutachten zum beA wurde vorgelegt, die BRAK-Präsidentenkonferenz gab grünes Licht, die erste Phase der Wiederinbetriebnahme startete am 4.7.2018. Doch eins nach dem anderen …

 

Wie es dazu kam

Das BRAK-Präsidium hatte am 22.12.2017 entschieden, dass das beA wegen gemeldeter Sicherheitsrisiken offline gehen muss. Diese betrafen die beA Client Security, also den Teil des beA-Systems, den alle Anwältinnen und Anwälte auf ihren Rechnern installieren müssen, um die beA-Webanwendung nutzen zu können. Da nicht alle Zweifel an der Beseitigung der Sicherheitslücke ausgeräumt werden konnten, entschied das BRAK-Präsidium am 26.12.2017, das beA so lang offline zu lassen, bis alle sicherheitsrelevanten Fragestellungen zweifelsfrei geklärt sind.
 

Der Fahrplan

Bereits im Januar dieses Jahres, als das beA-System gerade erst vom Netz genommen worden war, beschloss die BRAK-Präsidentenkonferenz – bestehend aus den 28 Präsidentinnen und Präsidenten der Rechtsanwaltskammern – einen Fahrplan zur Wiederinbetriebnahme des beA: Eine vom Bundesamt für Sicherheit in der Informationstechnik empfohlene IT-Sicherheitsspezialistin sollte die Sicherheit des beA-Systems prüfen, während die Entwicklerin des beA, die Firma Atos, parallel an der Behebung der bekannt gewordenen Schwachstellen arbeitete. Zudem wurde mit dem „beAthon“ ein Dialog mit kritischen IT-Experten geführt, deren Hinweise die BRAK dankbar aufnahm. Erst nach Vorlage des Gutachtens sollte die Präsidentenkonferenz dann darüber befinden, wann das beA wieder in Betrieb geht.
 

Der Zwischenbericht

Dieser Fahrplan wurde abgearbeitet und im Laufe der Zeit weiter ausdifferenziert: Die von der BRAK beauftragte IT-Sicherheitsspezialistin, die Firma secunet Security Networks AG, prüfte über die beA Client Security hinaus auch die Sicherheitskonzeption des esamten beA-Systems einschließlich des Hardware Security Moduls (HSM). Dabei berücksichtigte secunet auch die Ergebnisse des „beAthon“.

Mitte April lieferte secunet einen Zwischenbericht ab. Das Fazit lautete: Sämtliche festgestellten Schwachstellen des beA sind behebbar, der grundlegende Aufbau des beA-Systems ist nicht in Frage gestellt. Die Ergebnisse dieses Zwischenberichts berücksichtigte Atos bei seinen weiteren Reparaturarbeiten.
 

Im Hintergrund

Parallel diskutierten die BRAK-Präsidentenkonferenz und das BRAK-Präsidium, wie in Sachen Wiederinbetriebnahme des beA weiter vorzugehen sei. In einer Reihe von Sitzungen wurde unter anderem erörtert, unter welchen ganz konkreten Voraussetzungen das beA-System wieder in Betrieb gehen soll, ob es eine Vorlaufphase vor dem eigentlichen Restart des beA geben sollte, wie mit den durch die regionalen Rechtsanwaltskammern zu erhebenden beA-Beiträgen an die BRAK umgegangen werden soll, wie mit dem BRAK-Haushalt für die weitere Entwicklung des beA zu verfahren ist, und vieles mehr. Hierüber wurde in den letzten Ausgaben des BRAK-Magazins umfänglich berichtet.

Zudem war die BRAK regelmäßig in Kontakt mit weiteren in den elektronischen Rechtsverkehr involvierten Akteuren, insbesondere mit der Justiz von Bund und Ländern. Diese stellte und stellt den eigentlich bereits abgekündigten kostenlosen Client zur Nutzung des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) bis über die Wiederinbetriebnahme des beA hinaus zur Verfügung und bietet damit eine Übergangslösung zur Nutzung des elektronischen Rechtsverkehrs.
 

Das Abschlussgutachten

Mit Spannung wurde das Abschlussgutachten von secunet erwartet. Es lag zunächst in einer Vorversion vor, die Vertreter der Firma secunet am 4.6.2018 dem BRAK-Präsidium vorstellten. Dabei ergab sich, dass noch einige Erläuterungen und Konkretisierungen notwendig waren, denn das aus IT-sicherheitstechnischer Sicht erstellte Gutachten sollte – wie im Januar beschlossen – Grundlage für die Entscheidung der BRAK-Präsidentenkonferenz über die Wiederinbetriebnahme des beA sein und musste daher für sie verständlich abgefasst sein. Nachdem die finale Fassung des Gutachtens vorlag, berief das BRAK-Präsidium umgehend die Präsidentenkonferenz für den 27.6.2018 ein, die dann über die weiteren Schritte zur Wiederinbetriebnahme des beA zu entscheiden hatte.

Im Abschlussgutachten stellt secunet die Ergebnisse der von ihr durchgeführten technischen Analyse und Konzeptprüfung des beA vor und bestätigt das beA als geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr. Das Verschlüsselungskonzept biete technisch gesehen ausreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten.

In dem Gutachten wurden verschiedene Schwachstellen des beA-Systems im Detail dargestellt und danach klassifiziert, ob sie einer Wiederinbetriebnahme des Systems entgegenstehen („betriebsverhindernd“) oder ob sie sich als weniger schwerwiegend darstellen und daher auch im laufenden Betrieb behoben werden könnten („betriebsbehindernd“ bzw. „sonstige“). Überwiegend hatte Atos die beschriebenen Schwachstellen bereits behoben; das hatte secunet durch Retests verifiziert. Verbliebene Schwachstellen sollten bis zur Wiederinbetriebnahme behoben werden bzw. weniger problematische Schwachstellen können auch danach im laufenden Betrieb behoben werden.

Das Gutachten hat die BRAK auf ihrer Website (https://bea.brak.de/sicherheit-im-bea/) veröffentlicht.

Der Beschluss zur Wiederinbetriebnahme

Die BRAK-Präsidentenkonferenz bewertete die für die beA Client Security und die beA-Webanwendung beschriebenen Risiken aus fachlicher (anwaltlicher) Sicht und beschloss daraufhin, das beA in zwei Stufen wieder in Betrieb zu nehmen:

Zunächst sollte zum 4.7.2018 die aktualisierte beA Client Security zur Verfügung gestellt und der Anwaltschaft eine angemessene Zeit zum Download und zur Installation gegeben werden; während dieser Zeit sollte auch die Erstregistrierung am beA für diejenigen nachholbar sein, die das nicht bereits vor Ende 2017 erledigt hatten. Den Eintritt in diese Phase machte die Präsidentenkonferenz abhängig davon, dass bestimmte verbliebene Schwachstellen in der Client Security behoben sind und dass secunet die Behebung bestätigt hat.

In der zweiten Phase, geplant ab dem 3.9.2018, soll das gesamte beA-System wieder online geschaltet werden. Ab diesem Zeitpunkt soll also die Anmeldung am Postfach sowie das Senden und Empfangen von Nachrichten wieder möglich sein. Den Eintritt in die zweite Phase machte die Präsidentenkonferenz abhängig davon, dass bestimmte (in dem Beschluss genannte) weitere Schwachstellen bis dahin behoben wurden und secunet die Behebung bestätigt hat.

Während des laufenden Betriebs sollen schließlich zwei weitere Schwachstellen beseitigt werden, welche die sog. Hardware Security Module (HSM) betreffen. Zudem soll auch das Betriebs- und Sicherheitskonzept für das beA weiter optimiert werden. Diese Maßnahmen sollen nach dem Beschluss der Präsidentenkonferenz spätestens in den ersten Monaten des Jahres 2019 abgeschlossen sein (vgl. BRAK-PE Nr. 19/2018 v. 27.6.2018).

Phase 1 gestartet

Die Firma secunet gab sodann grünes Licht hinsichtlich der beiden vor dem Start der Phase 1 noch zu behebenden Schwachstellen (BRAK-PE Nr. 20/2018 v. 3.7.2018). Seit dem 4.7.2018 steht die beA Client Security zum Download bereit (unter https://bea-brak.de) und die Erstregistrierung am beA ist für diejenigen, die dies bisher noch nicht getan haben, möglich. Informationen dazu finden Sie im folgenden Beitrag.
 

Und wie geht es weiter?

Die zweite Phase, in der das beA-System wieder vollumfänglich verfügbar ist, soll nach dem Beschluss der BRAK-Präsidentenkonferenz am 3.9.2018 beginnen – sofern secunet bis dahin bestätigt hat, dass bestimmte Schwachstellen tatsächlich behoben wurden. Die BRAK wird über die weiteren Entwicklungen umgehend über ihre Online-Medien informieren.

Aktuelle Infos rund um das beA

FAQ:
https://bea.brak.de/faq-zur-nutzung-des-bea/

beA-Newsletter
https://www.brak.de/bea-newsletter