Holzfach war gestern. Ab 1.1.2018 sind Rechtsanwälte in Deutschland verpflichtet, das „beA“ passiv zu nutzen. Foto: Mike Wolff
p

Sicherheitslücken im elektronischen Anwaltspostfach BeA muss offline bleiben

0 Kommentare

Die Software für die elektronische Anwaltspost lässt Hackern freien Lauf in die Kanzleien.

Rechtsanwalt Matthias Bergt kann es immer noch nicht fassen. Obschon es bereits einige Tage her ist: Das besondere elektronische Anwaltspostfach, kurz „beA“, das ab 1. Januar 2022 für jeden Anwalt in Deutschland verpflichtend ist, hat so schwerwiegende Sicherheitslücken, dass die elektronische Klappe erst einmal geschlossen bleiben muss. Die Probleme sind seit dem 22. Dezember bekannt. So wird es also nichts mit der bereits zum 1. Januar 2018 möglichen Einführung. Die Bundesrechtsanwaltskammer (Brak) hat die Plattform beA erst einmal aus dem Netz genommen. Damit ist weder das Versenden noch das Abrufen von Nachrichten über das Postfach möglich.

Die Berliner Rechtsanwaltskammer hat am Donnerstagmittag endlich das getan, was Bergt bereits vor Weihnachten forderte: Sie rief die in der Kammer versammelten Kollegen dazu auf, die elektronische Pforte – durch Deinstallation des fraglichen Programms – ganz schnell wieder zu verschließen, ehe weiteres Unheil entsteht. „Zugleich habe ich heute alle Berliner Gerichte darüber informiert, dass die Versendung von elektronischer Post über das beA derzeit nicht möglich ist“, schrieb Kammerpräsident Marcus Mollnau nun an die „lieben Kolleginnen und Kollegen“.

„Die Fehler, die der Software-Hersteller gemacht hat, sind hanebüchen", sagt Bergt. Doch auch dass die Bundesrechtsanwaltskammer die Gefahr über Tage heruntergespielt hat, müsse Konsequenzen haben. „Es gibt da ein ernsthaftes Kommunikationsproblem“ – und zwar weniger mit den Gerichten als mit der Berufsvertretung, die zwar das beA vom Netz nahm, aber „vereinzelte Verbindungsprobleme“ zur Begründung nannte. „Sicherheit erreicht man garantiert nicht dadurch, dass man Probleme unter den Tisch kehrt“, empört sich Bergt, der natürlich weiß, was er da spricht. Matthias Bergt ist Partner bei von Boetticher Rechtsanwälte (Berlin), und berät Unternehmen in den Bereichen Gewerblicher Rechtsschutz, Wettbewerbsrecht und Informationstechnologierecht, insbesondere im Bereich Datenschutz und bei techniklastigen Rechtsfragen. Doch natürlich ist nicht nur sein, nein alle Rechtsbereiche sind betroffen – und mit dem Immobilienrecht ein besonders großer.

Wie soll es weitergehen?

Wie geht es nun weiter mit der Kommunikation mit den Gerichten, die perspektivisch gänzlich papierlos vonstatten gehen soll?

„Es versteht sich von selbst, dass eine Berufspflicht zur passiven Nutzung des beA nicht besteht, so lange das System offline ist. Um sich darauf einstellen zu können, soll die Wiederinbetriebsetzung des beA nur mit einer Ankündigungsfrist von mindestens zwei Wochen erfolgen“, schreibt der Berliner Kammerpräsident Mollnau, wie Bergt offenbar deutlich angesäuert: „Ich werde diese Forderung der Bundesrechtsanwaltskammer übermitteln.“ Damit trotz der Fauxpas keine Fristen versäumt werden, schiebt er noch einen Tipp hinterher: „Die Nutzung des Mahnverfahrens ist auch ohne beA, z.B. mittels dem Barcode-Verfahren möglich. Auch das elektronische Schutzschriftenregister kann durch ein Online-Formular ohne beA genutzt werden.“ Im übrigen bitte er alle um Entschuldigung, vor allem dafür „dass diese Störungen (…) durch Empfehlungen der Bundesrechtsanwaltskammer noch verschlimmert wurden“.

Bergt will es weiterhin so halten wie Whistlebower Edward Snowden: Der Mann, der die NSA verriet, verschlüsselt seine Mail-Botschaften mit dem PGP-Verfahren (Pretty Good Privacy; engl. „ziemlich gute Privatsphäre“). Und was der macht, kann in Sicherheitsfragen nicht verkehrt sein.  „Snowden hat sein Leben riskiert“, sagt Bergt.

Das immerhin dürften all jene Anwälte wohl behalten, wenn sie das fragliche Programm mit der Sicherheitslücke nicht schnellstens wieder deinstallieren – zum Beispiel weil sie „zwischen den Jahren“ anderes, vor allem: besseres, zu tun haben, als sich mit ihrem elektronischen Postkasten zu beschäftigen. Dennoch könnte man ihnen beikommen – wo eine Klage ist, findet sich gewiss ein Richter. „Verstöße gegen Berufspflichten sind vorprogrammiert“, sagt ein Kollege Bergts, der hochpreisige Immobiliengeschäfte juristisch begleitet und ob der Brisanz des Themas nicht in der Zeitung genannt werden möchte: „Der Anwalt macht sich nach § 203 StGB strafbar bei Geheimnisverrat“, sagt der Mann, der am Potsdamer Platz aussteigt, wenn er in sein Büro möchte. Bergt relativiert: „Für Geheimnisverrat müsste es einen Vorsatz geben. Theoretisch kann man jedem Anwalt, der das Programm nach dem Wegklicken von Sicherheitswarnungen installiert hat, Geheimnisverrat vorwerfen. Aber etwas zu tun, reicht bei Geheimnisverrat nicht. Man muss es auch verstehen.“ Und das sei in diesem Falle nicht jedem Anwalt zu unterstellen. Die Materie ist komplex.

Wie groß ist die Hacker-Gefahr?

„Hinz und Kunz und ihre kriminellen Kollegen haben alles in der Hand, was sie für einen Angriff auf alle deutschen Rechtsanwälte benötigen“, schildert Bergt das Problem frei von der Leber weg. Will sagen: Jeder, der kann und möchte, ist in der Lage sich durch eine Sicherheitslücke der Zertifizierungsstelle in die Kommunikation der Rechtsanwälte mit ihren Mandanten und den Gerichten einzuschmuggeln. Für Fachleute: Die Bundesrechtsanwaltskammer forderte ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Und wiegelte anschließend auch noch ab: „Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert“, hieß es noch am vergangenen Mittwoch.

Doch wer ist vor Gericht und im Büro schon wirklich inkognito?

Zur Startseite