In eigener Sache: Das besondere elektronische Anwaltspostfach ist „offline“

RA Martin Haucke, RAe Dr. Hantke & Partner

Wie die Bundesrechtsanwaltskammer (BRAK) am 27.12.2017 auf der Internetseite des besonderen elektronischen Anwaltspostfaches (beA) mitteilt, muss das beA vorerst offline bleiben. Was das im Einzelnen bedeutet, insbesondere wie lange das beA nicht zur Verfügung steht, ist unklar. Es wird lediglich mitgeteilt, dass der „Anmeldeprozess am beA“ überarbeitet wird. Zugelassene Rechtsanwältinnen und Rechtsanwälte stehen nun vor dem Problem, dass ein Zugriff auf das besondere elektronische Anwaltspostfach derzeit nicht möglich ist, obwohl dieser ab dem 01.01.2018 vorgeschrieben ist.

Hintergrund der erforderlichen Überarbeitung des Anmeldeprozesses des beA war wohl ein am 22.12.2017 auslaufendes Zertifikat. In einer Eilmeldung hatte die Hanseatische Rechtsanwaltskammer Hamburg am 23.12.2017 mitgeteilt, dass nun ein neues, zusätzliches Zertifikat installiert werden müsse. In der Eilmeldung heißt es u.a.:

„Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren. Dieses dient dem Kommunikationsaufbau zwischen Browser und beA-Anwendung. Gespeicherte Daten und Verschlüsselungsprozess sind hiervon nicht betroffen.“.

Bereits am selben Tag bzw. einen Tag später berichteten die einschlägigen IT-Plattformen wie www.heise.de und www.golem.de  darüber, dass dieses neue Zertifikat ein gravierendes Sicherheitsrisiko darstelle und die Funktionen von HTTPS aushebele. Dort wird berichtet, dass nicht der „Public-Key“, sondern der „Private-Key“ des Zertifikats verteilt werde, sodass Angreifern Tor und Tür offen stünde.

Nachdem das Sicherheitsrisiko öffentlich bekannt wurde, ist auf der Internetseite des besonderen elektronischen Anwaltspostfachs die Anmeldung am beA deaktiviert worden mit der Mitteilung es würden Wartungsarbeiten ausgeführt. Seit dem 27.12.2017 vormittags steht auf der Internetseite des beA www.bea-brak.de nun lediglich folgendes:

„Lieber Nutzer,

beA muss vorerst offline bleiben – Sicherheit und Datenschutz haben Priorität

Anmeldeprozess am beA wird überarbeitet

Die Bundesrechtsanwaltskammer (BRAK) wird die Plattform beA vorerst weiter offline lassen. Am Freitag hatte die BRAK die beA-Plattform vom Netz genommen, nachdem ein für den Zugang erforderliches Zertifikat als unsicher eingestuft und gesperrt worden war. Die Ende-zu-Ende-Verschlüsselung war davon nicht betroffen. Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert. Es handelt sich um ein Zugangs- bzw. Verbindungsproblem, das der Technologieentwickler des beA-Systems trotz intensiver Arbeiten bislang nicht gelöst hat.

Die BRAK wird daher das beA-System erst wieder bereitstellen, wenn der technologische Dienstleister die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat.

Allen Rechtsanwältinnen und Rechtsanwälten, die entsprechend der ursprünglichen Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installierten, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen. Eine Anleitung finden Sie in Kürze hier

Vielen Dank fuer Ihr Verstaendnis

Ihre
Bundesrechtsanwaltskammer“.

Wie bereits oben angedeutet, heißt das nun für die Rechtsanwältinnen und Rechtsanwälte Deutschlands abwarten. Noch ist unklar, ob und wann ein gesicherter Zugriff auf das beA möglich ist. Wer der Aufforderung der Rechtsanwaltskammer nachgekommen ist, sollte schnellstmöglich das installierte Zertifikat wieder deinstalliert. Eine Anleitung für die Deinstallation ist derzeit noch nicht veröffentlicht. Wir werden den entsprechenden Link hier später nachreichen.

[Update vom 28.12.2017: Mit E-Mail vom 27.12.2017 übersandte die Hanseatische Rechtsanwaltskammer Hamburg den Link für die Anleitung zur Deinstallation des Sicherheitszertifikats vom 22.12.2017. Die Anleitung finden Sie hier auf der Internetseite der BRAK.]

Völlig unklar sind derzeit auch die Konsequenzen, sollte das beA nicht ab dem 01.01.2018 zur Verfügung stehen, obwohl dies gesetzlich vorgeschrieben ist. Die hektische Aufforderung zur Installation eines risikobehafteten Zertifikats wie auch die derzeit endgültige Deaktivierung der Anmeldung des besonderen elektronischen Anwaltspostfachs vier Tage kurz vor dem offiziellen Start reihen sich leider in die hier bekannt gewordenen Probleme der letzten Monate „Rund um das beA“ ein. Ursprünglich sollte das beA bereits am 01.01.2016 in Betrieb genommen werden. Der Start wurde damals schon verschoben und ist nun zwei Jahre nach dem eigentlich angedachten Termin immer noch fraglich.

In Anbetracht des Slogans des beA „Digital. Einfach. Sicher.“ gleicht der aktuelle Zustand einer Blamage.

zurück

Veröffentlicht in Aktuelles und verschlagwortet mit , , , , , , , , , , , , , , , , , , .