Joachim Jahn

Massive Kritik am beA


An der Kritik am "beA" waren sich auf einer DAV-Veranstaltung am Montag in Berlin alle Experten einig. Die BRAK nahm vorsichtshalber gar nicht teil. Und das Bundesjustizministerium hielt sich ziemlich bedeckt.

 

„Die Behebung der Pannen wird Wochen oder Monate dauern“, lautete die Einschätzung von Markus Drenger – jenem Aktivisten des Chaos Computer Clubs (CCC), der Sicherheitsmängel des „besonderen elektronischen Anwaltspostfachs“ aufgedeckt hat. Eine gigantische Pannenliste mit einer Unmenge technischer Details listete der Nichtjurist am Montag auf einer Veranstaltung des Deutschen Anwaltvereins in Berlin auf. „Die Prüfer der Software haben offenbar das 1. Lehrjahr nicht überstanden“, lautete seine Einschätzung zu einer seiner zahlreichen Kritikpunkte an der Umsetzung des digitalen Postfachs. Zwar steht der CCC durchaus in dem Ruf, Sicherheitsbedenken zu schüren, weil viele seiner Mitstreiter just in jener Branche arbeiten, die an der Präventionsberatung für Unternehmen verdienen. Doch verzichtete die Bundesrechtsanwaltskammer darauf, an der Veranstaltung teilzunehmen und im Saal Stellung zu den massiven Vorwürfen Stellung zu nehmen, so dass sämtliche Vorwürfe unwidersprochen im Raum standen. Auch wenn man vermuten darf, dass sie den Livestream des DAV im Internet mit Argusaugen verfolgte.

„Warum verweigerte uns die BRAK Auskünfte nach dem IFG unter Berufung unter anderem auf eigene ‚Geschäftsgeheimnisse‘?“, fragte Drenger, als er davon berichtete, wie er zusammen mit seinen Klubkollegen versuchte, diverse Institutionen auf Sicherheitsmängel des beA hinzuweisen. „Die BRAK hat die Probleme entweder nicht wahrhaben wollen oder aus völlig unerklärlichen Gründen keine Kenntnis davon gehabt“, sagte dazu die Hamburger Anwältin Nina Diercks auf dem Podium in Berlin. „Warum hat nicht schon im November 2014 jemand die Hand gehoben?“, fragte sie mit Blick auf damalige Projektfolien. Diercks sieht gravierende Mängel nicht nur bei der Sicherheit des digitalen Postfachs, sondern auch bei der Projektsteuerung durch die BRAK. Die habe das beA „in die Grütze gehauen“. Vom „Fingerpointing“ gegen die Bundeskammer hielt allerdings Peter Bräutigam, Mitglied im Geschäftsführenden Ausschuss der Arbeitsgemeinschaft „IT-Recht“ im DAV (DAVIT), nichts. „Wir sitzen alle in einem Boot – wir müssen helfen!“, appellierte er ans Auditorium.

 Martin Schafhausen, Vorsitzender des DAV-Ausschusses „Elektronischer Rechtsverkehr“, fragte in seinem Referat: „beA – wo ist meine Post?“ Denn kurz vor Weihnachten konnten darin noch Mails landen, die bis jetzt noch nicht abgerufen werden können. Schafhausen sah keinen Grund zur haftungsrechtlichen Sorge für Anwälte, die bis zum offiziellen Stopp des Betriebs nicht ihre Empfangsbereitschaft erklärt hatten (und erinnerte an den Lehrstoff des 1. oder 2. Semesters im Jurastudium zur „Zustellung unter Abwesenden“). Aber für die anderen Kollegen sei wohl keine „permanente Abrufbereitschaft“ geboten, so dass man „Stunden vor Heiligabend“ die Warnungen vor dem Abschalten nicht mehr habe berücksichtigen müssen. Doch sei es angesichts der „passiven Nutzungspflicht“ berufsrechtlich wohl geboten, für die kurze Karenzzeit nach der anstehenden Reparatur vorzusorgen und rechtzeitig – falls noch nicht geschehen – Karte und Lesegerät zu besorgen. Auch er wies auf die Bedeutung des beA hin, das mit der versprochenen Vertraulichkeit schließlich das Kernkriterium anwaltlicher Tätigkeit sichern solle. Weitere Wünsche der diversen Referenten: Ein externer Fachbeirat fürs beA bei der BRAK sowie ein umfassender Test des Quellcodes durch unabhängige Spezialisten („White-Box-Test“).

„100-prozentige Sicherheit gibt es nie“, stillte Diercks gegen Ende klar. Ohnehin verweigerten sich 90 Prozent der Mandanten einer Verschlüsselung der Mailkommunikation. Aus ihrer Sicht ist vor allem wichtig, die „Ende-zu-Ende-Verschlüsselung“ tatsächlich umzusetzen, in der sämtliche Podiumsteilnehmer ein unzutreffendes Versprechen der BRAK sahen. Diese schaffe die Gefahr der legendären „Man-in-the-Middle“-Attacken. Für Schafhausen war überdies wichtig, dass Postfächer für ganze Kanzleien eingerichtet werden; ferner, dass nicht jeder Bürger durch einen ohne funktionierende Identitätskontrolle errichteten „EGVP-Bürgerclient“ Zugriff auf das sensible Kommunikationssystem erhalte.

Marie-Luise Graf-Schlicker vom Bundesjustizministerium, die mit zwei Kollegen im Publikum saß, beschränkte sich auf Nachfrage auf eine kurze Äußerung. Am wichtigsten sei es, jetzt zuerst aufzuklären, welche Fehler beseitigt werden müssten, damit das beA gemäß der schon in Kraft getretenen gesetzlichen Regelung möglichst zügig an den Start gehen könne. Zum Schluss der Veranstaltung war für den DAV-Präsidenten Ulrich Schellenberg klar: Für den am Freitag dieser Woche geplanten „BeAthon“ der BRAK (der nur einen halben Tag dauern soll und keineswegs ein „Hackaton“ ist, bei dem „weiße“ Hacker konkret nach Sicherheitslücken suchen) sei klar, dass das nur „der erste Schritt eines Marathons“ sei.