Vorgesehen war nun, dass im Rahmen der „beAthon“ getauften Veranstaltung ein Fragenkatalog zur Übergabe an den Dienstleister Atos erarbeitet werden sollte. Schon aus der Pressemitteilung ließ sich entnehmen, dass die BRAK eine Teilnahme von Atos eigentlich erwartet hätte (das Anwaltsblatt berichtete). Letztlich wurde die Abwesenheit von einem Teil der 23 Teilnehmer (darunter auch ein Vertreter des Bundesjustizministeriums) aber sogar positiv bewertet, da so eine sachliche, konstruktive Diskussion entstanden sei, ohne von Verteidigungsmanövern gebremst zu werden. Tatsächlich war die Atmosphäre von Offenheit, Respekt und der Bereitschaft zuzuhören geprägt. „Es war eine gute, sachliche und konstruktive Veranstaltung“, sagte Rechtsanwalt und Diplom-Informatiker Dr. Marcus Werner aus dem DAV-Ausschuss Elektronischer Rechtsverkehr nach dem „beAthon“. Die BRAK kündigte am Ende des Nachmittags an, den Dialog fortsetzen zu wollen und verwendete ebenfalls das Bild des „Marathons“, wie schon DAV-Präsident Schellenberg bei der Podiums-Diskussion unter dem Motto „beA – Wie geht es weiter?“ am Montag (22. Januar 2018).
Wie ist das von Atos vorgelegte Update der beA-Client-Security zu beurteilen?
Auch in Abwesenheit von Atos wurde natürlich über den französischen Konzern gesprochen. Schließlich hatte der IT-Dienstleister über LTO eine Presseerklärung verbreitet, dass er eine neue Version des Clients bereitgestellt habe. Darin heißt es, dass Sicherheit und Integrität wiederhergestellt seien und das System in der aktuell vorliegenden Ausbaustufe voll einsatzfähig sei. Durch ein lokales Zertifikat in der beA-Client-Security sei der „Schutz gegen den missbräuchlichen Schutz des Zertifikats massiv erhöht“ worden. Den Teilnehmern des „beAthons“ stand zudem noch eine grafische Darstellung der technischen Lösung für das am 22. Dezember 2017 öffentlich gemachte Zertifikats-Problem zur Kommunikation zwischen Browser und beA-Client zur Verfügung. Die anwesenden Experten vom Chaos Computer Club schätzen die von Atos jetzt vorgestellte Lösung als grundsätzlich geeignet ein – „wenn sie ordentlich gemacht ist“. Insofern ist also Warten auf weitere Informationen und Testergebnisse angesagt.
Die Veranstaltung war damit allerdings noch nicht beendet, denn schließlich hatte Markus Drenger vom Chaos Darmstadt e.V. eine lange Liste mit weiteren Problemen und Fragestellungen mit nach Berlin gebracht. Diese betrafen sowohl das beA selbst wie auch andere Komponenten der EGVP-Infrastruktur, über die der elektronische Rechtsverkehr in Deutschland abgewickelt wird. Nicht zuletzt entbrannte zur Frage der Ende-zu-Ende-Verschlüsselung eine ausführliche Diskussion. Denn beim beA wird ein Hardware-Security-Modul zur Umschlüsselung von Nachrichten verwendet. Das wiederspricht jedenfalls der „reinen Lehre“ von Ende-zu-Ende-Verschlüsselung. Die Meinungen darüber, ob das dennoch hinreichend sicher sei, gingen weit auseinander … Der DAV-Vertreter Marcus Werner warb für den Gedanken, um das Vertrauen in das beA wiederherstellen, die Ende-zu-Ende-Verschlüsselung in der Zukunft ohne Abstriche umzusetzen.
Was müssen Anwältinnen und Anwälte jetzt unternehmen? beA-Client-Security deinstallieren oder aus Autostart nehmen
Die BRAK verspricht die Wiederinbetriebnahme des beA von den Ergebnissen externer Gutachter der Firma Secunet abhängig zu machen. Zunächst sollen die Client-Security und die Sicherheitsarchitektur betrachtet werden. Bei positiven Ergebnissen soll das beA mit einer Frist von zwei Wochen wieder genutzt werden. Stufenweise sollen dann aber auch alle Einzelkomponenten getestet werden. Markus Drenger empfiehlt unterdessen, die aktuelle Fassung der beA-Client-Security auf Kanzleirechnern gänzlich zu deinstallieren oder den automatischen Start beim Hochfahren des Computers zur unterbinden. Diesen Tipp hatte er schon am Montag bei seinem Gastspiel im DAV-Haus gegeben. Aufgrund von ungeklärten Sicherheitsrisiken hält der DAV diese Empfehlung für sinnvoll.
