Das besondere elektronische Anwaltspostfach – kurz „beA“ – steht in der Kritik, und damit auch die Bundesrechtsanwaltskammer (BRAK). Dabei geht es vorrangig um Sicherheitsmängel: Zum einen ist keine tatsächliche „Ende-zu-Ende“-Verschlüsselung der zu übertragenden Daten gegeben, da ein sogenanntes „Hardware Security Modul“ (HSM) für eine mögliche Umschlüsselung der Nachrichtenempfänger dazwischengeschaltet ist. Außerdem ist die am Arbeitsplatz des Anwenders einzusetzende und für das beA-Webportal zwingend notwendige Kommunikationskomponente – die „beA Client-Security“ – fehlerhaft und könnte ein potenzielles Einfallstor für Schadprogramme darstellen.
Die Verschlüsselung ist so natürlich nicht akzeptabel, da man als Nutzer nicht das bekommt, was als Leistungsversprechen abgegeben wurde. Und trotzdem muss dieses Setup nicht per se unsicher sein. Beim HSM handelt es sich um ein Gerät dessen Funktionweise von der BRAK nicht genau dokumentiert ist. Aus den zur Verfügung stehenden Informationen lässt sich jedoch ableiten, dass es den verschlüsselten Nachrichtenschlüssel mit dem privaten Postfachschlüssel des Empfängers für jede Sitzung (also Zugriff durch den empfangenden Anwalt oder einen seiner Mitarbeiter) individuell umschlüsselt, so dass jeder Berechtige Zugriff auf die Nachricht erhalten kann.
Man müsste sich dieses Gerät, dessen Hosting und das damit verbundene Betriebskonzept allerdings im Detail ansehen, um ein abschließendes Urteil fällen zu können.
Bei der „Client Security“ handelt es sich nicht um einen simplen Programmierfehler, hier ist mehr schiefgelaufen. Trotzdem muss man festhalten, dass diese Lösung in Kombination mit der beA- Webanwendung nur dann genutzt werden muss, wenn man sich das Postfach erstmalig einrichtet oder wenn man keine Fachsoftware einsetzt. Etwa 80 bis 85% des potenziellen Datenaufkommens werden durch die Verwendung einer Fachsoftware für die Kanzleiorganisation entstehen, für die eigene Schnittstellen existieren, die die Nutzung der „Client Security“ und der beA-Webanwendung nicht notwendig machen.
Schnittstellen zu beA
Basierend auf den existierenden Schnittstellen für Fachsoftware könnte eine von der Fachsoftware unabhängige beA-Anwendung entwickelt werden, die die aktuellen Betriebssysteme vollwertig unterstützt. Also eine Art „beA E-Mail Client“. Dass dies auch vollständig ohne die von der BRAK angebotenen Software-Bibliotheken geht, haben wir unlängst in unserer Fachsoftware AnNoText und Kleos unter Beweis gestellt. Und gerne unterstützen wir die BRAK bei einer solchen Entwicklung. Angeboten haben wir es bereits.
Sicherheit des beA
In der aktuellen Diskussion rund um die Sicherheit des beA möchte ich den Bogen aber auch gerne etwas größer spannen: 80% der Anwälte nutzen unverschlüsselte E-Mails zur Übermittlung von Dateien. Oder Fachsoftware für die Kanzleiorganisation, die nicht alle Mandatsdaten incl. der Dokumente in einer zugangsgeschützten Datenbank speichert, sondern diese Daten vielmehr im Klartext auf frei zugänglichen Verzeichnissen für jedermann auf der Festplatte des lokalen Computers, dem Server oder dem NAS ablegt. Ein „offenes Einfallstor“ für Viren, Würmer oder Trojaner und jeden, der Zugang zu einem in der Kanzlei verwendeten Computer erhält.
Wenn wir also jetzt eine Sicherheitsdiskussion aufmachen, dann bitte vollumfänglich. Wie verwalte und übertrage ich die Daten meiner Mandanten sicher? Ich hoffe, dass auch in den Kanzleien jetzt umfassender diskutiert wird, wie „ready for digital“ man wirklich ist, und welche Arbeitsprozesse digitalisiert werden sollten, damit das beA überhaupt sinnvoll genutzt wird.
Fakt ist: Die aktuell vorliegende Version des beA ist sicherlich in dieser Form nicht akzeptabel. Die Version 1.0 ist aber letztlich eine Basis, mit der man nun sinnvoll umgehen muss. Denn die Einführung eines elektronischen Anwaltspostfachs als wichtiger und grundlegender Teil der Digitalisierung des deutschen Rechtssystems ist keine Eintagsfliege. Das beA ist vielmehr der Startschuss dieser Entwicklung. Mit der richtigen Vorgehensweise lässt sich so in den kommenden Monaten eine Version 2.0 entwickeln, die den Anforderungen genügt.
Die BRAK und das Vertrauen der Anwälte
Dazu muss die BRAK das Vertrauen der Anwälte wiedergewinnen. Da ist es mit einem nachmittäglichen beAthon ganz sicher nicht getan, bei dem leider nach meinem heutigen Kenntnisstand auch keine Hersteller von Fachsoftware eingeladen wurden. Aus meiner Sicht muss es einen klaren Produktverantwortlichen für beA bei der BRAK geben, jemanden, der für diese Software brennt und sich täglich dafür einsetzt. Das beA ist eine Software – es muss deshalb eine Kultur verankert werden, die bei der Softwareentwicklung normal ist. Wir führen zum Beispiel bei uns monatliche Audits durch externe Experten durch. So muss es beim beA auch gemacht werden. Die BRAK braucht dafür einen externen Fachbeirat mit entsprechenden Veto-Kriterien: Experten mit Programmierexpertise, mit Fachwissen darüber, wie Anwälte arbeiten, und natürlich mit Anwälten selbst.
Wenn das gelingt, kann das beA möglicherweise doch bald wieder in Betrieb gehen und dann tatsächlich die Digitalisierung des Rechtssystems in Deutschland einen gewichtigen Schritt nach vorne bringen.
