Jahreswechsel 2017/2018 – das beA steht erneut ungewollt im Rampenlicht
Erfahren Sie mehr über die Probleme und Lösungsmöglichkeiten für Ihre Kanzlei!
Sicher hat zwischenzeitlich jede Kanzlei davon erfahren, dass es mit dem beA neue Schwierigkeiten gibt, die nun so ausgeprägt sind, dass das besondere elektronische Anwaltspostfach nicht mehr erreichbar ist. Alle Postfächer sind offline. Die BRAK arbeitet mit den Softwarepartnern an einer Lösung. Lesen Sie hier eine knappe Chronologie der Ereignisse und Möglichkeiten, wie Sie in Ihrer Kanzlei dennoch geregelt den alltäglichen Aufgaben nachgehen können.
Das beA leidet – wie sicher allgemein bekannt – schon von Anfang an unter Startschwierigkeiten. Nun, als es endlich zwingend für alle losgehen sollte, machten verschiedene Meldungen vor Weihnachten die Runde, die die Nutzbarkeit des beA wieder in Frage gestellt haben. Und schließlich wurde die Abschaltung bekanntgegeben.
Wir möchten Ihnen an dieser Stelle möglichst knapp erläutern, was bisher geschah und welche Verhaltensempfehlungen wir geben können.
1. Ein Software-Zertifikat fehlte
Am 22. Dezember 2017 informierte die Bundesrechtsanwaltskammer (BRAK) darüber, dass ab dem 22.12.2017 ein notwendiges Software-Zertifikat seine Gültigkeit verloren hat, das nicht von der BRAK in Auftrag gegeben wurde, sondern nur im Zusammenhang mit dem beA für die Nutzung erforderlich ist.
Tatsächlich wurde das Zertifikat wegen bedeutender Sicherheitsmängel von dem Zertifizierungsanbieter Telesec zurückgezogen.
Ein aufmerksamer Tester des Chaos Computer Clubs Darmstadt hatte das Zertifikat und den privaten Schlüssel entdeckt und daraufhin das Problem an Telesec, die BRAK und das BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet. Dort wurde daraufhin das Zertifikat zurückzogen.
2. Ein anderes Zertifikat installieren
Alle beA-Nutzer sollten nun selbst – mit allen Risiken bei mangelnden IT-Kenntnissen – ein anderes Software-Zertifikat installieren. Dazu gab es eine Anleitung und einen Link, wo das Zertifikat zum Download zu finden sei.
Leider war diese Lösung nicht geeignet, um das Problem zu lösen. Schlimmer noch: Wer das neue Zertifikat installierte, öffnete Malware und potenziellen Angreifern Tür und Tor. Es handelte sich technisch dabei um ein sog. Root Zertifikat, bei dem der private Schlüssel zur Verschlüsselung öffentlich war. Dies bedeutete ein sehr hohes Risiko für die Kanzleien, denn mit diesem Zertifikat wurde auch die Funktion HTTPS, die auch auf sicheren Websiten genutzt wird, ausgehebelt. Somit wäre es möglich, dass sich Angreifer zwischen Kanzlei und beA schalten und die Kommunikation übernehmen oder abhören könnten.
3. Installation rückgängig machen
Die Empfehlung der BRAK zur Installation des Zertifikats wurde von der Website entfernt, ebenso der entsprechende Newsletter.
Es wurde empfohlen, ein bereits installiertes Zertifikat wieder zu entfernen.
Bei https://www.golem.de gibt es einen Test (https://bea.tlsfun.de/), mit dem man überprüfen kann, ob man das Zertifikat installiert hat.
Um das Zertifikat zu entfernen ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter „Inhalt“ findet sich der Button „Zertifikate“. Dort sieht man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen und kann es durch einen Klick auf „Entfernen“ unschädlich machen.
Sogar die FAZ greift das Thema auf und textet in einem Beitrag unter der Rubrik Einspruch: „Dass der BRAK das Problem nicht aufgefallen war, und sie sodann einen nicht funktionierenden Weg zu seiner Behebung anbietet, dürfte kaum dazu beitragen, das Stimmungsbild gegenüber der neuen Technologie zu verbessern.“
4. Das beA ist offline
Nun ist das beA offline. Seit dem 27.12.2017 ist das beA nun offline. Darüber informierte die BRAK in Ihrem Newsletter vom gleichen Tag mit Versandzeit 19:03 Uhr!
5. Dank an den Chaos Computer Club
Nachdem der Entdecker des Problems zunächst eher beschimpft denn gelobt wurde, kam dann mit Verspätung die Entschuldigung der BRAK. Schließlich hat er nur auf das Sicherheitsproblem aufmerksam gemacht und es nicht verursacht. In Spiegel Online wird am 29.12.2017 berichtet, dass bereits in einem frühen Entwicklungsstadium Sicherheitsbedenken bestanden, die aber nicht weiter verfolgt wurden, da ein Audit angeblich ein „hohes Sicherheitsniveau“ bestätigt habe.
6. Brief der BRAK an die Rechtsanwaltskammern
Am 02.01.2018 informierte die BRAK die Kammern mit Rundschreiben über den Stand der Dinge.
- Während das beA offline ist, kann die ab 01.01.2018 geltende passive Nutzungspflicht für alle Rechtsanwälte nicht erfüllt werden.
- Die BRAK hat darüber das Bundesjustizministerium informiert und folgendes Vorgehen vorgeschlagen:
- Zuerst soll eine neue Client-Security zum Herunterladen angeboten werden
- Erst nach einer angemessenen Frist soll dann das beA wieder ans Netz gehen
- Die BRAK wird darüber zu gegebener Zeit auch über Homepage und Newsletter informieren
7. Sondernewsletter der BRAK zum beA – Alles bleibt offline
Am 03.01.2018 informiert die BRAK im Sondernewsletter über den aktuellen Stand. Kurz gesagt: Das beA bleibt noch offline, bis die Probleme behoben sind.
Ganz wichtig: Weiteres Vorgehen ohne beA
Quelle: https://bea-abc.de/blog/anwaltspostfach-bea-wie-geht-es-weiter/:
„Alternativen zum beA für das Mahnverfahren und das Schutzschriftenregister
Wer bisher mit dem Barcode-Mahnverfahren gearbeitet hat, kann dieses Verfahren mindestens bis zum 31.12.2019 nutzen.
Als Alternative und Ersatz zum bisherigen EGVP kann als Drittprodukt der Governikus Communicator Justiz Edition genutzt werden.
Schutzschriften sind über das zentrale Schutzschriftenregister bereits seit dem 1.1.2017 ausschließlich elektronisch einzureichen. Das geht entweder auch mit dem Governikus Communikator oder auch online über das Justizportal des Bundes und der Länder. Die Besonderheit beim Schutzschriftenregister ist, dass es sich um ein vollautomatisiertes Verfahren handelt, so dass die Einreichung von Schutzschriften an bestimmte technische Rahmenbedingungen geknüpft ist, um eine ordnungsgemäße Verarbeitung zu ermöglichen.“
ReNoStar informiert seine Kunden automatisiert, sobald neue Bewegung und Stabilität ins beA kommt.