Rechtsanwalt Percy Rönnberg hat heute, 25.12.2017 folgende Nachricht an die Aufsichtsbehörde der BRAK gerichtet. Es sollen die gebotenen aufsichtrechtlichen Maßnahmen ergriffen werden.
Bundesministerium der Justiz und
für Verbraucherschutz
als Aufsichtsbehörde für die
Bundesrechtsanwaltskammer
Mohrenstraße 37
10117 BerlinVorkommnisse im Zusammenhang
mit der Einführung des
besonderen elektronischen Anwaltspostfachs (beA)
Hier: gebotene aufsichtsrechtliche MaßnahmenSehr geehrte Damen und Herren,
wie Sie wissen trifft nach § 31a, Abs. 6 BRAO ab 01.01.2018 jeden Rechtsanwalt die Pflicht, ein für ihn eingerichtetes besonderes elektronisches Anwaltspostfach in Betrieb zu nehmen, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten, sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.
Mit der technischen Einrichtung des Postfachs ist die Bundesrechtsanwaltskammer beauftragt.
Die technische Infrastruktur wird seit dem 28.11.2016 durch die BRAK zur (noch) nicht obligatorischen Nutzung zur Verfügung gestellt.
Die intensive Nutzung zeigte von Anbeginn an technische Schwächen, insbesondere verzögerte oder gar keine Zugangsmöglichkeiten, Unerreichbarkeit der BRAK-Server, nicht kommentierte und nicht reproduzierbare Fehlermeldungen, sowie zahlreiche vorgebliche Wartungs-shut-downs.
Am 21.12.2017 war das beA wieder einmal nicht erreichbar. Die Nutzer des beA wurden seitens der BRAK unterrichtet, die BRAK selbst sei „gestern abend“ (erst) darüber informiert worden, dass ein für den Zugang erforderliches Zertifikat am 22.12.2017 auslaufe.
Wenig später wurde den Nutzern über eine 23-seitige Installationsanleitung empfohlen, ein anderes Zertifikat zu installieren.
Da ich mich z.Zt. im Ausland aufhalte, veranlasste ich unseren IT-Spezialisten, die Installation vorzunehmen.
Ihm gelang der download des Zertifikats nicht.
Am 22.12.2017 veröffentlichte die BRAK unter dem Titel „Wartungsarbeiten am beA“ folgende Nachricht:„Es traten vereinzelt Verbindungsprobleme zur bea-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu beA sicherzustellen, hat die BRAK sich entschlossen beA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen“
Tatsächlich handelte es sich nach im Netz beschriebenen Hintergrundinformationen offensichtlich aber weder um das Problem eines abgelaufenen Zertifikats, noch um „vereinzelte Verbindungsprobleme“ die die Maßnahme erforderten.
Der tatsächliche Hintergrund liegt vielmehr wohl in folgendem Sachverhalt begründet:
Die Programmierer der BRAK haben vermutlich den geheimen Teil des Schlüssels für die Kommunikation der offiziellen bea-Seite mit dem lokal zu installierenden bea-client öffentlich verteilt, indem sie ihn wohl dem Client-Download .msi beigelegt hatten.
Nach dem Stand der Technik hätte dort nur der öffentliche Schlüsselteil beigefügt werden dürfen.
Markus Drenger ein Mitglied des CCC (Chaos Computer Club) hatte dies entdeckt und das BSI und T-Systems, die das Zertifikat autorisiert hatten, informiert.
T-System hat das Zertifikat deshalb sofort zurückgezogen.
BeA war damit für die nutzenden Anwälte nicht mehr erreichbar.
Die BRAK vermittelte hingegen den Eindruck, das Zertifikat sei unvorhergesehen abgelaufen.
Als “Lösung“ bot die BRAK den Download eines eigenen Zertifikats an, das aber den gleichen Fehler (Versendung des privaten Schlüssels) in sich trug.
Nachdem zahlreiche Browser die Installation unter z.T. drastischen Warnhinweisen verweigerten, sperrte die BRAK zunächst den weiteren download und nahm schließlich das beA komplett vom Netz.
Das erfolgte allerdings ohne jeden Hinweis auf die durch die seitens der BRAK veranlassten Zertifikatsinstallationen nun eröffneten Sicherheitslücken auf den einzelnenen Rechnern der Rechtsanwälte.
Von Markus Drenger wurde in einem einschlägigen Forum nun sogar empfohlen, das Zertifikat zu deinstallieren.Es sei angemerkt, dass die vorstehenden Informationen nur ganz vereinzelte Kollegen erreichen. Der Großteil der betroffenen Anwaltschaft dürfte aufgrund der hiermit gerügten Informationspolitik der BRAK sich weiter in trügerischer Sicherheit wiegen.
Bei dieser Sachlage ist nicht auszuschließen, dass die BRAK als zuständige Stelle für das für die gesamte Anwaltschaft in wenigen Tagen obligatorische beA nicht nur betriebsnotwendige Teilfunktionen nicht zur Verfügung stellt, sondern die Anwaltschaft über die Gründe der technischen Probleme mit der Unwahrheit bedient und zu kostenaufwändigen „workarounds“ veranlasst, die nicht nur fehlerhaft sind, sondern ggfls. sogar massive Sicherheitslücken auf den betroffenen Rechnern eröffnen.
Soweit die BRAK dies zwischenzeitlich selbst festgestellt haben sollte, unterlässt sie nicht nur die gebotene Information der betroffenen Nutzer, sondern vernebelt den strukturell fehlerhaften Status mit vorgeblichen „Wartungsarbeiten“.Bei dieser Sachlage bitte ich insbesondere wegen der in Ansehung des nahenden 01.01.2018 offenkundigen Eilbedürftigkeit um die Veranlassung gebotener aufsichtsrechtlicher Maßnahmen nach § 176 Abs. 2 BRAO um die BRAK zur umfassenden Information der Nutzer und zur vollständigen Leistung der im Zusammenhang mit der Einführung des beA bestehenden Aufgaben und Pflichten anzuhalten.
Das alles scheint gegenwärtig nicht gesichert zu sein.
Mit freundlichen Grüßen
Percy Rönnberg
Rechtsanwalt
Abdruck mit freundlicher Genehmigung des Herrn Rechtsanwalt Percy Rönnberg