1. Warum ist das beA außer Betrieb?

Auf Veranlassung der BRAK ist die beA-Plattform seit dem 23. Dezember 2017 außer Betrieb. Hintergründe waren Hinweise auf Sicherheitsrisiken, die mit einem Modul der beA-Plattform, nämlich der Client Security, verbunden sind.

Die BRAK empfiehlt allen Nutzern, die ab dem 22. Dezember das online zur Verfügung gestellte Zertifikat installiert haben, dieses wieder zu deinstallieren. Eine Anleitung dazu finden Sie hier. Nach Deinstallation des Zertifikats bestehen für Hacker keinerlei Möglichkeiten mehr, das Zertifikat für Angriffe auf Ihren Computer zu instrumentalisieren. Sollten Sie das Zertifikat am 22. Dezember nicht installiert haben, können Sie es auch nicht deinstallieren.

Die Bundesrechtsanwaltskammer (BRAK) empfiehlt weiter, die bisherige Client Security des beA zu deinstallieren. Die Software kann eine Lücke für einen externen Angriff darstellen. Hier finden Sie die Anleitungen zur Deinstallation unter Linux, MacOs und Windows.

 

 

2. Worin genau besteht das Sicherheitsrisiko, das aus dem am 22. Dezember online gestellten Zertifikat resultieren soll?

Aus dem am 22. Dezember online gestellten Zertifikat resultiert nach Installation ein Sicherheitsrisiko für die PC-Umgebung des Nutzers der beA-Plattform.

Mit Hilfe dieses Zertifikats ist es Hackern möglich, eigene Webseiten als vertrauenswürdig zu präsentieren, obwohl diese nicht vertrauenswürdig sind. Der Hacker könnte zudem einen weiteren IT-Sicherheitsangriff durchführen. Dieses Vorgehen würde den Angreifer in die Lage versetzen, Anwenderinnen und Anwender auf eigene Webseiten umzuleiten und im äußersten Fall den Rechner mit Schadsoftware zu infizieren.

3. Worin genau besteht das Sicherheitsrisiko, das mit der Nutzung veralteter Java-Bibliotheken zusammenhängen soll und auf das der Chaos Computer Club auf dem sogenannten beAthon aufmerksam gemacht hat?

Nach Auffassung des Chaos Computer Clubs ist die beA-Client Security von einer sogenannten Java-Deserialisierungslücke betroffen. Die beA-Software soll lokal auf dem Rechner einen HTTPS-Server öffnen, zu dem dann auch Webseiten über Websockets eine Verbindung aufbauen könnten. Der lokale HTTPS-Server soll empfangene Objekte mit der Java-Bibliothek Jackson verarbeiten, die von der genannten Sicherheitslücke betroffen ist. Durch eine trickreiche Konstruktion einer Anfrage soll es so möglich sein, die beA-Software dazu zu bringen, Code auszuführen. Damit könnte ein Angreifer nach Belieben Software auf dem Rechner des Anwalts starten.

Die BRAK empfiehlt darüber hinaus allen Rechtsanwältinnen und Rechtsanwälten, die beA-Client Security auf ihren PCs zu deaktivieren. Dies kann auf zwei Weisen geschehen: Entweder durch Deinstallation der Client Security oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners.

4. Ich habe am 22. Dezember das online gestellte Zertifikat installiert. Wie kann ich es wieder deinstallieren?

Eine Anleitung zur Deinstallation des Zertifikats finden Sie hier.

Nach Deinstallation des Zertifikats bestehen für Hacker keinerlei Möglichkeiten mehr, das Zertifikat für Angriffe auf ihren Computer zu nutzen. Sollten Sie das Zertifikat am 22. Dezember nicht installiert haben, brauchen Sie nichts zu tun. Für Sie besteht kein Sicherheitsrisiko.

5. Wie kann ich die bisherige Client Security des beA deinstallieren?

Die Bundesrechtsanwaltskammer (BRAK) empfiehlt, die bisherige Client Security des beA ebenfalls zu deinstallieren. Die Software kann eine Lücke für einen externen Angriff darstellen. Hier finden Sie die Anleitungen zur Deinstallation unter Linux, MacOs und Windows

6. War die Kommunikation über das beA jederzeit sicher oder gibt es auch hier Sicherheitslücken?

Die Datensicherheit der über die beA-Plattform gesendeten und empfangenen Dokumente war jederzeit gegeben. Kein Dokument, das über das beA versendet wurde, war öffentlich, die Kommunikation war stets vertraulich und verschlüsselt.

7. Kann ein Zugang zu den Nachrichten im beA auf alternativem Weg gewährleistet werden, wenn das beA – wie derzeit – nicht erreichbar ist?

Auf Nachrichten und Schriftstücke in den beA-Postfächern kann wegen der Abschaltung des beA-Systems im Moment nicht zugegriffen werden. Durch das Verschlüsselungsverfahren im beA-System ist es weder der BRAK noch einem Dienstleister möglich, die Nachrichten einzusehen oder diese in irgendeiner Weise zu kopieren oder den betroffenen Rechtsanwälten in anderer Weise zur Verfügung zu stellen. Die im beA gesendeten Nachrichten sind stets vertraulich und verschlüsselt und nur für den Empfänger bestimmt.

8. Sind die Gerichte über die Abschaltung der beA-Plattform informiert?

Ja, die BRAK hat die Gerichte unmittelbar nach Abschaltung der beA-Plattform informiert. Hierzu hat die BRAK eine entsprechende Meldung auf der zentralen Plattform für Störungsmeldungen innerhalb der EGVP-Infrastruktur eingestellt. Die BRAK hat zudem die Landesjustizministerien sowie das Bundesjustizministerium in einem Schreiben über die Situation in Kenntnis gesetzt.

9. Welche Auswirkung hat die Abschaltung des beA-Systems auf die passive Nutzungspflicht für Rechtsanwälte?

Rechtsanwälte können die am 1. Januar 2018 eintretende passive Nutzungspflicht nicht erfüllen, solange die beA-Plattform vom Netz ist. Weder Rechtsanwälte noch Gerichte können im Moment Nachrichten in ein beA senden oder von dort abholen und müssen deshalb auf andere Medien ausweichen.

10. In der ERVV (Elektronischer-Rechtsverkehr-Verordnung) sind Formalia zur Übermittlung von elektronischen Dokumenten an Gerichte geregelt. Gelten diese Formalia auch, so lange das beA nicht nutzbar ist?

Ja, die Anforderungen der ERVV gelten uneingeschränkt, auch wenn das beA zurzeit außer Betrieb ist. Hintergrund ist, dass die Anforderungen – zum Beispiel die zulässigen Dateiformate der Nachrichtenanhänge oder das Hinzufügen eines Strukturdatensatzes (vgl. § 2 ERVV) – unabhängig vom Übermittlungsweg sind.

§ 130a ZPO regelt in Absatz 3 und 4, auf welchem Weg Dokumente bei Gericht eingereicht werden können. So können sie elektronisch übermittelt werden (etwa per EGVP, vgl. § 4 Abs. 1 ERVV), wenn sie qualifiziert elektronisch signiert sind. Oder sie können über einen „sicheren Übermittlungsweg“ eingereicht werden; dann genügt eine einfache Signatur desjenigen, der den Schriftsatz verantwortet. „Sichere Übermittlungswege“ sind unter anderem DE-Mail oder das beA.

11. Wird der EGVP-Client zur Verfügung stehen, solange das beA außer Betrieb ist?

Nach Angaben der Justiz steht der EGVP-Classic-Client einen Monat über die Inbetriebnahme des beA hinaus zur Verfügung.
Anschließend soll es einen Nachfolgeclient geben, der dann noch der Verwaltung bereits empfangener Nachrichten dient. Unabhängig von dem EGVP-Classic-Client können Rechtsanwälte auch EGVP-Drittprodukte (http://www.egvp.de/Drittprodukte/index.php) nutzen.
Bitte beachten Sie, dass die Signaturfunktion des EGVP-Classic-Clients eine Nachrichtensignatur (sog. Containersignatur) anbringt, die ab dem 1. Januar 2018 im Anwendungsbereich der ERVV unzulässig ist (zu § 4 ERVV siehe auch die Erläuterungen im beA-Newsletter 46/2017 vom 16. November 2017). Im Anwendungsbereich der ERVV müssen Sie daher die entsprechende qualifizierte elektronische Signatur mit externen Anwendungen anbringen.

12. Was bedeutet die Offline-Stellung des beA für die erweiterte Nutzungsverpflichtung im automatisierten Mahnverfahren?

Für das automatisierte Mahnverfahren gilt ab dem 1. Januar 2018 nach dem Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs (vom 5. Juli 2017, BGBl. I 2208) eine erweiterte Nutzungsverpflichtung.

Es ist möglich, die erweiterte Nutzungspflicht ohne das beA zu erfüllen, denn das automatisierte Mahnverfahren sieht auch die Möglichkeit der Einreichung in Papierform über das sogenannte Barcode-Verfahren vor. Ebenso ist es möglich, einen EGVP-Classic-Client oder ein EGVP-Drittprodukt (http://www.egvp.de/Drittprodukte/index.php) zu nutzen, um Mahnanträge in elektronischer Form einzureichen.

Nach Angaben der Justiz steht der EGVP-Classic-Client einen Monat über die Inbetriebnahme des beA hinaus zur Verfügung. Bitte beachten Sie, dass die Signaturfunktion des EGVP-Classic-Clients eine Nachrichtensignatur (sog. Containersignatur) anbringt, die ab dem 1. Januar 2018 im Anwendungsbereich der ERVV unzulässig ist (zu § 4 ERVV siehe auch die Erläuterungen im beA-Newsletter 46/2017 vom 16. November 2017). Da aber nach Auskunft der Koordinierungsstelle für das automatisierte Mahnverfahren die ERVV hier nicht anwendbar ist, kann die vom EGVP-Bürger-Client erzeugte Containersignatur für das automatisierte Mahnverfahren auch im Jahr 2018 weiterhin verwendet werden.

13. Ist die Nutzung des Bundesweiten Amtlichen Anwaltsverzeichnisses (BRAV) möglich, solange die beA-Plattform außer Betrieb ist?

Das Bundesweite Amtliche Anwaltsverzeichnis steht seit dem 10.01.2018 wieder unter www.rechtsanwaltsregister.org zur Verfügung. Das beA-System ist derzeit offline (vgl. Presseerklärung Nr. 15 v. 27.12.2017), von der Offline-Stellung des beA-Systems war zunächst auch das Verzeichnis betroffen.

Weiterer Hintergrund: Die BRAK richtet gem. § 31a Abs. 1 Satz 1 BRAO für jedes im Gesamtverzeichnis (Bundesweites Amtliches Anwaltsverzeichnis (BRAV), § 31 BRAO, § 9 RAVPV) eingetragene Mitglied einer Rechtsanwaltskammer ein beA empfangsbereit ein. Nach § 21 Abs. 1 RAVPV unterrichten die Rechtsanwaltskammern die BRAK über die bevorstehende Eintragung einer Person in das Gesamtverzeichnis. Die BRAK richtet unverzüglich nach der Eintragung einer Person in das Gesamtverzeichnis für diese ein beA empfangsbereit ein.

Aufgrund dieser rechtlichen Rahmenbedingungen basieren das beA-System und das BRAV auf derselben Datenbank. Denn im BRAV ist jeder in Deutschland zugelassene Rechtsanwalt aufgeführt und für jeden in Deutschland zugelassenen Rechtsanwalt ist ein beA einzurichten. Nach der gesetzlichen Regelung werden die beA-Postfächer auf der Basis des BRAV errichtet. In rechtlicher Hinsicht sind das beA und das BRAV also direkt voneinander abhängig. Deshalb ist eine Verknüpfung der Daten realisiert worden.

Aus diesem Grund ging bislang automatisch das BRAV offline, sobald das beA-System ausgeschaltet wurde.

Zwischenzeitlich ist eine Logik aufgebaut worden, die der BRAK netzwerktechnisch ermöglicht, die Bestandteile des Systems einzeln zur Verfügung zu stellen. Damit können in Zukunft das beA und das BRAV unabhängig voneinander bereitgestellt werden, obwohl beide Systeme auf derselben Datenbank basieren. Deshalb ist das BRAV ebenso wie die Find-A-Lawyer-Suchfunktion seit dem 10.01.2018 wieder online.

14. Wie ist die Nutzung des zentralen elektronischen Schutzschriftenregisters (ZSSR) ohne das beA möglich?

Seit dem 1. Januar 2017 besteht aufgrund von § 49c BRAO eine berufsrechtliche Pflicht, das ZSSR zu nutzen. Dies ist jedoch nicht nur mit dem beA möglich, denn das Schutzschriftenregister ermöglicht Einreichungen sowohl über weitere EGVP-Clients als auch über ein Online-Formular.

Eine ausführliche Erläuterung der Einreichungsmöglichkeiten finden Sie im Handbuch des Schutzschriftenregisters unter https://schutzschriftenregister.hessen.de/sites/schutzschriftenregister.hessen.de/files/handbuch_zssr_of.pdf

15. Sind zurzeit Bestellungen über das Portal der Bundesnotarkammer (BNotK) möglich?

Ja, beA-Karten können über das das Portal der BNotK bestellt werden.

16. Wann geht das beA wieder in Betrieb?

Aktuell arbeitet der technische Dienstleister der BRAK mit Hochdruck daran, eine Lösung für das entstandene Problem zu finden. Die BRAK hat deutlich gemacht, dass sie keine halben Lösungen akzeptieren wird, sondern auch künftig sowohl die Sicherheit der beA-Webanwendung, als auch die Sicherheit der individuellen PC-Umgebung der Anwälte gewährleisten will.

Derzeit können wir deshalb noch keinen Zeitpunkt nennen, wann das beA wieder verfügbar sein wird. Die beA-Plattform wird erst dann wieder ans Netz gehen, wenn alle relevanten Fragen zur Sicherheit des Systems zweifelsfrei gelöst sind.

17. Wird die BRAK den Rechtsanwälten eine angemessene Frist zwischen Ankündigung und Wiederinbetriebnahme der beA-Plattform einzuräumen?

Ja, die BRAK plant mit einer angemessenen Frist zwischen Ankündigung und Wiederinbetriebnahme der beA-Plattform. Wie lange dieser Zeitraum genau sein wird, wird die BRAK bekannt geben, sobald technische Fragen mit dem entsprechenden Dienstleister geklärt sind. Die Frist kann einen Zeitraum von zwei Wochen umfassen.

18. Welche früheren Sicherheitstests wurden vor Inbetriebnahme des beA am 28.11.2016 durchgeführt?

Auf der Grundlage der Leistungsbeschreibung und des Umsetzungskonzeptes von Atos erstellte Atos eine Teststrategie als Teil des Umsetzungsfeinkonzepts, deren Aufgabe die Definition und Beschreibung aller Tests ist, die im Rahmen der Realisierungsphase des Projekts geplant und realisiert werden sollten. Diese Teststrategie sieht je nach Testziel unterschiedliche Methoden vor. Die Sicherheitstests sollten als Blackbox-Tests durchgeführt werden.

Die abgestimmten Tests führte Atos vor der Inbetriebnahme des Systems Ende 2015/Anfang 2016 durch. Nach Durchführung der Tests übergab Atos der BRAK den Testbericht mit dem Stand 09.05.2016. Die BRAK hat keine Anhaltspunkte dafür, dass die Tests nicht vollständig durchgeführt wurden. Extern von der BRAK für den Bereich des Qualitätsmanagements hinzugezogene Dienstleister sahen ebenfalls keinen Anlass, die Testergebnisse zu bezweifeln.

Über die Entwicklungstests hinaus beauftragte Atos einen externen Dienstleister mit der Durchführung weiterer Sicherheitstests, in die die vom Frontend erreichbaren Server sowie die Client Security einbezogen wurden. Die Prüfungen zielten darauf, Schwachstellen in der HW/SW-Architektur, des Authentifizierungskonzepts, der Signaturmechanismen und der Verschlüsselung auszumachen. Die Tests sind in Form von Black-Box-Tests durchgeführt worden. Diese Tests wurden nach dem Timebox-Verfahren durchgeführt. Die Testergebnisse sind der BRAK von Atos zur Verfügung gestellt worden. Ergebnis der Tests war, dass das beA-System ein hohes Sicherheitsniveau aufweist.