Presseerklärung Nr. 3/2018

Bundesrechtsanwaltskammer bestätigt Durchführung des beAthon zur Überprüfung des besonderen elektronischen Anwaltspostfach (beA)

beAthon findet trotz Absage des technischen Dienstleisters statt

24.01.2018Presseerklärung

Die Bundesrechtsanwaltskammer (BRAK) hält am sogenannten beAthon fest, obwohl der technische Dienstleister der BRAK, die Firma Atos, seine Teilnahme abgesagt und die von Atos beauftragte Subunternehmerin angewiesen hat, dem beAthon ebenfalls fern zu bleiben. Der beAthon findet gleichwohl wie geplant am 26. Januar statt. Allerdings hat die BRAK die Zielsetzung des beAthon verändern müssen: Die eingeladenen externen Experten werden zusammen mit den Gutachtern der BRAK Fragestellungen und Vorgehensweisen erörtern. So soll ein Fragenkatalog an Atos erarbeitet werden, den die BRAK ihrem Dienstleister zur Beantwortung übergeben wird.

Am 22. Januar hatte Atos die BRAK darüber informiert, dass Atos – trotz bisher erteilter mündlicher Zusage – nicht am beAthon teilnehmen wird. Trotz Bemühungen der BRAK blieb der Dienstleister auch am 23. Januar bei seiner Absage.

Der Präsident der BRAK, Ekkehart Schäfer, stellt dazu fest: „Wir bedauern die Absage von Atos sehr. Gerne hätten wir gemeinsam mit externen Kritikern die von Atos zur Verfügung gestellte Lösung zur Behebung der Problematik in der Verbindung zwischen der beA-Komponente Client-Security und beA-Webanwendung erörtert und gegebenenfalls weitere Schritte bis zur erneuten Inbetriebnahme des beA diskutiert.“ Schäfer weiter: „Leider werden wir die von Atos entwickelte neue Lösung ohne weitere Überprüfung noch nicht online gehen lassen können. Denn die BRAK steht zu ihrem Wort, das beA erst dann wieder in Betrieb zu nehmen, wenn alle relevanten Fragen zur Sicherheit von beA geklärt sind. Der beAthon ist Teil dieses Klärungsprozesses.“

In der Diskussion geht es um die Verbindung der beA-Komponente Client-Security mit der beA-Webanwendung. Ursache der gemeldeten Sicherheitsrisiken ist im Wesentlichen ein Schwachpunkt eines Zertifikats, das für die Anmeldung zur beA-Plattform benötigt wird. Ein Mitglied des Chaos Computer Clubs hatte den Schwachpunkt entdeckt und dem BSI und der BRAK am 20. Dezember 2017 gemeldet. Die Zertifizierungsstelle sperrte nach dieser Meldung das entsprechende Zertifikat.

Am 22. Dezember hatte Atos der BRAK ein aktualisiertes Zertifikat zur Verfügung gestellt, das die angemahnten Sicherheitsrisiken allerdings nicht behob, sondern nach Installation zusätzlich noch Sicherheitsrisiken für die PC-Umgebung des beA-Nutzers nach sich zog. Die BRAK hatte infolge dieses Ereignisses die beA-Plattform insgesamt außer Betrieb nehmen lassen.

Schäfer führt dazu aus: „Aufgrund dieser Ereignisse erleidet das beA aktuell eine tiefe Vertrauenskrise bei den 164.500 Rechtsanwältinnen und Rechtsanwälten. Ohne Maßnahmen wie einen Dialog mit kritischen Experten in Form des beAthon und das von der BRAK in Auftrag gegebene Gutachten, in dem die von Atos entwickelte Lösung überprüft wird, kann daher das beA nicht wieder in Betrieb genommen werden. Wir sind enttäuscht, dass unser technischer Dienstleister sich nicht an diesem vertrauensbildenden Prozess beteiligt.“

Am 9. Januar hatten die Präsidentinnen und Präsidenten der 28 Rechtsanwaltskammern  in ihrer Sondersitzung zum beA beschlossen, den sogenannten beAthon durchzuführen. Auf ihrer regulären Sitzung am 18. Januar hatten die Präsidentinnen und Präsidenten dann das Verfahren zur erneuten Inbetriebnahme des beA bekräftigt. Demnach wird das Unternehmen secunet die durch Atos bereitgestellte neue Version des beAs begutachten. Die auf dem beAthon geäußerte Kritik der externen Experten soll in dem Gutachten berücksichtigt werden.