[Update 3.9.2018] Seit heute soll das besondere elektronische Anwaltspostfach endgültig nutzbar sein. In einem ersten Schritt sind alle rund 160.000 in Deutschland zugelassenen Anwältinnen und Anwälte vom heutigen Tage zu einer passiven Nutzung des beA verpflichtet. Was das bedeutet und mit welchen Maßnahmen wir Sie dabei unterstützen, erfahren Sie im zugehörigen Beitrag auf unserem Advoblog.
[Update 29.1.2018] Am vergangenen Freitag fand in Berlin auf Einladung der BRAK ein sogenanntes BeAthon statt, auf dem anwesende Anwender, Sicherheitsexperten und Entwickler über die Zukunft des beA diskutiert haben. Die verantwortliche Entwicklerfirma Atos sowie die ebenfalls involvierte Firma Governikus waren leider nicht anwesend.
Wichtigste Erkenntnis bei diesem Treffen: Sämtliche Anwaltskanzleien, die bereits das Client Security-Programm installiert haben, sollen dieses umgehend von ihren Rechner rückstandsfrei entfernen. Darüber hinaus liegt eine neue, offensichtlich verbesserte und von ihren Schwachstellen befreite Version der beA-Software vor. Die wesentliche Verbesserung besteht in einem individuellen, lokalen Zertifikat, was deutlich sicherer ist als die bisherige Variante wein soll. Wann das beA wieder online gehen kann, ist indes weiterhin unbekannt.
[Update 23.1.2018] Am gestrigen Montag kamen im DAV-Haus zu Berlin zahlreiche Experten zum Thema beA zusammen. Mit dabei war unter anderem Markus Drenger vom CCC Darmstadt, der die Schwachstellen des beA kurz vor Weihnachten 2017 ausfindig gemacht hatte. Seine Einschätzung: das beA-System ist in seiner aktuellen Form vollkommen unsicher, sowohl seitens des Webservers als auch gegenüber Angriffen von außen. Zudem weist die Client Security erhebliche Mängel auf. So stelle die Ende-zu-Ende-Verschlüsselung eine „grundlegende Gefährdung“ für das gesamte System dar. Wer übrigens nicht im DAV-Haus auf der Veranstaltung anwesend war: die BRAK!
Die gesamte Veranstaltung steht als Video zur Verfügung. Bei Minute 25 beginnt die Diskussion.
[Update 10.1.2018] Es kommt offensichtlich Bewegung in Sachen beA! So haben sich die BRAK und sämtliche Vertreter der regionalen RAKn zusammengesetzt, um den Stand der Dinge ausführlich zu erörtern. Herausgekommen ist vor allem die Erkenntnis, dass das gesamte beA-System hinsichtlich seiner Sicherheit überprüft werden muss. Dies geschieht mithilfe eines externe Gutachters sowie eines vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Experten. Erst wenn durch deren Analyse und Einschätzung klar wird, wie eine vollständige Sicherheit des beA-Systems garantiert werden kann, geht die Onlineplattform wieder online.
[Update 8.1.2018] In einem Sondernewsletter stellt die BRAK den aktuellen Verlauf in Sachen beA nochmals ausführlich dar. Darin weist sie erneut darauf hin, dass die beA-Platform bis auf weiteres offline bleibt und damit die passive Nutzungspflicht außer Kraft gesetzt ist. Zudem entschuldigt sich die BRAK bei der deutschen Anwaltschaft für die Unannehmlichkeiten, die sich aus dem verzögerten Start des Elektronischen Rechtsverkehrs via beA ergeben. [/Update]
In einer Presseerklärung teilt die BRAK mit, dass aufgrund einer massiven technischen Sicherheitslücke im beA-Software-Zertifikat das beA-System abgeschaltet bleibt. Weiter noch: Die BRAK empfiehlt sogar, das am 22. Dezember empfohlene Ersatzzertifikat wieder von sämtlichen Rechner zu entfernen, da sich ansonsten Unbefugte auf dem PC mithilfe geeigneter Hackermaßnahmen einschleusen können.
Hierfür kommt laut dem Technikportal heise.de eine sogenannte Man-in-the-Middle-Attacke infrage, die es ermöglicht, sämtlichen Datenverkehr der betroffenen Rechner mitzuschneiden und die Kanzlei entsprechend zu kompromittieren. Damit könnte ein Hacker beispielsweise einen Internetserver bereitstellen, der vorgaukelt, die beA-Plattform zu sein. Und welche Konsequenzen das für die betroffenen Kanzleien nach sich zögen, mag man sich gar nicht vorstellen.
Daher sollten Anwaltskanzleien mithilfe dieses Links unbedingt überprüfen, ob sie das unsichere Zertifikat bereits installiert haben – und gegebenenfalls wieder de-installieren. Dies geschieht mithilfe der Systemsteuerung von Windows, genauer gesagt über die Internetoptionen, und dort über den Reiter „Inhalt“, in dem sich die Schaltfläche „Zertifikate“ befindet. Darüber lässt sich das beA-Zertifikat wieder entfernen.
Wir halten Sie in Sachen beA weiterhin auf dem Laufenden.