Wenige Tage vor dem Termin, an dem wir Anwälte über das besondere elektronische Anwaltspostfach (beA) empfangsbereit sein sollen, ist gestern offenbar der GAU eingetreten.

Mehrere Mitglieder des Chaos Darmstadt e.V. haben sich nämlich den Code des lokal zu installierenden Secury Clients angeschaut und dabei festgestellt, dass dieser Client nicht den öffentlichen Schlüssel des von T-Systems erstellten Zertifikats verteilt hat, sondern den privaten Schlüssel. Das ist nicht zulässig und daher wurde von Markus Drenger von Chaos Darmstadt sofort das BSI informiert. Das Zertifikat wurde daraufhin sofort für ungültig erklärt.

Was dann folgte, war – wie es mein längst verstorbener Repetitor formuliert hätte – ein Stück aus dem Tollhaus:

Die Bundesrechtsanwaltskammer (BRAK) verschickte nämlich eilends einen Sonder-Newsletter, in dem man den Anwälten das eigene Versagen unterschlug:

“Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren.”

Na so was aber auch, das konnte ja keiner ahnen.

Als Lösung stellte die BRAK zunächst ein neues, eigenes Zertifkat zur Verfügung, dass man als Anwalt mal eben installieren sollte:

“Wir bitten um Verständnis für diese Maßnahme, die für das sichere und reibungslose Funktionieren Ihres beA erforderlich ist.”

Dummerweise trug auch das neue Zertifikat denselben Fehler in sich, nämlich den privaten Schlüssel. Deshalb wurde der Link zu dem neuen Zertifikat schnell wieder entfernt und landet nun im 404-Nirwana.

Markus Drenger schrieb dazu in der beA-Support-Gruppe auf Facebook:

”Der vorschnelle Lösungsansatz, einfach ein neues Zertifikat zu verteilen, ist nicht mehr online. Das war aber auch keine Lösung. Zum einen ist der private Schlüssel des neuen Zertifikats genauso zugänglich wie das alte, zum anderen ist die Installation eines Wurzelzertifikats (root), auch nicht ganz ohne Risiko.”

Nachdem zunächst von der BRAK angekündigt wurde, dass “in Kürze” ein neues Zertifikat zum Download bereit stünde, wurde dann kurzerhand das ganze beA vorerst vom Netz genommen. Die Erklärung der BRAK dafür lässt an Dreistigkeit nichts zu Wünschen übrig:

”Es traten vereinzelt Verbindungsprobleme zur beA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu beA sicherzustellen, hat die BRAK sich entschlossen, beA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen.”

Mich erinnert das Verhalten der Verantwortlichen der BRAK an die Presseerklärungen des “DDR”-Staatsrates kurz vor dem Mauerfall und an Comical Ali. Eigenes Versagen wird unter den Tisch gekehrt, ein technischer GAU als „vereinzelte Verbindungsprobleme” verharmlost und “Wartungsarbeiten” vorgeschoben, während man offensichtlich hektisch nach einer Lösung für das Problem sucht.

Die Geschäftsführerin der BRAK, Stephanie Beyrich, disqualifizierte sich in der FAZ mit folgendem Statement:

„Natürlich geht die Einführung neuer Technologien immer auch mit dem einen oder anderen kleinen technischen Problem einher. Das war in den Anfangstagen der E-Mail nicht anders, und ist beispielsweise bei Betriebssystem-Updates auch heute oft noch so. Trotzdem würde diese Technologien wohl kaum jemand missen wollen, der sich einmal daran gewöhnt hat.“

Als ob es sich bei beA um eine neue Technologie handeln würde und die Verwendung eines Zertifikats, das seinen privaten Schlüssel preisgibt, um ein kleines technisches Problem. Verharmlosung eigener Inkompetenz – wie das üblicherweise endet, ist bekannt.

Warum das Vorgehen der BRAK so schlimm ist und die die technischen Hintergründe hat mittlerweile Golem sehr gut erklärt. Dort findet man auch einen Test, ob man selbst verwundbar ist.

Ob es bis zum 01.01.2018 diese Lösung geben wird und wir Anwälte über beA, wie vom Gesetz vorgesehen, empfangsbereit sein können, ist derzeit offen.

In der bereits genannten beA-Gruppe auf Facebook erläuterte es ein Kollege so:

„Anders [= ohne Veröffentlichung des privaten Schlüssels] geht’s bei der (derzeitigen) Architektur des beA schlicht nicht, da die „Client Security“ Software einen Webserver enthält, der zwangsläufig einen Private Key haben muss. Man könnte entweder die (lokale) Kommunikation unverschlüsselt stattfinden lassen, oder aber bei der Installation selbst ein (individuelles) Schlüsselpaar erzeugen, oder aber eine ganz andere Architektur wählen.“ 

Ob dieses Problem nun in wenigen Tagen vernünftig gelöst werden wird? Ich habe meine Zweifel.

Ich kann mir gut vorstellen, dass die Gerichte jedenfalls ab Jahresbeginn verstärkt damit anfangen werden, Ladungen und fristgebundene Verfügungen im elektronischen Rechtsverkehr zu versenden. Wenn dann beA nicht bereit steht, kann das zu versäumten Terminen und Fristen führen. Zwar dürfte eine Haftung des Anwalts in diesem Fall ausscheiden – aber der sich dann ergebende Mehraufwand für alle Beteiligten wird auch nicht für Freude sorgen.

Update: Ursprünglich lauetet der Titel: „Die BRAK verkauft ihre Mitglieder für dumm“. Das ist natürlich unsauber, denn die BRAK hat als Dachorganisation der regionalen Rechtsanwaltskammern keine anwaltlichen Mitglieder. Wer anderen Inkompetenz vorwirft, sollte selbst aber sauber arbeiten. Der Titel wurde daher geändert.