Blog | Das elektronische Anwaltspostfach beA: De-Mail, die Zweite?

14.02.2018

Beschäftigt man sich mit den aktuellen Problemen und der Diskussion rund um das besondere elektronische Anwaltspostfach beA in Deutschland, drängen sich unweigerlich Gedanken an die gescheiterte De-Mail auf.

Seit Markus Drenger auf dem 34C3 im Dezember die Sicherheitsprobleme des besonderen elektronischen Anwaltspostfach [beA] dargestellt hat, wird es nicht ruhig um das System. Wie der Spiegel vor Kurzem berichtete, gibt es aktuell ein weiteres gravierendes Sicherheitsproblem, so dass die Bundesrechtsanwaltskammer (BRAK) allen Anwälten rät, das System zu deinstallieren. Ich will hier gar nicht die aktuellen Sicherheitsprobleme diskutieren, denn das haben Markus Drenger, heise.de, der Spiegel und andere bereits ausführlich getan.

Ich möchte einen Schritt zurückgehen und früher ansetzen. Mich interessiert die Frage, wie die BRAK einen Dienstleister mit der Erstellung eines E-Mail-ähnlichen Systems beauftragen kann, das erschreckende Parallelen zur De-Mail aufweist. Mal ganz abgesehen von der Tatsache, dass der beauftragte Anbieter Atos öffentlich die Meinung vertritt, E-Mail habe ausgesorgt.

Irgendwie E-Mail, aber doch nicht richtig

E-Mail ist nicht perfekt, ich bin der Letzte, der das behauptet. Aber E-Mail ist immer noch der weltweite Standard der geschäftlichen Kommunikation, sozusagen der "kleinste gemeinsame Nenner", auf den man sich einigen kann und der flächendeckend eingesetzt wird. Solange es dazu keine praktikable Alternative gibt, ist meiner Meinung nach der einzig gangbare Weg, die Schwächen von E-Mail, insbesondere in Bezug auf die Sicherheit, durch zusätzliche Massnahmen zu beseitigen. Zu diesen gehören zum Beispiel Verschlüsselung und die Beseitigung von Spam und Viren, die per E-Mail verbreitet werden.

Für diese Probleme gibt es erprobte Lösungen und Standards wie PGP oder S/MIME, wie schon die Piratenpartei Ende Dezember richtig bemerkte ("Das besondere elektronische Anwaltspostfach - gut gemeint, nicht gut gemacht"). Keine gute Option ist, ein E-Mail-ähnliches System zu schaffen, das noch nicht mal die klassischen Vorteile der E-Mail bietet, wie zum Beispiel die Universalität der Nutzung. Und das erinnert stark an die De-Mail.

Aus der Vergangenheit nichts gelernt?

Wer hat das zu verantworten? Ursächlich ist das - und hier finden sich die Parallelen zur De-Mail - der Gesetzgeber und nicht der genannte Hersteller. Das beA fusst ursprünglich auf dem "Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten" vom 10. Oktober 2013 und wird dann von der BRAK in der Bundesrechtsanwaltsordnung in §31 a genannt. Eine Verordnung des Bundesministerium für Justiz und Verbraucherschutz (Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer) vom 23. September 2016 präzisiert die Anforderungen an das beA und benennt konkret OSCI, ein Protokoll, das speziell für die sichere Übertragung von Nachrichten für E-Government entwickelt wurde.

Für mich als Justizlaien ist es letztendlich schwierig festzustellen, wer genau wann entschieden hat, sich für ein spezielles System stark zu machen, statt für eine standard-basierte Lösung. Und warum das Debakel des De-Mail-Gesetzes anscheinend kein Anlass zum Überdenken des Ansatzes geboten hat. Letztlich leiden die Anwender, also in erster Linie die Anwälte, unter den Problemen.

Ach ja, das Letzte, was ich über die De-Mail gelesen habe, war der bissige, aber wie ich finde, sehr treffende Kommentar von Netzpolitik.org in ihrem Artikel zum Koalitionsvertrag, den ich hier zitieren möchte: "Das Fehlen jeglichen Hinweises im Koalitionsvertrag auf die lange erfolglos vorangetriebene De-Mail zur Kommunikation mit Behörden dürfte wohl deren Ende besiegeln. Stattdessen will die Regierung offenbar auf die deutlich weiter verbreitenen (sic!) Verschlüsselungsstandards PGP beziehungsweise S/MIME setzen, die sie ausdrücklich nennt." Dem ist aus meiner Sicht nichts hinzuzufügen.

Probleme des beA

Wie bei der De-Mail ist der Nutzerkreis von vornherein geschlossen bzw. zumindestens stark eingeschränkt. Im Wesentlichen sind ausschliesslich Rechtsanwälte, die im deutschen Amtlichen Anwaltsverzeichnis registriert sind, berechtigt ein beA-Konto zu eröffnen. Damit ist schon mal ausgeschlossen, dass ich als Mandant über meine normale E-Mail-Adresse Unterlagen auf diesem Weg an meinen Anwalt übertragen kann. Ausserdem haben viele Anwälte ja auch Schriftverkehr mit Anwälten ausserhalb Deutschlands, dieser bleibt meines Wissens ebenfalls unbeachtet.

beA-Nachrichten sind mit normalen E-Mails inkompatibel, so ist "eine Weiterleitung an E-Mail-Empfänger aufgrund der Sicherheitsarchitektur des beA unmittelbar nicht möglich", wie man von der BRAK aus den "Fragen und Antworten" zum beA erfährt.

Auch im Hinblick auf die Nutzerfreundlichkeit gibt es Defizite, so ist die Software nicht auf iOS- und Android-basierten Geräten nutzbar und wird auf einigen aktuellen Betriebssystemen nicht unterstützt, darunter Windows 10.

Man sollte denken, wenn es schon ein gesondertes Programm für Juristen gibt, wären alle relevanten Organe zu erreichen, aber weit gefehlt. So ist laut BRAK das Bundesverfassungsgericht nicht zu erreichen, weil es nicht am elektronischen Rechtsverkehr teilnehme: "Die Verfassungsgerichtsbarkeit ist vom ERV-Gesetz nicht umfasst". Unter egvp.justiz.de/gerichte kann sich der Anwalt vorab informieren, welche Gerichte und Justizbehörden aktuell am elektronischen Rechtsverkehr teilnehmen.

Kritik auch aus der Anwaltschaft

Eine sehr detaillierte und umfassende Zusammenfassung der Probleme formuliert die Anwältin Nina Diercks in ihrem offenen Schreiben an die BRAK. Und Frau Diercks hat offensichtlich IT-Know-how. Sie kritisiert in Bezug auf die Nutzerfreundlichkeit beispielsweise die Tatsache, dass die Anwälte Anhänge von je maximal 30 MB verschicken können.

Auch sie stellt die Frage, warum eine Sonderlösung entwickelt werden musste und erwähnt "standardisierte ausgereifte Verschlüsselungs- und Authentifizierungsmethoden, die entsprechend weiterentwickelt und modifiziert hätten werden können, um einen sicheren elektronischen und praktikablen Rechtsverkehr der Anwälte" zu ermöglichen.

Ausserdem bringt Frau Diercks einen weiteren Sicherheitsaspekt zur Sprache, nämlich die Zentralisierung des Systems. Dieser Aspekt ist aus meiner Sicht ganz wichtig und ich teile ihre Bedenken, dass damit die "Funktionsfähigkeit der Rechtspflege in Deutschland von diesem einen zentralen System abhängig ist".

Egal ob "kleiner" Hacker oder staatliche Entität, es gäbe mit dem beA nur ein zentrales System, das angegriffen werden müsste, um ein Maximum äusserst vertraulicher Daten zu erlangen. Nicht auszudenken die Konsequenzen, sollte es jemand schaffen, das ganze System - sofern es denn irgendwann mal richtig läuft - komplett auszuschalten. Die Definition "kritische Infrastruktur" trifft meines Erachtens auf jeden Fall zu.

Ich halte diese Probleme des beA für grundlegend, somit bestehen sie auch dann noch, wenn die aktuellen Sicherheitsprobleme einmal ausgemerzt sind. Zum Abschluss greife ich ein Zitat aus der oben bereits erwähnten Broschüre von Atos auf: "Spult man auf heute vor, ist die E-Mail trotz all ihrer Stärken auch eine Quelle unermesslicher Frustration". Ich möchte behaupten, manch einer könnte das für eine sehr weise Vorhersage in Bezug auf das beA halten.

von Marcel Mock, CTO, totemo ag