Freitag, 23. März 2018

beA-Skandal bei der RAK Sachsen


Am 23.03.2018 fand die Kammerversammlung der Rechtsanwaltskammer Sachsen statt. Ein Thema war das besondere elektronische Anwaltspostfach, kurz beA. Die Kammerversammlung endete vorzeitig mit einem Skandal, als es zur Abstimmung über einen brisanten Antrag kommen sollte.

Als das Thema dran war, teilte der Kollege Gross mit, dass die Zeit abgelaufen sei, für die der Saal bereitstand. Er beendete daher  die Kammerversammlung. Aber der Reihe nach:

Die Kammerversammlung fand im großen Saal des Bundesverwaltungsgerichts in Leipzig statt. Das ist ein denkbar schlechter Tagungssaal. Zwar gibt es schöne Gemälde und goldene Verzierungen an den Wänden. Dafür stehen den Teilnehmern aber keine Tische zur Verfügung. Nachdem ich meine Jacke abgegeben hatte, wollte ich das Bundesverwaltungsgericht mit meiner Aktentasche betreten. Sofort kam ein Sicherheitsmitarbeiter gerannt und ließ mich nicht ein. Die Tasche müsse ins Schließfach. Also durfte ich meinen Laptop und alles andere auspacken und einzeln tragen. Scheinbar war das Bundesverwaltungsgericht aber aus einem weiteren Grund eine schlechte Wahl. Die Kammerversammlung begann 14:00 Uhr und kurz nach 18:00 Uhr musste der Saal schon geräumt werden. Die Tagesordnung hatte 15 Punkte. Abgebrochen wurde im Punkt 6.

Der Kammervorsitzende Dr. Haselbach war erkrankt. Die Kammerversammlung wurde daher vom Kollegen Gross geleitet. Auch der Kollege Dr. Abend war anwesend, der bei der BRAK für das beA verantwortlich ist. Die Veranstaltung begann mit den üblichen Begrüßungsreden. Dabei fiel der Vertreter des Justizministeriums negativ auf, als er sich anmaßte, darauf hinzuweisen, wie schwierig es doch sei, große IT-Projekte zu betreuen. Weiterhin nahm er es sich heraus, um Sachlichkeit in der noch folgenden Diskussion zu bitten.

Nach dem Bericht des Präsidenten der RAK Sachsen und der Aussprache kam der Tagesordnungspunkt 6: Anträge und Aussprache zum beA. Es wurde viel diskutiert. Dies möchte ich nicht in allen Einzelheiten wiedergeben, aber doch wichtige Eckpunkte darstellen. Es gab drei Anträge, von denen zwei behandelt werden konnten, bevor die Zeit ablief.

Der Antrag des Kollegen Dr. Braun zielte auf den vergaberechtlichen Aspekt hin. Die RAK Sachsen solle Akteneinsicht in den Vergabevorgang nehmen und sämtliche Zahlungen an die BRAK im Zusammenhang mit beA auf die inhaltliche Notwendigkeit einer sparsamen und wirtschaftlichen Haushaltsführung prüfen. Die RAK Sachsen solle Regressansprüche prüfen und künftige Zahlungen nur unter dem Vorbehalt der Rückforderung tätigen. Der Kollege Dr. Braun berichtete, dass das beA ohne öffentliche Ausschreibung vergeben wurde. Die BRAK habe nach eigenen Angaben ein "selbst installiertes Eignungsverfahren" benutzt. Dies gewährleiste möglicherweise nicht, dass eine sparsame und wirtschaftliche Haushaltsführung stattfindet. Insbesondere sei nicht ersichtlich, wofür das Geld verwendet wurde. Unter anderem wurde wohl eine Kommunikationsagentur beauftragt, die die Kommunikation der BRAK im beA-Skandal übernahm.

Der Beschluss der BRAK über die Beitragserhebung sei möglicherweise rechtswidrig. Die RAK Sachsen müsse dafür sorgen, dass ihre Mitglieder vor der BRAK geschützt werden. Eine Kollegin fragte darauf, wie sich die RAK Sachsen in der BRAK bisher verhalten hat. Könne es dann vielleicht zu widersprüchlichem Verhalten kommen? Nachdem die Frage zu verhallen drohte, widerholte ich sie und stellte sie direkt an den Vorstand.

Daraufhin ergriff der Kollege Dr. Abend das Wort und äußerte sich gleich zu mehreren Themen: Es sei kein Problem seitens der RAK Sachsen, Akteneinsicht zu nehmen. Es habe keine Rüge von Teilnehmern der Ausschreibung gegeben. Die BRAK sei kein öffentlicher Auftraggeber im Sinne des EU-Vergaberechts. Sie habe sich von Vergaberechtlern beraten lassen. Die Verträge mit ATOS stehen allen RAKs zur Einsicht offen.

Die Tatsache, dass sich der private Schlüssel des Zertifikats (unzulässigerweise) in der client security befand, sei "einer besonderen Konstruktion des beA" geschuldet. Zu keinem Zeitpunkt sei die Tatsache, dass sich das Zertifikat dort befand, ein Sicherheitsrisiko gewesen. Die „Ende-zu-Ende-Verschlüsselung“ sei eine Terminologie, die von der BRAK stets verwendet worden sei, die Verschlüsselungsverfahren seien aber stets beschrieben worden. Die Verschlüsselungsart im beA sei ein hybrides Verfahren. Im HSM werde dem Nachrichtenschlüssel eine neue Codierung beigefügt. Das sei „keine eigentliche Ende-zu-Ende-Verschlüsselung“, aber ein hoher Industriestandard. Bei der nächsten Version des beA soll eine neue Verschlüsselung kommen.

Der Kollege Gross führte aus, der Vorstand der RAK Sachsen habe die Informationen von Dr. Abend, der auch Vorstandsmitglied sei, mit genutzt.

Der Kollege Dr. Braun betonte noch einmal, dass eine wirtschaftliche Haushaltsführung ohne Vergabeverfahren nicht gewährleistet sei. Die BRAK mauere, wenn Informationen nach dem Informationsfreiheitsgesetz gefordert werden.

Die Anträge des Kollegen Dr. Braun wurden mit überwiegender Mehrheit angenommen.

Es folgten Anträge des Kollegen Müller. Der Antrag zu I. ging dahin, dass der Quellcode des beA unter einer open-source-Lizenz zur Verfügung gestellt wird. Weiterhin soll es regelmäßige Sicherheitsaudits des gesamten Codes und der Verschlüsselung durch unabhängige Sachverständige geben. Und schließlich soll beA alle gängigen Betriebssysteme unterstützen. Nach dem Antrag zu II. soll die RAK Sachsen nachhaltig auf allen Ebenen darauf hinwirken, dass die BRAK das beA kurzfristig in ein dezentrales System umwandelt.

Der Kollege Müller führte aus, dass das beA nicht sicher ist. Es gebe keine Ende-zu-Ende-Verschlüsselung. Er habe die BRAK im September 2017 angeschrieben und nach Sicherheitsaudits gefragt, jedoch keine Antwort bekommen. Die Verschlüsselung im beA sei nicht Stand der Technik. Das HSM sei ein single point of entry und single point of failure. Eines der Hauptfeatures des HSM sei ein Ausfall, wenn jemand darauf zugreife. Das lasse sich für einen Angriff auf die gesamte deutsche Rechtsanwaltschaft nutzen.

Die Anträge des Kollegen Müller führten auch zu kritischen Reaktionen. Dabei zeigte sich insbesondere, dass viele Kollegen die technische Seite nicht nachvollziehen können. Daher kam auch die Frage, wie man etwas beschließen solle, von dem man nichts versteht. Und weiterhin kamen daher auch Fragen, ob es weiterer Vorbereitungen bedarf, bevor die RAK Sachsen solche Beschlüsse fasst.

Ich wies auf etwas hin, was ich den BRAK Informationen entnommen habe. Wenn das HSM ersetzt werden muss, kommt jemand, bringt ein neues und nimmt das alte mit. Was passiert dann eigentlich mit dem alten HSM? Und wer ist der jemand, der es mit nimmt? Wir wissen einfach noch viel zu wenig. Immerhin ist ATOS eine französische Firma.

Weiterhin wurde in der Diskussion darauf hingewiesen, dass beA in seinem letzten bekannten Zustand eben nicht funktioniert. Das alte umständliche Design glänzt mit ewigen Ladebalken und zeitaufwändiger Bedienung. Es ist nicht effektiv genug, um es im Kanzleialltag produktiv einzusetzen.

Der Kollege Dr. Abend führte folgendes aus: Die secunet AG sei mit der Überprüfung des beA beauftragt. Sie sei ein unabhängiger Sachverständiger. Das EGVP und die Software bei den Gerichten seien auch kein open source. Es sei unwirtschaftlich, alle Linux-Versionen zu unterstützen. Zum Thema dezentrales System nannte Dr. Abend das Stichwort Kanzleipostfach. Er verfechte schon lange, dass es ein Kanzleipostfach geben müsse. Schuld sei der Gesetzgeber. Der Sender müsse beim beA identifizierbar sein. Und deshalb müsse es die bisherige Lösung geben.

Anmerkung: Was bisher keiner beachtet hat, ist, dass der Empfang im Kanzleipostfach und die Versendung durch den einzelnen Rechtsanwalt nicht gleich behandelt werden müssen.

Dr. Abend sprach von den nächsten beA-Generationen. Es wäre gefährlich, sich jetzt auf eine Technik festzulegen. In der Zukunft wäre es auch möglich, dass wir zu einem dezentralen System kommen. DE-Mail habe eine G10-Schnittstelle und falle unter Regelungen der Vorratsdatenspeicherung, beA habe beides nicht. Scheinbar soll DE-Mail auch ein HSM nutzen.

Der Antrag zu I (open source u.a.) wurde mit einer überwiegenden Mehrheit angenommen. Beim Antrag zu II (dezentrales System) wurde es knapper: 67 ja, 43 nein, 26 Enthaltungen, also angenommen.

Der Kollege Gross setzte eine 10-minütige Pause an. Danach sollten die nächsten Anträge behandelt werden. Dabei ging es darum, dem Präsidenten der BRAK und dem Kollegen Dr. Abend das Misstrauen auszusprechen und beide zum Rücktritt aufzufordern. Diese Anträge waren dem Vorstand der RAK bekannt, weil sie schriftlich angekündigt waren. Als alle wieder im Saal waren, gab der Kollege Gross bekannt, dass er gerade darüber informiert wurde, dass unsere Zeit vorbei sei. Es musste wohl bereits ein privater Sicherheitsdienst geholt werden, damit das Gebäude offen gehalten werden konnte. Also beendete der Kollege Gross unter dem Unmut der Anwesenden die Kammerversammlung.  Der Misstrauensantrag konnte weder gestellt, noch begründet werden. Lag das an der schlechten Organisation? Von einem Mitglied kam die Frage, ob man also durch vorherige Redebeiträge dafür sorgen konnte, dass die Zeit nicht reicht. In der Tat wurde unter diesem Aspekt früher während der Kammerversammlung Zeit verschwendet. Die RAK Sachsen ist mit dem Thema beA nicht durch.

Weitere Informationen:
Der Kollege Müller (2. Antrag) hat seine Sichte der Dinge hier dargestellt.