Nun geht es an den Start, das beA Besonderes elektronisches Anwaltspostfach. Es hat einige Jahre gedauert, bis es soweit war. Und damit gibt es auch eine neue Anwendung für die qualifizierte elektronische Signatur (qeS).
Am 28.11.2016 erschien die Pressemitteilung, dass das BEA nun startbereit ist. Eine spezielle Webseite der Bundesanwaltskammer informiert zum Verfahren: http://bit.ly/BRAK-BEA . Während die BRAK (Bundesanwaltskammer) sich in Jubeltönen ergießt, sind aus der Anwaltsschaft weiterhin kritische Töne zu hören. ganz abgesehen davon, dass sowohl Technik als auch rechtliche Situation sich geändert haben. Nach einigem rechtlichen Hin-und-Her musste die BRAK das beA für alle Rechtsanwältinnen und Rechtsanwälte empfangsbereit einrichten.
"Rechtliche Grundlage für den ERV und das beA ist das Gesetz zur Einführung des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013 (ERV-Gesetz). Mit diesem Gesetz werden unter anderem die entsprechenden Verfahrensordnungen – ZPO, FamFG, ArbGG, SGG, VerwGO, FGO – geändert. Hauptziel ist die stufenweise flächendeckende Einführung des elektronischen Rechtsverkehrs für alle Gerichtsbarkeiten.
Die Vorschriften treten im Wesentlichen zum 1. Januar 2018 in Kraft. Allerdings verpflichtet das ERV-Gesetz die BRAK mit einem neuen § 31a BRAO bereits zum 1. Januar 2016, für jeden Rechtsanwalt ein besonderes elektronisches Anwaltspostfach (beA) einzurichten."
Zur Erstregistrierung ist eine spezielle Sicherheitskarte – die beA-Karte – erforderlich. Eingesetzt werden soll durch die Anwälte die spezielle „Bundesrechtsanwaltskammer-Signaturkarte“. Zusätzlich soll es auch für Mitarbeiter der Anwälte spezielle Zugriffskarten geben. Das Auf- bzw. Nachladen qualifizierter Zertifikate auf eine beA-Karte zur Erzeugung qualifizierter elektronischer Signaturen ist nunmehr möglich. Den Anwalt kostet dies allein für die "beA-Karte Signatur" mindestens 49,90 EUR zzgl. USt. Die Kommunikation erfolgt gesichert über ein Web-Portal. Die mit beA verquickte qualifizierte elektronische Signatur mit Signaturkarte und Pin, die jeder Anwalt für die formelle elektronische gerichtliche Kommunikation spätestens ab dem 1.1.2018 einsetzen muss, ist seit über 20 Jahren in Deutschland gesetzlich verankert - konnte sich aber nicht durchsetzen. Durch die europäische Gesetzgebung eIDAS, die am 1.7.2016 in Deutschland Gesetzeskraft erlangte, sind auch andere Signaturen aus anderen europäischen Ländern in Deutschland anzuerkennen (gilt dies für Anwälte aus dem Ausland und/oder den Einsatz ausländischer Signaturverfahren durch deutsche Anwälte?). Auch treten neben die personengebundene Signatur nunmehr auch Fernsignaturen, Zeitstempel und Siegel. Nach De-Mail-Gesetzgebung dürfte ein Anwalt auch per De-Mail rechtskräftig Schriftsätze elektronisch versenden - was aber keiner nutzt. Und im JKomG Justizkommunikationsgesetz sahen die Wege der Kommunikation auch noch anders aus als mit dem beA. Und noch eine weitere offene Flanke gibt es - wie sicher ist die Ende-zu-Ende-Verschlüsselung des beA-Verfahrens?
Im Ausland, wie z.B. England oder den USA, sind deutlich einfachere Verfahren üblich. Hier langen für die rechtskräftige Übermittlung Identität und Passwort in dem man sich auf die Portale des Gerichtes einlogged. So gesehen wird auch das beA nicht den Durchbruch der qualifizierten elektronischen Signatur in Deutschland bringen. Denn auch ungeklärt ist, wie der absendende Anwalt seine elektronischen Übermittlungen aufbewahren muss. Gelten hier Schriftform und Signaturgesetz so muss auch die Signatur "rechtskräftig bewahrt" werden - d.h., es muss archiviert und nach TR-ESOR über den Zeitraum der Aufbewahrungsfrist.nachsigniert werden.
Ob sich unter all diesen Gesichtspunkten das beA durchsetzt - oder ob weiter artig mit Fax und Brief kommuniziert wird - muss sich zeigen.
Kommentare
beA: Schriftform, elektronische Signatur und Übergangsregelung
Wird die qualifizierte elektronische Signatur bei Anwaltspostfach in Frage gestellt? Die aktuellen Entwicklungen rund um die Schriftform und die qualifizierte elektronische Signatur seien mit Vorsicht zu geniessen meint Rechtsanwalt Mülller (http://bit.ly/beASignatur. Ab 1.1.2018 gilt eine neue Regelung. Die Schriftform wird bereits gewahrt, wenn der Schriftsatz eine einfache Signatur (d.h. die Wiedergabe des Namens) trägt und von dem Rechtsanwalt selbst über das beA übermittelt wird. Die aufwändig und teuer beschafften Signaturkarten können also wieder in die Tonne getreten werden. Auch das Thema Nachsignieren erledigt sich dann in den Archiven der Gerichte - hoffentlich. Die qualifizierte elektronische Signatur mit Anbieterakkreditierung (qeS) deutscher Prägung ist grandios gescheitert und kann nun auch Dank eIDAS langsam einmal beerdigt werden. besonders durch die laufende Initiative in vielen Gesetzen und Verordnungen die Schriftform durch die Textform abzulösen, verringert die Einsatzgebiete der qeS immer mehr.
Beim besonderen elektronischen Anwaltspostfach versteckte sich die Änderung durch die Formerleichterung des § 130a Abs. 4 Nr. 2 ZPO in den Inkrafttretensvorschriften ab 1. Januar 2018 (Art. 26 Abs. 1 eJusticeG). Bis dahin ist noch die qualifizierte elektronische Signatur des Anwaltes erforderlich, danach reicht es, wenn der Anwalt über sein Postfach die Dokumente per beA versendet. Die mangelnde Koordination zwischen der Freischaltung von beA Ende 2016 und der Änderung der Formvorschriften zum 1.1.2018 hat mal wieder zu vielen unnötigen Investitionen bei allen Beteiligten geführt.
Warnung vor dem besonderen elektronischen Anwaltspostfach #beA
Während wir in unserem letzten Kommentar (oben) noch relativ positiv gestimmt an die Krise von beA, dem Besonderen Elektronischen Anwaltspostfach, herangegangen sind und nur den Wegfall der qualifizierten elektronischen Signatur betrachtet hatten, gehen Anwälte grundsätzlich gegen #beA vor: Mathias Bergt schreibt "Warnung vor dem besonderen elektronischen Anwaltspostfach (beA)" (http://bit.ly/beA-Warnung). Seine Kritikpunkte kurzgefasst:
- Um das beA weiter nutzen zu können, muss man „ein zusätzliches Zertifikat installieren“, für den „Kommunikationsaufbau zwischen Browser und beA-Anwendung“, teilte die Bundesrechtsanwaltskammer (BRAK) am 22.12.2017 mit. Diese Software hat massive Einwirkungen auf die IT-Sicherheit der Kanzlei.
- Dieses zu installierende Zertifikat kann für jede beliebige Domain ausgestellt werden, die dann als sicher eingestuft werden. Mit einem solchen Zertifikat kann dann ein Angreifer eine falsche Identität vortäuschen.
- Der private Schlüssel kann öffentlich ausgelesen werden und bietet daher keine Sicherheit sondern ein zusätzliches Risiko.
- Die DNS kann beliebig manipuliert werden und erlaubt so weitere Wege in das System des Anwalts.
- Postfächer von Kollegen in der Kanzlei können eingesehen werden
beA ist aktuell wegen Wartungsarbeiten vom Netz. Die BRAK teilt mit (http://bit.ly/beA-Anmeldung), dass die Anmeldung überarbeitet wird. Damit werden aber nicht die grundsätzlichen Probleme behoben, die schon in der Architektur und Konzeption von beA enthalten sind. Die Verschlüsselung innerhalb des Rechners des Anwalt stellt keine Sicherheit dar, da hierfür die privaten Schlüssel im System vorhanden sein müssen.
Vielleicht hilft es ja, dass der 34C3 das Thema aufgegriffen hat (http://bit.ly/34C3-beA; http://streaming.media.ccc.de/34c3) und auch namhafte Publikumszeitschriften wie der Spiegel jetzt darüber berichten (http://bit.ly/34C3beA).
beA ist gescheitert und muss abgestellt werden.
Der GAU der qualifizierten Signatur
Nun haben die Sicherheitstrolle vom Rhein hunderttausenden Rechtsanwälten und Millionen von Bürgern einen Sicherheitsgau hingelegt. Mit privatem Key auf der öffentlich zugänglichen Seite haben sie eine Hintertüre für Hacker und Staatsterroristen aus den Geheimdiensten, die öffentlich auf Law and Order des Rechtsstaates spucken, geschaffen.
Seit Jahren rede ich, dass die qualifizierte Signatur überflüssig ist. Z.B. hier, wo auch das beA erwähnte4 wird:
http://wk-blog.wolfgang-ksoll.de/2015/12/03/e-government-in-deutschland…
Aber weder Gesetzgeber, noch Regierung, noch Berater, noch Systemlieferanten lassen sich durch Kritik beeindrucken, sondern halten an der massenhaften Gefährdung fest.
Staatsanwaltschaften sollten prüfen, was hier abgeht:
- an der Verfassung vorbei wird auf das Verhältnismäßigkeitsgebot gespuckt. Es wird nicht begründet, warum besondere "Sicherheitsmaßnahmen" erforderlich sind. Anwälte in den USA und UK stellen bei E-Filing Schriftsätze den Gerichten per Upload auf einen Webserver mit User/und Passwort zur Verfügung. Es wird nicht begründet, warum deutschen Anwälten ein höheres Sicherheitsniveau verordnet wurde.
- rechtswidrig wurde keine WiBe bei dem Gesetzesvorhaben erstellt
- in Estland und Spanien (20 Mio Schadensfälle, Infineon-Karten) wurden die Signaturkarten selber als Sicherheitsrisiko eingestuft und wurden zurück gerufen. Ein exzessiver Kostenerhöhung in BER-Maßstäben ohne Nutzen dagegen. Wie beim BER.
- In Deutschland muss wegen der technischen Inkompatibilität und europafeindlichen Starrsinns des deutschen Gesetzgeber mit eIDAS nun eine Infrastruktur von 500 Mio € aufgebaut werden, um mit Europa doch noch kompatibel zu werden: Nach dem Robaso-Flop (60 Mio €) durch zum Teil gleichen Personals bei der Bundesagentur für Arbeit ist das OZG-Portal des Bundes ein Projekt mit höchstem Risiko (Ziellerreichungswahrscheinlichkeit geringer als bei BER).
Was werden die Konsequenzen des beA-GAUs sein?
- Staatsanwälte werden prüfen müssen, ob hier Sabotage am Werk war oder strafbare Fahrlässigkeit am Werk war. Sie weren prüfen müssen, ob hier absichtlich Hintertüren geschaffen werden sollten für Spionage geschaffen werden sollte. Bei BfV ist ja z.B. bekannt, dass man rechtswidrig die Spionageabwehr gegen fremde Mächte mit Vorsatz und auf Weisung der Bundesregierung unterlassen hat.
- Zivilrechtlich wird geprüft werden müssen, in welcher Höhe die Rechtsanwälte Schadensersatz bekommen für ihren Mehraufwand zwischen Weihnachten und Neujahr 2017, der grob fahrlässig und schlampig von BRAK und ihren Beauftragten verursacht wurden und dazu führt, dass sich die Rechtsanwälte wahrscheinlich ab 1.1.2017 rechtwidrig verhalten müssen und schon unbewusst bisher ihre Mandaten gefährdet haben. Da wirkt die Reform des §2013 StGB im Nachhinein nur noch als Verspottung und Verhöhnung der Bevölkerung.
Wie wird der Rechtsbruch in Zukunft unterbunden? Meiens Erachtens müssen folgende Sicherheitsmaßnahmen herbeigeführt werden:
- Juristen dürfen nur noch bei Sachkundenachweis in IT-Sicherheit bei IT-sicherheitsrelevanten Gesetzgebungsverfahren mitwirken (oder wegen ihrer Unzurechnungsfähigekut unter Vormundschaft gestellt werden
- Sachkundenachweis muss auch von allen anderen Akteuren gefordert werden: Aufsichtsführende Behörden, Betreiberunternehmen, Lieferanten, usw.
Der Schaden geht mit der qualifizierten Signatur bereits in die Milliarden. Mit dieser Schlamperei muss jetzt Schluss ein. Die Verantwortlichen werden klar zu Verantwortung gezogen werden müssen. Ein Versuch des Durchwursteln Wollens wird als Anschlag auf unsere freiheitliche Grundordnung gewertet werden müssen. Wenn der Staat sich weiter als Nachtwächter geriert, wird die Zivilgesellschaft für Law and Order sorgen müssen (wie bei den Flüchtlingen, wo auch die Zivilgesellschaft die Kernarbeit machen musste). Wir dürfen unseren Staat nicht weiter dem verantwortungslosen Spieltrieb von Unzurechnungsfähigen opfern.
Die Party ist vorbei. Wer das nicht Einsehen will, sollte den Staatsdienst verlassen und nicht weiter dem Gemeinwesen Schaden zufügen
Sicherheitstrolle
Wen meinst Du mit Sicherheitstrolle vom Rhein?
Atos? T-Systems? Das BSI?
stimmt, alle drei sollten nicht mehr IT-Sicherheit verantworten. Vielleicht lassen sich die Firmen zu Gebäudereinigungsdienatleistern umstrukturieren.
Sicherheitstrolle am Rhein
Es gab eine Zeit, da am Rheintrolle das Geschäft der IT-Sicherheit betrieben. Lange nach den Nibelungen (die hatten über Richard Wagner wenigstens tragfähige und nachhaltige Geschäftsmodelle). Einiges kann man hier nachlesen.
http://wk-blog.wolfgang-ksoll.de/2012/02/26/e-government-in-der-trutzbu…
Dort war das Zentrum der deutschen IT-Unsicherheit.
Die Abteilung 6 des BND wurde 1990 zum BSI. Spione, die angeblich die Seite gewechselt haben. Tatsächlich sah das dann auch so aus, dass ein BND-Spion Leiter des Trustcenters der Telekom wurde. Zynischer kann man seinen Hass auf Sicherheit nicht zum Ausdruck bringe. Noch vor ein paar Jahren kam dann noch ein BND-Spion zum BSI als Vizepräsident.
Das Heer der als IT-Sicherheitsfreaks getarnten Geheimdienstler und anderer Unfähiger ist aber noch größer am Rhein: FhG, GMD, Fachhochschulen, die Telekom usw. Ein für den Bürger gefährliches Ökosystem (der BND hieß unter den Nazis noch Abt. Fremde Heere Ost, und neben kaltem Krieg und die USA zum Krieg gegen den Irak aufzuhetzen, ist noch nichts Positives von diesen Gesetzlosen vermeldet worden).
Es ist ja nicht nur beA, das von denen kaputt gemacht wird. Vom TeleTrust-Verein wurde seinerzeit der Standard MailTrust-Version 2 (auf S/MIME-Basis statt vorher PEM) definiert. Die Sachunkundigen haben aber nicht aufgepasst. Die Trolle haben für die Signatur keine international üblichen Standards genutzt, sondern faselten, sie bräuchten RIPE-MD (Europäisch). Die Telekom hat auf dieser Basis dann ihr Trustcenter für 10 Mio DM aufgebaut und zertifziert. Die Trolle von der FhG machten dann in SAGA MailTrusT V2 verbindlich für die Bundesregierung. StS Brigitte Zypries, SPD, wollte dann 80.000 Clients kaufen. Leider musste ich darauf aufmerksam machen, dass RIPE-MD in S/MIME verboten ist. Das führte zum Crashen von Mail Clients wie Outlook, Thunderbird oder Lotus Notes, wenn sie Mail von Mailtrust-Clients bekamen. Das Produkt ging zurück ins BSI-Labor und ist daraus nie wieder zurückgekommen.
Die erbärmliche Geschichte der Trolle vom Rhein hat nun eine über 20-Jährige Historie. Geheimdienste richten in ihrer Unfähigkeit unseren Staat zu Grunde. Aber das kann man der Politik nicht vermitteln, zumal sie tief in die Dienste verstrickt sind. Denken wir an den Ex-BND Präsidenten Kinkel (später Aussenminister) oder Außenminister Steinmeier, der das Bundesamt für Verfassungsschutz anwies, bei bestimmten ausländischen Mächten rechtswidrig auf Spionageabwehr zu verzichten. Ohne jegliche strafrechtliche Konsequenz. Wir erinnern uns, dass der Generlabundesanwalt nicht unabhängig ist, sonder weisungsgebunden an der Regierung hängt (bei Steinmeier, SPD, an Justizminister Maas, SPD).
So werden wir weiter damit leben müssen, dass Geheimdienste unseren Staat zerstören und sachunkundig mit ihren Trollen vom Rhein den Deutschen Technik aufzwingen, die nicht funktioniert oder billige Hintertüren für staatsterroristische Spione hat.
Das "besondere elektronische Anwaltspostfach" sieht sich durch die Gesetze und Verordnungen zur elektronischen Akte in der Justiz im Aufwind (www.brak.de/zur-rechtspolitik/newsletter/bea-newsletter/2017/ausgabe-28-2017-v-13072017.news.html) - obwohl alle Beteiligten nur stöhnen. Und auch in der elektronischen Akte sind so einige "Pferdefüße" deutscher Bürokratie eingebaut (http://bit.ly/PapierAkte). Die zum Gesetz gehörige Verordnung sowie die Verordnung zur Neuordnung des elektronischen Notariatswesens, diverse Länderverordnungen (z.B. NRW) und andere Vorstöße machen die elektronische Akte endlich in Deutschland attraktiv.