Die BRAK verkauft Anwälte für dumm

Die BRAK verkauft Anwälte für dumm

13 Kommentare

Wenige Tage vor dem Termin, an dem wir Anwälte über das besondere elektronische Anwaltspostfach (beA) empfangsbereit sein sollen, ist gestern offenbar der GAU eingetreten.

Mehrere Mitglieder des Chaos Darmstadt e.V. haben sich nämlich den Code des lokal zu installierenden Secury Clients angeschaut und dabei festgestellt, dass dieser Client nicht den öffentlichen Schlüssel des von T-Systems erstellten Zertifikats verteilt hat, sondern den privaten Schlüssel. Das ist nicht zulässig und daher wurde von Markus Drenger von Chaos Darmstadt sofort das BSI informiert. Das Zertifikat wurde daraufhin sofort für ungültig erklärt.

Was dann folgte, war – wie es mein längst verstorbener Repetitor formuliert hätte – ein Stück aus dem Tollhaus:

Die Bundesrechtsanwaltskammer (BRAK) verschickte nämlich eilends einen Sonder-Newsletter, in dem man den Anwälten das eigene Versagen unterschlug:

“Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren.”

Na so was aber auch, das konnte ja keiner ahnen.

Als Lösung stellte die BRAK zunächst ein neues, eigenes Zertifkat zur Verfügung, dass man als Anwalt mal eben installieren sollte:

“Wir bitten um Verständnis für diese Maßnahme, die für das sichere und reibungslose Funktionieren Ihres beA erforderlich ist.”

Dummerweise trug auch das neue Zertifikat denselben Fehler in sich, nämlich den privaten Schlüssel. Deshalb wurde der Link zu dem neuen Zertifikat schnell wieder entfernt und landet nun im 404-Nirwana.

Markus Drenger schrieb dazu in der beA-Support-Gruppe auf Facebook:

”Der vorschnelle Lösungsansatz, einfach ein neues Zertifikat zu verteilen, ist nicht mehr online. Das war aber auch keine Lösung. Zum einen ist der private Schlüssel des neuen Zertifikats genauso zugänglich wie das alte, zum anderen ist die Installation eines Wurzelzertifikats (root), auch nicht ganz ohne Risiko.”

Nachdem zunächst von der BRAK angekündigt wurde, dass “in Kürze” ein neues Zertifikat zum Download bereit stünde, wurde dann kurzerhand das ganze beA vorerst vom Netz genommen. Die Erklärung der BRAK dafür lässt an Dreistigkeit nichts zu Wünschen übrig:

”Es traten vereinzelt Verbindungsprobleme zur beA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu beA sicherzustellen, hat die BRAK sich entschlossen, beA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen.”

Mich erinnert das Verhalten der Verantwortlichen der BRAK an die Presseerklärungen des “DDR”-Staatsrates kurz vor dem Mauerfall und an Comical Ali. Eigenes Versagen wird unter den Tisch gekehrt, ein technischer GAU als “vereinzelte Verbindungsprobleme” verharmlost und “Wartungsarbeiten” vorgeschoben, während man offensichtlich hektisch nach einer Lösung für das Problem sucht.

Die Geschäftsführerin der BRAK, Stephanie Beyrich, disqualifizierte sich in der FAZ mit folgendem Statement:

“Natürlich geht die Einführung neuer Technologien immer auch mit dem einen oder anderen kleinen technischen Problem einher. Das war in den Anfangstagen der E-Mail nicht anders, und ist beispielsweise bei Betriebssystem-Updates auch heute oft noch so. Trotzdem würde diese Technologien wohl kaum jemand missen wollen, der sich einmal daran gewöhnt hat.

Als ob es sich bei beA um eine neue Technologie handeln würde und die Verwendung eines Zertifikats, das seinen privaten Schlüssel preisgibt, um ein kleines technisches Problem. Verharmlosung eigener Inkompetenz – wie das üblicherweise endet, ist bekannt.

Warum das Vorgehen der BRAK so schlimm ist und die die technischen Hintergründe hat mittlerweile Golem sehr gut erklärt. Dort findet man auch einen Test, ob man selbst verwundbar ist.

Ob es bis zum 01.01.2018 diese Lösung geben wird und wir Anwälte über beA, wie vom Gesetz vorgesehen, empfangsbereit sein können, ist derzeit offen.

In der bereits genannten beA-Gruppe auf Facebook erläuterte es ein Kollege so:

“Anders [= ohne Veröffentlichung des privaten Schlüssels] geht’s bei der (derzeitigen) Architektur des beA schlicht nicht, da die “Client Security” Software einen Webserver enthält, der zwangsläufig einen Private Key haben muss. Man könnte entweder die (lokale) Kommunikation unverschlüsselt stattfinden lassen, oder aber bei der Installation selbst ein (individuelles) Schlüsselpaar erzeugen, oder aber eine ganz andere Architektur wählen.” 

Ob dieses Problem nun in wenigen Tagen vernünftig gelöst werden wird? Ich habe meine Zweifel.

Ich kann mir gut vorstellen, dass die Gerichte jedenfalls ab Jahresbeginn verstärkt damit anfangen werden, Ladungen und fristgebundene Verfügungen im elektronischen Rechtsverkehr zu versenden. Wenn dann beA nicht bereit steht, kann das zu versäumten Terminen und Fristen führen. Zwar dürfte eine Haftung des Anwalts in diesem Fall ausscheiden – aber der sich dann ergebende Mehraufwand für alle Beteiligten wird auch nicht für Freude sorgen.

Update: Ursprünglich lauetet der Titel: “Die BRAK verkauft ihre Mitglieder für dumm”. Das ist natürlich unsauber, denn die BRAK hat als Dachorganisation der regionalen Rechtsanwaltskammern keine anwaltlichen Mitglieder. Wer anderen Inkompetenz vorwirft, sollte selbst aber sauber arbeiten. Der Titel wurde daher geändert.

Die BRAK verkauft Anwälte für dumm was last modified: Februar 18th, 2018 by Schwartmann

13 comments on “Die BRAK verkauft Anwälte für dumm

  1. 23. Dezember 2017 um 18:33

    Wenn das beA komplett vom Netz genommen ist, dürften die Gerichte auch nicht in der Lage sein, auf diesem Weg Ladungen etc. an Anwälte zu versenden oder haben die Gerichte eine andere Sicherheitstechnik als den beA-Client, den die BRAK verteilt?
    Viel schlimmer finde ich, dass jetzt keine Mahnbescheide mehr über das beA versandt werden können und wir das alte EGVP bereits deinstalliert haben. Das wird uns zwei Sondertouren nach Euskirchen und Hagen bringen.

    Beantworten
    • 1. Januar 2018 um 13:50

      Hatten Sie den EGVP-Bürger Client oder den (neueren und ebenfalls kostenlosen) Governikus Communicator Justiz Edition? Mit letzterem sollte es nach meinem Kenntnisstand auch noch in Euskirchen und Hagen funktionieren.

      Beantworten
  2. 24. Dezember 2017 um 10:13

    Aufschlussreich auch die näheren Details im Kommentarbereich bei Golem: Nicht nur wurde das Zertifikat mit Public Key verteilt; und dieses dann durch ein Root-Zertifikat mit Public Key abgelöst; sondern es wurde beim Root-Zertifikat auch noch vergessen, einen entscheidenden Flag zu setzen, so dass das Root-Zertifikat weitere Zertifikate signieren kann. Was ein schweres Sicherheitsrisiko darstellt und technisch unnötig ist.

    Ein Fehler wurde durch einen größeren Fehler fehlerhaft ersetzt. Die BRAK macht es nicht nur falsch, sie macht es falsch falsch. Loriots Zimmerverwüstung ist nichts dagegen. Wobei die Antwort der BRAK die gleiche ist: Das Bild hängt schief…

    Beantworten
  3. 24. Dezember 2017 um 10:15

    Argl, streiche “public”, setze “private”. Ich glaube, ich bewerbe mich bei BRAK und ATOS als Programmierer.

    Beantworten
  4. 24. Dezember 2017 um 11:09

    Unfassbar! Offenbar hat man der Anwaltschaft nicht zugetraut, sich einen privaten und einen geheimen Schlüssel zu generieren und sich noch ein Passwort für die Entschlüsselung auszudenken. Stattdessen werden Millionen für etwas ausgegeben, was es im Internet schon jahrelang umsonst gibt. Ein Irrsinn! Aber dafür haben jetzt eine schöne Karte und -uuuuh- streng geheime Server. Und jetzt das! Die privaten Schlüssel wurden offengelegt! Da fehlen einem die Worte. Stellt sich die Frage, wer für diesen Mehraufwand die Kosten trägt.

    Beantworten
  5. 24. Dezember 2017 um 17:32

    Hätte man nicht eine bereits vorhandene Technologie nutzen können? Beispielsweise ein aufgepimptes PGP? So hat man für Millionen einen großen Haufen Softwareschrott erstellen lassen. Oder hätte man nicht eine Firma ran lassen können, die sowas schonmal für eine Bank oder so entwickelt hat?

    Beantworten
    • 2. Januar 2018 um 13:17

      Wieso so kompliziert? Das EGVP existiert ja schon. Man hätte es nur für den gesamten elektronischen Verkehr freigeben müssen. Oder, wenn das nicht geht, hätte man mal im Ausland – Österreich z. B. wo es seit 1990(!) existiert – was einkaufen müssen, was seit Jahren erprobt ist, anstatt von Grund auf was Neues zu programmieren…

      Beantworten
  6. 25. Dezember 2017 um 19:07

    Bei solchen Meldungen denk ich immer: Schmeißt doch gewissen Leuten vom CCC einen Teil der Kohle aufn Tisch und lasst die nen Audit machen. Damit wäre zumindest in Sachen Sicherheit das Geld schonmal gut angelegt.

    Beantworten
  7. 26. Dezember 2017 um 10:04

    Jetzt zeigt sich, dass die fehlende Möglichkeit zur Sammelklage auch die BRAK vor Haftung schützt. Für ein en allein lohnt sich eine Amtshaftungsklage nicht.

    Beantworten
  8. 26. Dezember 2017 um 16:02

    Genial finde ich in diesem Zusammenhang, dass auf der Homepage der Rechtsanwaltskammer Düsseldorf noch immer der Hinweis steht, dass man das problematische Zertifikat runterladen soll.

    Beantworten

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Rechtsanwalt Andreas Schwartmann hat 4,69 von 5 Sternen | 996 Bewertungen auf ProvenExpert.com