Ja, man kann. Und sogar mit ganz erstaunlichen Erkenntnisgewinnen.
Aber der Reihe nach: Das Frankfurt Legal Tech & Innovation Forum organisierte am 25. Januar eine Veranstaltung mit dem Titel „beA – beugte – beAthon“. Das Podium, das sich aus Markus Drenger (Chaos Darmstadt e.V.), Dr. Marcus Mollnau (RAK Berlin), Dr. Christian Bauer (Norton Rose Fulbright LLP) und Nicolas Bös (Nolte & Lauth) zusammensetze und von Markus Hartung (Direktor Bucerius CLP) wohltuend nüchtern moderiert wurde, wusste durch Fachkenntnis, Sachlichkeit, Ruhe und Dialogbereitschaft zu überzeugen. Während viele Debatten rund um das Thema beA eher „heiß laufen“ und Emotionen nur schwer im Zaum zu halten waren, war davon an diesem Abend nichts zu spüren. Die Bitte der Organisatoren, Bernhard Fiedler und Micha Grupp, um Sachlichkeit wurde erhört. So kam eine echte Diskussion und Sachverhaltsaufklärung zustande. Erfreulich waren die Erkenntnisgewinne aber nur bedingt. Was bleibt:
- Die Sicherheitslücken waren „ziemlich offensichtlich“
Eine (erschreckende) Erkenntnis des Abends war, dass die von Herrn Drenger dankenswerter (hierzu gleich) aufgedeckten Fehler anscheinend relativ offensichtlich waren. „Hätte man geprüft, hätte man sie gefunden“, so Drenger. Diese Erkenntnis ist insoweit erschreckend, als dass bei einem derartigen Großprojekt umfangreiche Performance- und Sicherheitstests vor Release Standard sein müssen. Es kann schlicht nicht sein, dass Herr Drenger „in der Freizeit“ ohne große Mühe mehrere schwerwiegende Probleme aufdeckt. Hier wurde ganz offensichtlich nicht ausführlich vorab getestet. Wenn nun Atos heute in einer Presseaussendung frohgemut gekündet, dass „die Sicherheit und Integrität […] wiedergestellt und das System […] in der aktuell vorliegenden Ausbaustufe voll einsatzfähig“ sei, kann das Zweifel nicht zerstreuen. Nach etwas mehr als 4 Wochen nach dem Aufdecken der Missstände durch Drenger mögen die gefundenen Fehler „repariert“ sein. Eine gründliche Überprüfung auf weitere Fehler und Sicherheitslücken kann aber wohl kaum stattgefunden haben. Darüber verliert Atos auch kein Wort. Man kann sich vorstellen, dass ein derartiges Vorgehen nicht geeignet ist, das Vertrauen in die „Sicherheit und Integrität“ des Systems wiederherzustellen.
- Die Anwaltschaft ist Herrn Drenger zu Dank verpflichtet
Der Auftritt von Herrn Drenger war bemerkenswert. Ohne eigene Betroffenheit oder finanzielle Interessen hat Herr Drenger in seiner Freizeit verhindert, dass ein hochgradig unsicheres beA an den Start kommen konnte. Wäre es tatsächlich zu einem bundesweiten Start am 1.1.2018 gekommen, wäre, wie sich Herr Bös ausdrückte, das „Worst-Case-Szenario“ eingetreten: Ein System, dass von 165.000 Berufsträgern (plus Vertretungsberechtigten) genutzt wird, muss mitten im Betrieb abgestellt werden. Das allein bedarf des Dankes und der Anerkennung. Noch größeres Lob gebührt Herrn Drenger, dass er die Sicherheitslücken mustergültig gemeldet und dokumentiert hat, so dass es zu keinem Zeitpunkt zu einer Sicherheitsbeeinträchtigung der anwaltlichen Korrespondenz kam (zumindest ist dazu nichts bekannt). Mit seinem äußerst umsichtigen und bedachten Vorgehen (das galt auch für seinen Vortrag, der noch einmal in den Sachstand rund um das beA einführte) machte er deutlich, dass er mitnichten ein „Hacker“ ist, der das das System zu eigenem Vorteil kompromittieren wollte. Wie Teile der Anwaltschaft mit Herrn Drenger umgegangen sind, stimmt traurig. Und er ist auch gefährlich. Wie Herr Drenger zu berichten wusste, gab es wohl schon vor einem Jahr Hinweise auf Sicherheitslücken im beA. Diese Hinweise wurden aber seitens der BRAK nicht ernstgenommen und dem Hinweisgeber wurde – laut Aussagen von Herrn Drenger – klargemacht, dass eine weitere Beschäftigung mit dem Thema rechtliche Schritte nach sich ziehen würde. Wenn das tatsächlich stimmt, wäre das ein starkes Stück. Womöglich kann die BRAK hier zur Aufklärung beitragen.
- Nicht etwas Eigenes bauen
Die im Detail von Herrn Drenger aufgezählten Mängel im beA waren für sich schon erschreckend. Während des Vortrags beschlich einen das ungute Gefühl, dass der Teufel beim beA womöglich schon in der Architektur und in den verwendeten Softwaremodulen begraben liegt. Wie von Herrn Drenger im Einzelnen ausgeführt, führt die Sicherheitsarchitektur des beA dazu, dass es noch weitere Angriffspunkte gibt. Die „veralteten“ Softwaremodule tun ihr Übriges. So läuft das beA auf aktuellen Betriebsversionen von OSX und Linux gar nicht. Da das beA viele proprietäre Module hat, kommt es zu einem sehr hohen Pflege- und Aktualisierungsaufwand. Es geht also womöglich nicht nur um einzelne Fehler, sonst ein Gesamtkonstruktionsfehler.
- Das beA ist zu retten – vielleicht.
Ob das beA zu retten ist, vermochte keiner der Anwesenden so recht zusagen. Dass die bislang gefundenen Fehler wohl relativ einfach zu korrigieren seien, wusste Herr Drenger bereits am Veranstaltungsabend zu berichten. Er sollte recht behalten. Am 26.01.2017 berichtete Atos, dass die (bislang gefundenen) Fehler am beA behoben seien. Die Reparatur bezog sich dabei insbesondere auf den Client, der mit seinen Sicherheitslücken zum Abschalten des beA geführt hatte. Ob darüber hinaus weitere Fehler oder systemische Schwächen bestehen, die einen Start des beA weiter verzögern könnten, weiß derzeit keiner. Es wurden bislang schlicht keine ausreichenden Tests durchgeführt (s.o.), um das sicher bewerten zu können.
- Ein Neustart bedarf Zeit und einer sorgfältigen Analyse
Zumindest in dieser Hinsicht herrschte totale Einigkeit auf dem Podium: Bevor das beA wieder in Betrieb genommen werden kann, bedarf es einer gründlichen Fehleranalyse und schlicht Zeit. „Es dürfe jetzt kein überstütztes Handeln geben“, wie Herr Mollnau ausführte. „Das Schlimmste was passieren könne, ist, dass das beA nach dem Auftauchen weiterer Sicherheitslücken gefunden werden und es wieder abgeschaltet werden muss“. Es ist ein wenig wie mit dem BER. Am Anfang dachte man, es seien „nur“ ein paar Rauchmelder. Nun steht der Flughafen seit mehr als 5 Jahren still. Es sind (sehr) viele kleine Fehler aber eben auch Gesamtplanungsfehler, die eine Fertigstellung so langwierig und schwermachen. Es bleibt zu hoffen, dass dem beA ein anderes Schicksal beschieden ist.
- Neue Formen und Foren der Kommunikation sind notwendig
Eines macht das „beA-Debakel“ ebenfalls deutlich: In der Vorbereitung und Umsetzung wurde die Anwaltschaft und auch externe Experten zu punktuell und zu wenig eingebunden. Herr Mollnau beschrieb, wie selten und sporadisch z.B. die regionalen Kammern in den Entstehungsprozess des beA eingebunden wurden. Das System krankt daher an mangelnder Akzeptanz, fehlender Robustheit und Ausgereiftheit. Auch die Krisen-Kommunikation der BRAK und Atos erschien (erscheint) alles andere als professionell. Der Anwaltschaft mangelt es an Foren und Formen, miteinander in Austausch zu treten.
- Auch das Bundesverfassungsgericht irrt
Am 22.12.2017, der Tag an dem auch das beA aus dem Betrieb genommen wurde, hatte das Bundesverfassungsgericht erklärt: „Das beA verwendet zur sicheren Übermittlung eine so genannte Ende-zu-Ende-Verschlüsselung“ (Rn. 5 des Beschlusses). Ein Satz, zwei Fehler: Zum einen ist das beA – das Zeigen die Ereignisse der letzten Wochen – am Tag der Entscheidung des Bundesverfassungsgerichts alles andere als sicher gewesen. Zum anderen hat das beA keine Ende-zu-Ende-Verschlüsselung, wie Herr Drenger in seinem Vortrag ebenfalls schlüssig darlegte. Hier bleibt die Erkenntnis: Dem Bundesverfassungsgericht ermangelt es offensichtlich an technischer Expertise, um das technisch komplexe beA bewerten zu können. Dann sollte man auch vorsichtig in der Bewertung einer (angeblichen) „sicheren Übermittelung“ sein.
- Jetzt schon beginnen mit beA 2.0
Auch wenn das beA hoffentlich bald wieder freigegeben wird, bleibt eine Grundproblematik, die von Herrn Bauer gut beschrieben wurde: In seiner jetzigen Version ist das beA weder für die praktischen Erfordernisse von Anwälten geeignet und von seinem Design und Nutzbarkeit bereits jetzt veraltet. Einhellige Meinung der Diskutanten war, dass eher gestern als Morgen mit den Vorbereitungen zum neuen beA 2.0 begonnen werden müsse: Es bedarf eines Kanzleipostfaches, einer verpassten Benutzeroberfläche sowie einer verbesserten Einbindung in bestehende Systeme etc. Ob das beA von seiner Grundkonzeption und architektonischen Aufbau in der Lage ist, für die nächsten Jahre und Jahrzehnte ein sicheres Gerüst für die Anforderungen einer rasant zunehmenden Digitalisierung zu sein, mag man vor dem Hintergrund der Ereignisse der letzten Wochen bezweifeln. Auch wenn man sieht, dass das beA auf einigen Betriebssystemen schon heute nicht läuft, bleibt die Frage, ob die Pflege und Weiterentwicklung in ausreichendem Maße sichergestellt werden kann.
Wirklich befriedigend war das alles nicht. Befriedigend war aber die wohltuende Ruhe und Gelassenheit von Moderator, Referenten und Organisatoren der Veranstaltung. Es bleibt zu hoffen, dass dies einen neuen „Ton“ in der weiteren Diskussion setzt und es zu einem verbesserten Austausch kommt. Dann hätten man aus den Fehlern gelernt.
