beA - das Ende noch vor dem Anfang?

In wenigen Tagen muss jeder zugelassene Rechtsanwalt oder Syndikusrechtsanwalt das besondere elektronische Anwaltspostfach benutzen. In den letzten Wochen und Monaten haben darum zehntausende deutsche Rechtsanwälte in ihren Büros dafür die Voraussetzungen geschaffen, teilweise mit ganz erheblichem Aufwand. Die Büro-EDV musste auf- oder umgerüstet, die Mitarbeiter geschult und für den neuen Posteingangskanal die Büroorganisation geändert werden. War das vergebliche Liebesmüh?

Ab dem 1. Januar 2018 ist es zwar Berufspflicht, gem. § 31 a Abs. 6 BRAO:

"(6) Der Inhaber des besonderen elektronischen Anwaltspostfachs ist verpflichtet, die für dessen Nutzung
erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von
Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen."

Aber:
Zwei Tage vor Weihnachten hat die Betreiberin des Systems das beA wieder vom Netz genommen. In einer kurzen Mitteilung auf der Webseite der BRAK vom 22.12.2017 wird als Grund dafür ein "abgelaufenes Zertifikat" genannt.

Das war und ist noch nicht einmal die halbe Wahrheit.

Mit einer 22 Seiten umfassenden Anleitung (PDF) hat die BRAK, am Freitag vor Weihnachten (!), alle Anwender zunächst dazu aufgefordert, ein neues Zertifikat herunterzuladen und dieses an jedem beA-Arbeitsplatz im Büro von Hand zu installieren. Schon das war eine Zumutung, aber noch nicht das Ende vom Lied:
Zwei Stunden später war der Link auf dieses Zertifikat schon nicht mehr verfügbar, das PDF geändert. Statt dessen erscheint seitdem bei Aufruf der beA-Startseite nur noch folgende Mitteilung:

Und auch das ist wohl nicht die Wahrheit.

Das beA ist offenbar nur deswegen offline, weil die Fa. ATOS als "Softwareschmiede" der BRAK bei der Programmierung der "Client Security" gegen die anerkannten Regeln der Technik verstoßen hat. Zur Aufgabe dieser Software teilt die BRAK selbst mit:

" ... sogenannte Client Security ... Dabei handelt es sich um ein Programm, das direkt auf dem Rechner des jeweiligen Nutzers installiert wird und mit dem jene Funktionen ausgeführt werden, die aus Sicherheitsgründen nicht im Internet stattfinden dürfen: Beispielsweise das Ver- und Entschlüsseln der Nachrichten. Denn das beA sieht eine sogenannte Ende-zu-Ende- Verschlüsselung vor, bei der die Nachrichten bei der Übertragung komplett verschlüsselt bleiben."

Markus Drenger vom CCC hat am 21.12.2017 allerdings herausgefunden, dass die Client Security den "privaten Schlüssel" jedes Anwenders frei zugänglich ins Internet stellt und damit das Zertifikat selbst ungültig macht. Daran hat auch der erste "Rettungsversuch" der BRAK vom 22.12.2017 mit einem neuen "selbstgeschnitzten" Zertifikat nichts geändert. Einen schwerwiegenden Fehler im System kann man nicht "patchen".

Auch am ersten Werktag nach Weihnachten ist das beA bisher noch offline. Dabei wird es wohl auch bleiben müssen. 
Die Installation einer Software, mit der die anwaltliche Verschwiegenheit bei der elektronischen Kommunikation programmbedingt nicht gewahrt werden kann, ist sicher nicht Berufspflicht der Rechtsanwälte.
"Technische Einrichtungen"  im Sinne von § 31 a BRAO können nur solche sein, mit denen die Säule jeder anwaltlichen Berufsausübung, das Recht und die Pflicht zur Verschwiegenheit gem. § 43 a Abs. 2, S. 1 BRAO, nicht zum Einsturz gebracht wird.
Bis die BRAK die von ihr selbst aufgerissene Sicherheitslücke nicht nachweisbar geschlossen hat - und Ursache und Lösung des Problems endlich offen kommuniziert - wird jeder Rechtsanwalt zum Schutz seiner Mandanten gem. § 43 a BRAO von der weiteren Verwendung des beA absehen müssen. In meinem Büro ist die "Client Security" bis auf weiteres deinstalliert.

P.S. (27.12.2017, 14.45 Uhr):
Wer prüfen will, ob der jeweilige PC-Arbeitsplatz das gefährliche Zertifikat der BRAK vom 22.12.2017 noch aufweist, kann es auf einer von Hanno Böck dafür zur Verfügung gestellten Webseite überprüfen. Die BRAK bietet einen solchen Service bisher nicht an.