Einführung der besonderen elektronischen Anwaltspostfächer
der Abgeordneten Katrin Helling-Plahr, Katharina Kloke, Konstantin Kuhle, Benjamin Strasser, Dr. Jürgen Martens, Dr. Marco Buschmann, Roman Müller-Böhm, Stephan Thomae, Christine Aschenberg-Dugnus, Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Dr. Marcus Faber, Otto Fricke, Thomas Hacker, Torsten Herbst, Katja Hessel, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Thomas L. Kemmerich, Wolfgang Kubicki, Ulrich Lechte, Michael Georg Link, Oliver Luksic, Alexander Müller, Frank Müller-Rosentritt, Dr. Martin Neumann, Dr. Stefan Ruppert, Christian Sauter, Frank Schäffler, Dr. Wieland Schinnenburg, Jimmy Schulz, Matthias Seestern-Pauly, Judith Skudelny, Bettina Stark-Watzinger, Dr. Marie-Agnes Strack-Zimmermann, Katja Suding, Linda Teuteberg, Michael Theurer, Manfred Todtenhausen, Dr. Florian Toncar, Gerald Ullrich, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Gemäß § 176 Absatz 2 der Bundesrechtsanwaltsordnung (BRAO) führt das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) die Rechtsaufsicht über die Bundesrechtsanwaltskammer (BRAK). Die Aufsicht bezieht sich dabei insbesondere darauf, dass die der Bundesrechtsanwaltskammer übertragenen Aufgaben erfüllt werden.
Laut § 177 Absatz 2 Nummer 7 BRAO gehört zu den Aufgaben der BRAK die elektronische Kommunikation der Rechtsanwälte mit Gerichten, Behörden und sonstigen Dritten zu unterstützen.
Mit dem Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten vom 10. Oktober 2013 (BGBl. I S. 3786) wurde das besondere elektronische Anwaltspostfach (beA) eingeführt. Für seine Einrichtung ist gemäß § 31a BRAO die BRAK zuständig.
Am 20. Dezember 2017 wurde in der Software zur Anmeldung zum besonderen elektronischen Anwaltspostfach (beA), im sog. ClientSecurity-System, ein Design- und Konstruktionsfehler aufgedeckt. Ein für die sichere Anmeldung erforderliches Zertifikat liegt inklusive des privaten Schlüssels lokal in der Software vor. Damit bietet eine solche HTTPS-Verbindung keinerlei Schutz etwa vor Umleitungen auf andere Server zwecks Gewinnung der Zugangsdaten. Daraufhin wurde das Zertifikat nach Medienberichten von der zuständigen Zertifizierungsstelle gesperrt.
Bei einem in der Folge durch die BRAK bereitgestellten Ersatzzertifikat handelte es sich um ein selbstsigniertes Wurzelzertifikat, also ein Zertifikat, das seinerseits andere Zertifikate signieren kann. Wiederum ist der private Teil des Schlüssels öffentlich. Mithin waren und sind die mit diesem Zertifikat bestückten Rechner der Rechtsanwaltschaft einem erheblichen Sicherheitsrisiko ausgesetzt.
Nachdem die BRAK das Problem am Nachmittag des 22. Dezember 2017 erkannte (vgl. „beA muss vorerst offline bleiben – Schreiben des BRAK-Präsidenten an die deutsche Anwaltschaft“, abrufbar unter www.brak.de/zur-rechtspolitik/newsletter/bea-newsletter/2018/sondernewsletter-v-03012018.news.html), wurde das beA durch die BRAK offline geschaltet. Sollte diese Phase zunächst noch auf die Weihnachtstage beschränkt sein, entschied die BRAK nach eigener Darstellung am 26. Dezember 2017, das beA bis zu einer Behebung dieser und weiterer Sicherheitsprobleme offline zu lassen, auch über den geplanten Beginn der passiven Nutzungspflicht am 1. Januar 2018 hinaus.
Am 26. Januar 2018 schließlich empfahl die BRAK allen Rechtsanwälten, das ClientSecurity-Modul in seiner aktuellen Version zu Deaktivieren bzw. zu Deinstallieren, da es über die bis dato diskutieren Probleme hinaus auch auf veralteten Java-Bibliotheken basiert und somit in seiner derzeitigen Fassung ein eigenständiges Sicherheitsrisiko für die Rechner der Rechtsanwaltschaft darstellt. Diese können bereits beim Besuch einer Website übernommen werden.
Wir fragen die Bundesregierung:
Fragen8
Geht das BMJV davon aus, dass die BRAK die ihr übertragenen Aufgaben im Bereich der elektronischen Kommunikation der Rechtsanwälte gegenwärtig erfolgreich wahrnehmen kann?
Hat das BMJV die beA-Einführung betreffend aufsichtsrechtliche Maßnahmen gemäß 176 Absatz 2 BRAO ergriffen?
Wenn ja, welche?
Für wann geht das BMJV von einer tatsächlichen Bereitstellung des beA aus?
Plant die Bundesregierung eine Anpassung der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (Elektronischer-Rechtsverkehr-Verordnung – ERVV) bis zur tatsächlichen Verfügbarkeit des beA?
Wird an dem gegenüber bisherigen Regelungen neu aufgenommenen Ausschluss einer Containersignatur gemäß § 4 Absatz 2 ERVV trotz Unverfügbarkeit des beA festgehalten?
Ist die Darstellung zutreffend, dass der ursprünglich für die Abschaltung am 14. Februar 2018 vorgesehene „Elektronische Gerichts- und Verwaltungspostfach“-Client (EGVP-Client) angesichts der Nichtverfügbarkeit des beA bis Ende Mai 2018 weitergeführt wird?
Welche Gründe sprechen aus Sicht der Bundesregierung gegen einen darüber hinaus gehenden Betrieb des EGVP-Client?
Welche Erkenntnisse liegen der Bundesregierung hinsichtlich in der Öffentlichkeit diskutierten erheblichen Zweifeln an der Darstellung der BRAK, Nachrichten innerhalb des Systems beA würden Ende-zu-Ende verschlüsselt, vor?
Ist es zutreffend, dass anders als in einem System mit Ende-zu-Ende-Verschlüsselung alle privaten Schlüssel der teilnehmenden Rechtsanwälte zentral in einem sogenannten Hardware Security Module (HSM) vorliegen, sodass eine Umschlüsselung von Nachrichten möglich wird?
Ist der Bundesregierung insbesondere bekannt, welche Parteien diesbezüglich als sog. Key Custodians fungieren, also gemeinsam Vollzugriff auf den Inhalt des HSM haben?
Welche Erkenntnisse liegen der Bundesregierung vor, wie der Betrieb des beA im Falle einer Insolvenz des Dienstleisters Atos Information Technology GmbH gewährleistet werden soll?
Betrachtet die Bundesregierung das beA als öffentlich zugänglichen Telekommunikationsdienst i. S. v. § 3 Nummer 17a des Telekommunikationsgesetzes (TKG), findet ihrer Auffassung nach also § 110 TKG Anwendung?