beA: Abschlussgutachten liegt vor ‒ neuer Start zum 3.9.18

| Die Firma secunet Security Networks AG hat Mitte Juni der BRAK das Abschlussgutachten zur technischen Analyse und Konzeptprüfung des beA vorgelegt. In einer Sondersitzung hat die BRAK-Hauptverhandlung am 27.6.18 entschieden, die passive Nutzungspflicht des beA zum 3.9.18 wieder aufleben zu lassen. |

1. Grundkonzeption bleibt bestehen

Schon im Vorfeld hatte die BRAK das Gutachten dahin interpretiert, dass es das beA als geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr bestätigt. Das Verschlüsselungskonzept biete technisch gesehen einen hinreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten. Dargestellte Schwachstellen sollen bis zur Wiederinbetriebnahme entsprechend der gutachterlichen Empfehlung beseitigt werden. Diese Einschätzung wird ‒ wenig verwunderlich ‒ nicht von allen Seiten geteilt. Das Gutachten ist auf der BRAK-Homepage für jedermann einsehbar (www.iww.de/s1797).

2. Und so geht es nach dem Willen der BRAK weiter:

Das beA-System wird in zwei Stufen wieder in Betrieb genommen:

• Ab dem 4.7.18 soll die Client Security zum Download und zur Installation bereitgestellt werden. Ab diesem Zeitpunkt soll auch die Erstregistrierung für diejenigen Kolleginnen und Kollegen möglich sein, die sich noch nicht registriert haben. Voraussetzung hierfür ist allerdings, dass secunet bis dahin bestätigt hat, dass bestimmte im Gutachten genannte Schwachstellen beseitigt wurden. Die übrigen Schwachstellen der Kategorie B werden im laufenden Betrieb beseitigt.

• Die Postfächer sollen dann ab dem 3.9.18 wieder freigegeben werden und damit die passive Nutzungspflicht wieder aufleben.

3. Schwachstellen sollen beseitigt werden

Die Präsidentenkonferenz hat weiter beschlossen, die in dem Gutachten beschriebenen Schwachstellen der Kategorie B betreffend die Hardware Security Module im laufenden Betrieb, voraussichtlich in den ersten Monaten des Jahres 2019, durch technische Maßnahmen zu beseitigen. Die von secunet im Kapitel 5.7 des Gutachtens geforderte Optimierung der Betriebs- und Sicherheitskonzepte soll nach dem Beschluss spätestens in den ersten Monaten des Jahres 2019 abgeschlossen und von secunet bestätigt werden.

Die Vertreter von secunet haben hierzu den Teilnehmern der Präsidentenkonferenz auch erläutert, dass das Sicherheitskonzept nach Auffassung von secunet nicht vollständig vor einem „Go live“ vorliegen muss, da es lediglich eine dokumentierende und damit organisatorische Funktion, nicht aber eine Schutzfunktion in technischer Hinsicht habe. Es sei daher unproblematisch, das Konzept im laufenden Betrieb zu vervollständigen.