Streit um die Eingangsbestätigung beim beA

Wenige Monate bevor Anwälte am 01.01.2022 verpflichtet sind, zukünftig Schriftsätze nur noch elektronisch über das besondere elektronische Anwaltspostfache (beA) einzureichen und nach schwerwiegenden Sicherheitsproblemen gibt es erneut Streit um das beA.

Der Streit dreht sich um die Empfangsbestätigung, dass eine beA-Nachricht bei Gericht zugegangen ist, also eine für Rechtsanwälte aufgrund der drohenden Haftung bedeutende Funktion des elektronischen Rechtsverkehrs.

Früher wurde beim Export der Nachrichten sichergestellt, dass die exportierten Nachrichten nach dem Export nicht mehr verändert werden können. Dies geschah dadurch, dass sämtliche mit der beA-Nachricht übermittelten Dokumente in einen ZIP-Container gepackt wurden und dieser mit einer entsprechenden Signaturdatei versehen wurde. Auf diese Weise war sichergestellt, dass die Nachricht nachträglich nicht mehr verändert werden konnte. . Seit einem Update Ende September wird die Signaturdatei nicht mehr erzeugt, was zu Kritik geführt hat. Anwälte hatten eine Petition gestartet, um wieder eine „rechtssichere Versanddokumentation im beA zu implementieren .

Die Bundesrechtsanwaltskammer hat nun reagiert und eine Stellungnahme veröffentlicht. Danach sei die Erstellung der Signaturdatei bisher überobligatorisch gewesen und das aktuelle System entspreche den Anforderungen des § 130a Abs. 5 ZPO. Darin heißt es:

(5) 1Ein elektronisches Dokument ist eingegangen, sobald es auf der für den Empfang bestimmten Einrichtung des Gerichts gespeichert ist. 2Dem Absender ist eine automatisierte Bestätigung über den Zeitpunkt des Eingangs zu erteilen.

Als automatisierte Bestätigung würde die Datei „_export.html“ ausreichen, welche auch die Dateinamen sämtlicher mit der Nachricht übersandten Dokumente enthalte.

Technisch überzeugend ist diese Argumentation nicht. Die Datei „_export.html“ ist eine reine HTML-Datei, die nachträglich verändert werden könnte. Natürlich kann dies auch bei jedem Fax-Bericht geschehen, aber gerade diese Unsicherheiten könnten mit einem technisch fortschrittlicheren System wie dem beA ja gerade beseitigt werden. Zumindest kündigt die Bundesrechtsanwaltskammer mit der Weiterentwicklung zum Vertrauenswürdigen Herkunftsnachweis in der Version 2.0 (VHN2) eine Funktion zum Überprüfen der Dateien anhand von Prüfsummen an. Die Implementierung erfolge allerdings erst später, vermutlich ab Januar 2022.

Es wäre besser gewesen, die Signaturdateien bis dahin beizubehalten.

Weitere Sicherheitslücke im beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

beA: BRAK lässt Nutzer unsicheres Zertifikat installieren

Nachdem unsere Kanzlei schon seit März weitgehend problemlos mit beA arbeitet, haben sich die letzten Wochen die Ausfälle gehäuft: Mehrmals war aufgrund von Netzwerkproblemen das beA nicht erreichbar.

Heute dann eine neue Überraschung: Ein Zertifikat, das für die beA-Anwendung erforderlich ist, ist ausgelaufen und muss nun manuell installiert werden. Die BRAK wurde nach eigenen Angaben erst gestern informiert.

Eine Anleitung zur Installation des Zertifikats stellt die BRAK hier bereit.

Sollte das beA nach diesen Schritten noch nicht gehen, habe ich die Erfahrung gemacht, dass eine Neuinstallation des beA-Clients Abhilfe schafft.

Als großer Befürworter des elektronischen Rechtsverkehrs darf ich an dieser Stelle doch eine Kritik äußern: Vorfälle wie der heutige führen leider bei den beA-Skeptikern nicht zu einer Akzeptanz des Systems. Gerade nicht so IT-affine Anwälte werden bei der Durchführung solcher Abhilfemaßnahmen Probleme haben.

Auch die neue RA MICRO Schnittstelle. die noch sehr viele Fehler aufweist und teilweise mehrmals täglich gepatcht wird von RA MICRO, spielt den Kritikern leider in die Hände.

Update am 22.12.2017, 17:06 Uhr: Laut einer Meldung von heise wurde anstatt des öffentlichen Schlüssels der private Schlüssel durch den beA-Client verteilt. Da der private Schlüssel kompromittiert wurde, musste er für ungültig erklärt werden, womit die manuelle Installation notwendig wurde. heise bezeichnet den Vorfall als "schwere Panne". Zurecht.

Update am 24.12.2017: Die Anleitung zur Installation des Zertifikats ist mittlerweile offline. Das beA ist über Weihnachten im Wartungsmodus. Wie Golem berichtet führt die Installation des Zertifikats dazu, dass sich gefälschte Webseiten als Originale ausgeben könnten. In die https-Architektur wird damit eine riesige Sicherheitlücke gerissen. Nutzer sollten das Zertifikat der BRAK umgehend wieder deinstallieren.

ERVV passiert Bundesrat

Die Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) hat den Bundesrat passiert.

Damit gibt es mit dem Inkrafttreten am 01.01.2018, rechtzeitig zum Beginn der passiven Nutzungspflicht des beA, bundesweit einheitliche Regelungen, welche Dateiformate beim elektronischen Rechtsverkehr zulässig sind. Bisher hat dies jedes Bundesland einzeln geregelt, manche Bundesländer ließen etwa auch .doc und .rtf-Dateien zu. Ab sofort sind nur noch PDF-Dateien und bei Bildern auch TIF-Dateien zulässig, wenn die bildliche Darstellung verlustfrei nicht in PDF möglich ist.

Der Bundesrat nahm eine wichtige Änderung vor: Die Pflicht, die PDF-Dokumente durchsuchbar einzureichen gilt erst ab dem 1. Juli 2019. Ursprünglich war eine Verpflichtung schon ab dem 1. Juli 2018 vorgesehen.

RA-MICRO veröffentlicht Informationen zur beA-Schnittstelle

RA-MICRO hat Informationen zu der beA-Schnittstelle veröffentlicht.

Danach ist eine Integration in den E-Workflow geplant. Der Zugriff auf das beA-Postfach soll über Softwarezertifikate erfolgen. Für jeden beA-Nutzer muss also ein solches bestellt werden (Kosten derzeit 4,90 € netto pro Jahr), wenn eine Einbindung des Postfachs in RA-MICRO erfolgen soll.

Die Veröffentlichung der RA-MICRO-Version ist für Ende 2017/Anfang 2018 geplant.

Gut ist, dass auch die manuelle Schnittstelle über den Export in der E-Akte erhalten bleiben soll. Damit ist man technisch unabhängig, wenn einmal die RA-MICRO-Integration bzw. die beA-Schnittstelle nicht funktionieren sollte.

Auch positiv: Es soll einen Senden-Button an beA direkt in Word geben sowie eine Erweiterung des Adressfensters um beA-Adressen. Spannend wird die Frage sein, ob hier auch die SAFE-IDs hinterlegt werden. Da diese das einzige zuverlässige Unterscheidungskriterium sind und das einzige Zuordnungsmerkmal, ob es sich um ein beA-, Gerichts-, Notar- (beN) oder Behördenpostfach (beBPo) handelt, sollte auf die SAFE-ID im ERV erhöhte Aufmerksamkeit gelegt werden. Interessant wird hier auch die Frage sein, wie einer Kanzlei die Postfächer der einzelnen Anwälte zugewiesen werden können.

beA: Ab heute auch OLG München, LG München I und AG München erreichbar

Ab heute, 18. Oktober 2017, sind auch das Oberlandesgericht München, das Landgericht München I und das Amtsgericht München in allen ZPO- und FamFG-Verfahren über das beA erreichbar, (vgl. Anlage 2 BayERVV Justiz).

Damit sind alle bayerischen Gerichte in diesen Verfahren angeschlossen.

Nachdem Bayern in den letzten Jahren beim Anschluss der Gerichte an den elektronischen Rechtsverkehr eher zu den langsameren Bundesländern gehörte, hat Bayern extrem aufgeholt und gehört jetzt zu den Vorreitern. Alle Amts-, Land- und Oberlandesgerichte in ZPO- und FamFG-Verfahren, alle Arbeits-, Verwaltungs-, Sozial- und Finanzgerichte sind jetzt über den elektronischen Rechtsverkehr erreichbar.

Bayerische Arbeitsgerichte per beA erreichbar

Jetzt ging es dann doch unerwartet schnell. Seit dem 1. Oktober 2017 sind alle Bayerischen Arbeitsgerichte per beA erreichbar aufgrund der Verordnung zur Änderung der E-Rechtsverkehrsverordnung Arbeitsgerichte (ERVV ArbG) vom 15.9.2017 (GVBl. 2017, 494).

Laut dem beA-Newsletter 40/2017 vom 05.10.2017 werden die Bayerischen Arbeitsgerichte bereits ab dem 1. Januar 2018 beginnen, mit den Rechtsanwälten nur noch elektronisch zu kommunizieren, also auch den Versand zu nutzen.

beA: Signatur der exportierten Nachrichten (Update)

Ein technisches Detail zum beA-Postfach:

Exportiert man eine Nachricht in der Webanwendung, werden alle mit der Nachricht versandten Dateien in einen ZIP-Ordner gepackt und dieser zusammen mit einer P7s-Zertifikatsdatei zum Download bereitgestellt.

Wir machen es in unserer Kanzlei so, dass wir diesen ZIP-Ordner zusammen mit der Zertifikatsdatei in unserer Anwaltssoftware abspeichern, um damit einen rechtssicheren Nachweis zu haben, was über beA versandt wurde, auch deshalb, weil das beA selbst nicht als Dokumentenverwaltung zur dauerhaften Speicherung gedacht ist. Dies sieht auch die RAVPV vor, die der BRAK in § 27 eine Löschungsmöglichkeit einräumt.

Jetzt kam aber die Überraschung: Die Signierung der Nachrichten erfolgt wohl noch nicht richtig. Prüft man die P7s-Datei mit einer Signatursoftware, so erscheint eine Fehlermeldung, dass die Signatur ungültig sei:

Nach etwas Recherche hat sich die Sache aufgeklärt: Im beA-Newsletter 17/2017 vom 26. April 2017 steht etwas versteckt beim Thema „Container-Signatur“:

So wird zum Beispiel beim Export einer Nachricht aus dem beA ein ZIP-Container ausgegeben, der zusammen mit einer (einfachen) Signatur, also einer Container-Signatur, auf dem lokalen System gespeichert wird.

Mit anderen Worten: Es wird eine Signatur angebracht, aber keine qualifizierte Signatur, die im Rahmen des Prüfberichts der Signatursoftware als „gültig“ angezeigt wird. Es kann damit aber die Authentizität der ZIP-Datei festgestellt werden.

Ursprünglicher Artikel vom 16.08.2017 mit Update am 21.09.2017: Artikel aktualisiert, Informationen vom beA-Newsletter eingearbeitet