BeA und BER – Berliner Schneckenrennen

Als ein Freund aus dem Rheinland im letzten Winter zum Karnevalsbesuch nach Köln einlud, konnte er sich folgenden Scherz nicht verkneifen: „Verkleide dich doch als Berliner Flughafen, dann bist Du am nächsten Tag nicht so fertig!“ Ähnliches könnte man über ein anderes Projekt aus der Bundeshauptstadt sagen: Die Digitalisierung des Rechtsverkehrs durch das besondere elektronische Anwaltspostfach (beA) ist ebenfalls zur Posse geworden.

Dr. Tobias de Raet

Samstag, der 17. November 2018

Die Justiz liebt Papier und Fax

Wir schreiben einen heißen Sommertag des Jahres 2018. In unserem Büro an der Berliner Friedrichstraße wird heute Abend, wie jeden Tag der Justizbote vorbeikommen. Aufgabe des Justizboten ist es, Originaldokumente bei Rechtsanwaltskanzleien abzuholen und zu den Berliner Gerichten zu bringen. Die Justiz liebt Papier. Dokumente werden gestempelt, mit Tinte unterzeichnet und „anwaltlich beglaubigt“. Viele Schriftstücke werden sogar – doppelt hält besser – „vorab per Telefax“ übermittelt. Die Justiz ist vermutlich die einzige Branche, die nach wie vor auf dieses nostalgisch piepende Gerät vertraut, das 1979 von der Deutschen Bundespost eingeführt wurde.

Die unendliche Geschichte des beA

Alles neu soll – oder besser gesagt „sollte“ – das beA machen. Der ursprünglich für den 1. Januar 2016 geplante Starttermin wurde Ende November 2015 verschoben, weil der Dienst laut Bundesrechtsanwaltskammer „bisher nicht ausreichende Qualität“ hatte. Nachdem der Dienst am 26. November 2016 weitgehend unbemerkt von Anwaltschaft und Öffentlichkeit in Betrieb genommen worden war, fieberte die Anwaltschaft auf den 1. Januar 2018 hin. Seit diesem Tag gilt die „passive Nutzungspflicht“. Kurz vor Weihnachten 2017 wurde allerdings eine gravierende Sicherheitslücke entdeckt und das beA-Portal nach einigem Hin- und Her vorerst vom Netz genommen. Erst im September 2018, also mehr als neun Monate nach dem letzten und mehr als 33 Monate nach dem ursprünglichen Termin, ging das beA an den Start.

Warum die Angst vor Identitätsmanipulation irrational ist

Das Chaos konnte nur deshalb entstehen, weil die Umsetzung des beA durch irrationale Ängste vor neuen Technologien dominiert wird. Statt auf bewährte Alternativen zu setzen, wurde ein neues und in der Praxis noch nicht getestetes System geschaffen. Im Kern geht es dabei um die Themen „Identitätsnachweis“ und „Vertraulichkeit der Kommunikation“.

Klar ist: Auch das beA bietet keinen lückenlosen Schutz vor Identitätsmanipulation. Der Empfänger einer beA-Nachricht kann sich nicht sicher sein, dass diese Nachricht vom ausgewiesenen Absender stammt. Hierbei handelt es sich allerdings keineswegs um ein ausschließlich dem beA (bzw. digitalen Systemen generell) immanentes Risiko.

Identitätsdiebstahl ist in der analogen Welt noch einfacher als in der digitalen Welt. Weder Gerichte noch Rechtsanwälte sind in der Lage zu prüfen, ob Briefkopf und Unterschrift vom ausgewiesenen Absender stammen. An eine Fälschungsvorlage für Briefkopf und Unterschrift zu gelangen, dürfte für die meisten Menschen einfacher sein, als sich ins beA einzuhacken: Bestechung des Pförtners, Liebschaft mit der Reinigungskraft, Verkleidung als Handwerker – die Möglichkeiten sind schier unendlich.

Warum kommt es also nicht bereits heute zu Identitätsmanipulationen? Die Antwort ist einfach: Eine solche Manipulation würde in aller Regel schnell auffallen und kann deshalb allenfalls theoretisch zu irreversiblen Schäden führen.

Weshalb Post und Telefax das größere Risiko sind

Und was ist mit der Vertraulichkeit? In der öffentlichen Debatte überlagert die ebenfalls irrationale Angst vor der Sicherheit elektronischer Kommunikation die bestehenden Risiken von Post und Telefax. Um an Gerichtspost zu gelangen, muss man noch nicht einmal den Justizboten oder Briefträger überfallen. In vielen deutschen Gericht sind sog. Anwaltspostfächer frei zugänglich; Transportkarren mit Akten stehen unbewacht auf den Gerichtsfluren; Richterzimmer und Geschäftsstellen sind nur durch Hohlspantüren gesichert, die jeder Tatortkommissar mit einem kräftigen Fußtritt öffnen kann.

Hinzu kommt, dass Gerichtsprozesse als Ausfluss des im Grundgesetz verankerten Rechtsstaatsprinzips ohnehin grundsätzlich der Öffentlichkeit zugänglich sein müssen. Diese Verhandlungsöffentlichkeit erstreckt sich zwar nicht auf die Akten; aber auch in diese können Dritte – jedenfalls im Zivilprozess – bei Glaubhaftmachung eines rechtlichen Interesses Einsicht erhalten. Wer tatsächlich die Vertraulichkeit sicherstellen möchte, weicht ohnehin auf private Schiedsgerichte, wie DIS oder ICC aus.

Ein Bedürfnis nach Vertraulichkeit besteht im Kern nur hinsichtlich personenbezogener Daten; dies allerdings digital und analog und sowohl in- als auch außerhalb der Kommunikation mit Gerichten.

Mit welchen technischen Änderungen das beA zum Erfolg werden kann

Der Zugriff auf das beA erfolgt über einen Internetbrowser. Benötigt werden allerdings zusätzlich eine spezielle Chipkarte und ein Lesegerät, auf dem eine PIN einzugeben ist. Dies erinnert an die technische Lösung, die auch für den elektronischen Personalausweis genutzt wird, und so anwenderfreundlich ist, dass sie – wenn man Studien glauben darf – von nahezu keinem Bundesbürger genutzt wird.

Man muss kein IT-Experte sein, um zu beurteilen, dass auch die komplizierte Lösung des beA über Chipkarte, Lesegerät und PIN nicht besonders sicher ist. Unter wie vielen Bürotastaturen kleben bereits heute Notizzettel mit Computerpasswörtern? Wie viele Computerpasswörter lauten auf den Namen der Ehefrau, ggf. ergänzt mit der Ziffer 1, und werden bei der monatlich erforderlichen Passwortänderung lediglich durch den Suffix 1 in 2 geändert? Wie viele Bundesbürger haben einen Zettel mit der Geheimzahl ihrer EC-Karte im Portemonnaie? Dies führt zur Folgefrage: In wie vielen Rechtsanwaltskanzleien wird die beA-Karte ständig im Lesegerät stecken und womöglich sogar noch ein Notizzettel mit der PIN darauf kleben?

Es gibt deutlich bessere Lösungen: Schon heute lassen sich Bankgeschäfte über eine bequeme Zweifaktor-Authentifizierung via SMS-TAN oder Photo-TAN-Verfahren durchführen. Auch ein sog. One Time Token (über Hard- oder Software), der bereits jetzt von vielen Kanzleien und Unternehmen zum IT-Fernzugriff genutzt wird, wäre zeitgemäßer, nutzerfreundlicher und sicherer als die gegenwärtige beA-Lösung.

Was der Gesetzgeber tun muss

Damit das beA kein Ladenhüter wie der elektronische Personalausweis wird (bzw. bleibt), sollte der Gesetzgeber es nicht bis 2022 bei der passiven Nutzungspflicht belassen. Sinnvoll ist vielmehr, dass ab 2020 in einer Übergangsphase die aktive Nutzungspflicht parallel zur bisherigen Papierlösung tritt. Andernfalls droht 2022 ein erneutes Chaos.

Und zum BER

Fest steht: Zum Karneval nach Köln werde ich auch im Februar 2019 wieder vom Flughafen Berlin-Tegel fliegen müssen. Der Sieg in diesem Schneckenrennen ist allerdings nichts, worauf die Bundesrechtsanwaltskammer stolz sein kann.