Besonderes elektronisches Anwaltspostfach

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von BeA)
Zur Navigation springen Zur Suche springen

Das besondere elektronische Anwaltspostfach (beA) ist ein elektronisches Postfach für Rechtsanwälte, aufbauend auf der EGVP-Infrastruktur. Das Postfach soll den in Deutschland zugelassenen Rechtsanwälten die sichere elektronische Kommunikation mit der Justiz, mit Behörden und untereinander ermöglichen[1] und den EGVP-Client für den Zugriff der Rechtsanwälte auf das elektronische Gerichts- und Verwaltungspostfach (EGVP) ablösen.

Seit dem 1. Januar 2018 besteht gemäß § 31a Abs. 6 BRAO für Anwälte die sogenannte passive Nutzungspflicht: Sie haben die für das beA erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und Zugänge von Mitteilungen über das beA zur Kenntnis zu nehmen. Seit 1. Januar 2022 verpflichtet § 130d S. 1 ZPO Rechtsanwälte, Behörden sowie juristische Personen des öffentlichen Rechts zur elektronischen Übermittlung von Dokumenten an Gerichte. Diese teilweise als aktive Nutzungspflicht bezeichnete[2] elektronische Einreichung kann über beA, aber auch über andere nach § 4 Abs. 1 ERVV zugelassene elektronische Wege erfüllt werden.

Hintergrund für die Einführung des besonderen elektronischen Anwaltspostfachs ist die Reform des Schrift- und Nachrichtenverkehrs zwischen Rechtsanwälten, Justiz und Verwaltungsbehörden mit der Zielrichtung einer digitalen Aktenführung.

Über das beA sollen die über EGVP verbundenen Zivilgerichte, Arbeitsgerichte, Finanzgerichte, Sozialgerichte und Verwaltungsgerichte erreichbar sein. Alle Bundesgerichte (damals noch ohne das BVerfG) sowie alle Gerichte in den Bundesländern Berlin, Brandenburg, Hessen und Sachsen waren schon vor dem 1. Januar 2018 auf dem elektronischen Weg erreichbar. Für die Strafgerichtsbarkeit sieht das Gesetz zur Einführung der elektronischen Akte in Strafsachen vom 5. Juli 2017 (BGBl. I, 2208) vor, dass das beA auch für die Kommunikation mit den Strafgerichten und Staatsanwaltschaften genutzt werden kann. Seit 1. August 2024 nimmt auch das Bundesverfassungsgericht am elektronischen Rechtsverkehr incl. beA teil (§§ 23a ff. BVerfGG).[3]

Auch das zentrale elektronische Schutzschriftenregister ist über beA oder diesem entsprechende, auf gesetzlicher Grundlage errichtete elektronische Postfächer zugänglich.

Nach § 19 Abs. 1 RAVPV (Rechtsanwaltsverzeichnis und -postfachverordnung) soll das beA der elektronischen Kommunikation der Mitglieder der Rechtsanwaltskammern, der Kammern selbst und der Bundesrechtsanwaltskammer untereinander sowie der Gerichte auf einem sicheren Übermittlungsweg dienen. In § 19 Abs. 2 RAVPV ist außerdem festgelegt, dass das beA auch für die elektronische Kommunikation mit anderen Personen oder Stellen genutzt werden kann.

Rechtliche Grundlagen

[Bearbeiten | Quelltext bearbeiten]

Elektronischer Rechtsverkehr ist die Bezeichnung für den „sicheren, rechtlich wirksamen Austausch elektronischer Dokumente zwischen Bürgern, Behörden und Gerichten.“ Das Zustellungsreformgesetz vom 25. Juni 2001 (Bundesgesetzblatt I Seite 1206) und das Formvorschriftenanpassungsgesetz vom 13. Juli 2001 ergänzten die Schriftform um eine elektronische Form. Seit dem Justizkommunikationsgesetz vom 22. März 2005 können Prozessakten elektronisch geführt werden.[4] Nach § 130a ZPO ist zur Wahrung der Schriftform die Übermittlung von elektronischen Dokumenten bei Verwendung einer qualifizierten elektronischen Signatur (qeS) zulässig.[5] Eine Übermittlung von qualifiziert elektronisch signierten Dokumenten war bereits vor der Einführung des beA über das „Elektronische Gerichts- und Verwaltungspostfach“ (EGVP) möglich.[6]

Mit Art. 7 des Gesetzes zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten wurden die §§ 31 und 177 der Bundesrechtsanwaltsordnung (BRAO) angepasst und die Paragraphen §§ 31a und 31b neu eingefügt. Die Bundesrechtsanwaltskammer wird durch die Änderungen an der BRAO verpflichtet, für jeden in Deutschland zugelassenen Rechtsanwalt für die Dauer seiner Zulassung ein beA einzurichten. Der Gesetzgeber erhoffte sich durch das Gesetz eine Beschleunigung der Umsetzung des elektronischen Rechtsverkehrs. Der Name des beA wurde vom Gesetzgeber in § 31a der Bundesrechtsanwaltsordnung festgelegt.

Der Gesetzgeber hat durch die Ermächtigung in § § 31c Nr. 3 BRAO das Bundesministerium der Justiz und für Verbraucherschutz ermächtigt, Einzelheiten der besonderen elektronischen Anwaltspostfächer durch Rechtsverordnung mit Zustimmung des Bundesrats zu regeln. Infolgedessen trat am 28. September 2016 ergänzend die Rechtsanwaltsverzeichnis- und -postfachverordnung (RAVPV) in Kraft. Die §§ 19 bis 29 RAVPV regeln dabei das beA.

Zum 1. Januar 2016 trat das „Gesetz zur Neuordnung des Rechts für Syndikusanwälte“ in Kraft. Syndikusrechtsanwälte erhielten zum 1. Oktober 2016 ein beA. Hatte ein Syndikusanwalt auch eine Zulassung als Rechtsanwalt, konnte für diese Tätigkeit zum 1. Januar 2016 ein gesondertes beA beantragt werden. Das Gesetz sieht vor, dass Berufsträger mit zwei Zulassungen auch zwei getrennte beA erhalten.[7]

Seit dem 1. Januar 2018 können Schriftsätze, dabei auch formgebundene Erklärungen als elektronisches Dokument Gerichten und Strafverfolgungsbehörden vorgelegt werden, wenn sie

  • mit einer qualifizierten elektronischen Signatur versehen (wie es bereits vorher über EGVP möglich war) oder
  • nach Signatur durch die verantwortende Person über einen sicheren Übermittlungsweg

wie das beA eingereicht werden[8]. Bei so einem sicheren Übermittlungsweg reicht also „einfache“ elektronische Signatur wie eine in das Dokument eingefügte Wiedergabe der Unterschrift (Scan) oder des Namens (Buchstaben).[9] Nahezu alle Gerichte waren seit 2018 elektronisch erreichbar.[10]

Nach einer Einführungs- und Übergangszeit gilt seit 1. Januar 2022 für die meisten solchen Erklärungen wie für andere Verteidiger oder beteiligte Behörden die Verpflichtung zum elektronischen Dokument, also für Rechtsanwälte praktisch die Pflicht zur Übermittlung über beA[11].

Entwicklung und Umsetzung

[Bearbeiten | Quelltext bearbeiten]

Die Bundesrechtsanwaltskammer (BRAK) beauftragte mit der Entwicklung und dem Betrieb des beA die Atos IT Solutions and Services GmbH mit Sitz in München, eine Tochtergesellschaft der französischen Atos SE. Die Vergabe erfolgte nach einer beschränkten Ausschreibung unter Einbeziehung einer beschränkten Anzahl von Unternehmen.[12] Nach Angaben der BRAK seien nur wenige IT-Dienstleister überhaupt in der Lage gewesen, ein System zu betreiben, das den hohen Anforderungen des beA an Infrastruktur und Verfügbarkeit gerecht geworden wäre.[12]

Die BRAK beabsichtigte ursprünglich, das beA so einzurichten, dass es ab dem 1. Januar 2016 bereits Nachrichten empfangen kann. Dieser Plan wurde aber aufgegeben, weil der Dienst damals keine „ausreichende Qualität … in Bezug auf die Nutzerfreundlichkeit“ gehabt habe. Er entspreche „noch nicht den hohen Erwartungen, die sich die Kammer selbst gestellt“ habe, erklärte die Bundesrechtsanwaltskammer im November 2015. Die Kammer sei in Gespräche mit dem Softwareersteller Atos über den weiteren Verlauf des Projekts eingetreten.[13]

Es kam zu einer weiteren Verschiebung des Starttermins, weil der Anwaltsgerichtshof Berlin die Bundesrechtsanwaltskammer verpflichtet hatte, das Postfach für einige Rechtsanwälte nicht ohne deren ausdrückliche Zustimmung zum Empfang freizuschalten. Der technischen Implementierung der Kammer fehlt die Fähigkeit, Empfangsbereitschaft der Postfächer einzeln zu steuern[14]. Unabhängig von dem verschobenen Starttermin lief die beA-Erstregistrierung weiter.[15]

Das beA wurde am 28. November 2016 in Betrieb genommen.[16] Rechtsanwälte konnten beA-Nachrichten an die Rechtsanwaltskammern, an andere Rechtsanwälte und an die angeschlossenen Gerichte senden. Nach Bekanntwerden grundlegender Sicherheitsmängel wurde das Postfach am 22. Dezember 2017 wieder außer Betrieb genommen.[17]

Seit dem 1. Januar 2017 sind Rechtsanwälte verpflichtet, Schutzschriften ausschließlich beim elektronischen Schutzschriftenregister einzureichen, was bei Rechtsanwälten aufgrund gesetzlicher Vorgaben regelmäßig die Verwendung eines besonders gesicherten Übermittlungsweges z. B. über das beA bedarf.[10]

Am 27. Juni 2018 hat die Kammer eine zweistufige Wiederinbetriebnahme des Postfaches beschlossen.[18] Seit dem 4. Juli 2018 wird das Zugangsprogramm beA-Client Security für die Betriebssysteme Microsoft Windows, Linux und macOS angeboten.[19] Seit dem 3. September 2018 ist das System wieder vollständig in Betrieb. Der Versand und Empfang von Nachrichten ist wieder möglich.[20]

Die Verträge der BRAK mit Atos liefen Ende 2019 aus. Betrieb und Weiterentwicklung des beA wurden an ein Konsortium aus der Westernacher Solutions GmbH und der rockenstein AG vergeben (Wesroc GbR).[21] Vorangegangen war ein Vergleich mit Atos über Ansprüche der BRAK wegen Sicherheitslücken und Systemausfällen des beA.[22]

Seit dem 1. Januar 2022 sind alle Rechtsanwälte verpflichtet, Dokumente den am elektronischen Rechtsverkehr teilnehmenden Gerichten per beA zu übermitteln, es gilt die „aktive Nutzungspflicht“.[10]

Die BRAK plant, das beA benutzerfreundlicher zu gestalten, unter anderem durch direkte Links aus den Benachrichtigungs-Mails in die entsprechende beA-Nachricht. Nächster Schritt wird eine App sein, die die Nutzung per Smartphone erlaubt.

Technische Anforderungen

[Bearbeiten | Quelltext bearbeiten]

Das beA lässt sich auf aktuellen Windows, macOS und Linux installieren, wobei alle gängigen Browser unterstützt werden.[23]

Zur einmaligen Erstanmeldung beim beA ist eine Chipkarte zwingend notwendig. Zum alltäglichen Anmelden beim beA-Postfach können eine Chipkarte, z. B. die beA-Karte oder spezielle Softwarezertifikate mit einer jeweils dazugehörigen PIN genutzt werden.[24]:14

Grundsätzlich soll das beA gemäß § 20 Abs. 1 RAVPV auf der Grundlage des Standardprotokolls „Online Services Computer Interface“ (OSCI) oder eines „künftig nach dem Stand der Technik an dessen Stelle tretenden“ Standards laufen. Auf dieser Basis wird auch das EGVP betrieben. Um überhaupt eine Adressierbarkeit innerhalb der EGVP-Struktur, an die das beA gekoppelt ist, zu gewährleisten, gibt es eine Art Telefonbuch über das die EGVP-Adresse (SAFE-ID) des Empfängers ermittelt werden kann. Grundlage für die Daten der Anwälte in diesem Verzeichnisdienst namens „SAFE“ (Secure Access to Federated e-Justice/e-Government) ist die Datenerhebung der Rechtsanwaltskammern bei der Zulassung ihrer Mitglieder und somit auch das bundesweite amtliche Anwaltsverzeichnis.[25]

Die Entwicklungskosten lagen bereits im Januar 2018 bei grob 38 Millionen Euro, obwohl das System noch nicht im Betrieb war.[26]

Einmalige Kosten entstehen für die Anschaffung der benötigten Geräte, z. B. eines Kartenlesegeräts. Die Kosten für einen Rechtsanwalt sind von der Art der genutzten beA-Karte, der Nutzung eines optionalen Softwarezertifikats sowie einer optionalen Einbindung von Mitarbeitern abhängig. Durch die Nutzung entstehen jährliche Kosten (Fixkosten).

  1. Für die Nutzung des beA mit einer beA-Karte ist ein zertifiziertes Kartenlesegerät der Klasse 1, 2 oder 3 notwendig.[27] Die Anschaffung eines entsprechenden Kartenlesegeräts kostet einmalig circa 70 Euro. Es kann für die Anmeldung am beA und für die Erstellung qualifizierter elektronischer Signaturen genutzt werden. Möchte man darüber hinaus noch Funktionen des neuen Personalausweises oder Online-Banking nutzen, kostet ein geeignetes Kartenlesegerät circa 130 Euro.[28]
  2. Die beA-Karte Basis zur Anmeldung am beA kostet 29,90 Euro (netto) pro Jahr. Die beA-Karte Signatur mit einer qualifizierten elektronischen Signatur kostet 49,90 Euro (netto) pro Jahr. Letztgenannte ermöglicht auch die sichere Anmeldung im ELSTER-Portal.[28]
  3. Die beA-Mitarbeiterkarte ist mit einem fortgeschrittenen Zertifikat ausgestattet. Sie ermöglicht Mitarbeitern eines Rechtsanwalts, sich am beA anzumelden und Nachrichten zu lesen. Mitarbeiter können zudem vom Rechtsanwalt qualifiziert signierte Nachrichten oder nicht der Schriftform unterliegende Nachrichten versenden, falls sie die Benutzerrechte eingeräumt bekommen haben. Die beA-Mitarbeiterkarte kostet jährlich im 12-Monats-Abo 12,90 Euro (netto).[28]
  4. Ein optionales beA-Softwarezertifikat ist ein fortgeschrittenes Softwarezertifikat. Es kann als eine Datei auf dem Computer oder USB-Stick gespeichert werden. Mit dem Zertifikat kann ein Rechtsanwalt oder ggf. ein Mitarbeiter unterwegs auf dem Laptop beA-Nachrichten abrufen und versenden. Das beA-Softwarezertifikat kostet im 12-Monats-Abo jährlich 4,90 Euro (netto).[28]
  5. Dazu kommen die vom Rechtsanwalt/Notar jährlich als Gebühren durch die Bundesrechtsanwaltskammer erhobenen Kostenbeiträge, mittels derer der Dienstleister bezahlt wird.
  6. Kosten für die Implementierung einer guten OCR-Software bei Versand (sowie der Zeitaufwand, der mit der Nutzung verbunden ist).

Sicherheitsmerkmale

[Bearbeiten | Quelltext bearbeiten]

Zur Übertragung einer Nachricht wird diese von einer zentralen Stelle entgegengenommen bzw. ausgeliefert. Die Nachricht selbst ist verschlüsselt und der zur Entschlüsselung benötigte Schlüssel wird dabei wiederum verschlüsselt übertragen. Der hierfür benutzte öffentliche RSA-Schlüssel wird ebenfalls zentral verwaltet und dem Absender zwecks Verschlüsselung zur Verfügung gestellt. So ist es beispielsweise möglich und vorgesehen, eine Nachricht zentral an andere oder weitere berechtigte Empfänger zuzustellen. Als zentrale Stelle wurde von der Kammer ein IT-Dienstleister beauftragt.

Entgegen der Darstellung der Kammer besaß auch die frühere Umsetzung tatsächlich keine Ende-zu-Ende-Verschlüsselung der Nachrichten. Ein unabhängiges Gutachten vom Juni 2018 ergab weiterhin keine Hinweise, dass dies für die neue Umsetzung geplant wäre.[29] Die insgesamt notwendigen, administrativen und technischen Maßnahmen wurden im Detail von der Kammer nicht veröffentlicht. Ein Anspruch auf eine Ende-zu-Ende-Verschlüsselung besteht nicht[30] (vgl. dazu den Abschnitt Verschlüsselung).

Sicherheitspannen

[Bearbeiten | Quelltext bearbeiten]

Am 22. Dezember 2017 meldete der Online-Ticker des Heise-Verlags eine schwere Sicherheitspanne beim beA.[31] Ein nicht mehr funktionierendes Zertifikat führte dazu, dass das beA nicht mehr eingesetzt werden konnte. Zuerst gab die BRAK bekannt, dass das Zertifikat abgelaufen war. Als jedoch bekannt wurde, dass das benötigte Zertifikat wegen eines Sicherheitsbruchs durch das beA bzw. die Kammer von der Zertifizierungsstelle zurückgezogen worden war, änderte sie die offizielle Verlautbarung dahingehend, dass das Zertifikat ungültig geworden sei. Hintergrund war, dass die Kammer für den Betrieb des beA auf den PCs designbedingt sowohl einen öffentlichen als auch einen privaten Schlüssel einspielen musste. Da alle Installationen das gleiche Schlüsselpaar bekommen hatten, war der geheime Schlüssel somit kompromittiert und durfte von der Zertifizierungsstelle nicht mehr als sicher angesehen werden. Gemäß ihrer Verpflichtung musste die Zertifizierungsstelle das Zertifikat zurückrufen, also für ungültig erklären. Zunächst schlug die Kammer in einer Online-Bedienungsanleitung vor, dass der Anwender das ungültige (nicht vertrauenswürdige) Zertifikat manuell als vertrauenswürdig deklarieren sollte. Die mit solchen Einstellungen einhergehenden schwerwiegenden Sicherheitssystemwarnungen führten dazu, dass die Kammer diesen Vorschlag wieder zurückzog, da er bei einem System, das eine hochsichere Kommunikation gewährleisten soll, als nicht akzeptable Vorgehensweise anzusehen ist. In einem nächsten Schritt schlug die Kammer vor, ein zur Verfügung gestelltes eigenes Root-Zertifikat auf dem Rechner zu installieren. Dies brachte es jedoch mit sich, dass damit auf dem lokalen PC alle anderen Zertifikate manipuliert werden können, da der PC damit zu seiner eigenen Prüfinstanz wird. Die Vorgehensweise entspricht damit dem Aushebeln der gesamten HTTPS-Sicherheitsarchitektur. Als offenkundig wurde, dass die Kammer durch das Lösen des einen großen Sicherheitsproblems ein noch größeres geschaffen hatte, wurde das beA über die Weihnachtsfeiertage vollständig vom Netz genommen.[32] In der offiziellen Verlautbarung bleibt der wahre Hintergrund unerwähnt. Es werden stattdessen vereinzelte Anwenderprobleme als Grund angegeben.

Am 27. Dezember 2017 veröffentlichte die Bundesrechtsanwaltskammer, dass das beA vorerst weiter offline bleiben wird. Die Kammer will das System erst dann wieder online schalten, wenn der Dienstleister die Sicherheitsthematik des Anmeldevorgangs gelöst hat.[33] Da es sich um ein grundsätzliches Designproblem handelt, geht eine Fehlerbehebung zwingend auch mit einer entsprechenden Neuinstallation der Client-Software einher. In der gleichen Meldung rät die Kammer den Anwälten auch, das zuvor durch die Kammer bereitgestellte Zertifikat dringend wieder zu deinstallieren, da mit dem Zertifikat Sicherheitsrisiken für die individuelle PC-Umgebung einhergehen. In einem Artikel der FAZ beschreibt der Autor Constantin van Lijnden den zeitlichen Verlauf der Ereignisse und zeigt auf, dass die durch die Zertifikatspanne zutage getretenen Probleme nur einen aktuellen Schlusspunkt einer langen Abfolge von Planungsproblemen und strategischen Fehlentscheidungen bilden. Der Artikel zeigt auf, dass konsequent über lange Zeit hinweg Vorschläge von Fachleuten ignoriert wurden und wider besseres Wissen auf Technologie gesetzt wurde, die für diesen Zweck nicht optimal geeignet ist.[34] Spiegel Online stellt die Gesamtsituation in einem zusammenfassenden Artikel ebenfalls dar und zitiert zum Ende des Artikels: „Das Problem liegt im Design der Software-Architektur. Das lässt sich nicht kurzfristig beheben. […] Die sollten das komplett neu entwickeln und dabei an bestehende Technologien anknüpfen. E-Mail-Verschlüsselung ist ja keine neue Sache.“[35]

Auf dem 34. Kongress des CCC wurde über das beA unter der Überschrift „Das besondere Anwaltspostfach beA als besondere Stümperei“ im Rahmen eines Vortrags[36] berichtet. Neben dem kurz zuvor bekannt gewordenen Zertifikate-Problem wurden Sicherheitsmängel durch veraltete Java-Bibliotheken, eine nicht vorhandene Ende-zu-Ende-Verschlüsselung, Angreifbarkeit durch die seit 20 Jahren bekannte ROBOT-Attacke[37] und andere ungünstige Komponenten thematisiert. Nach dem Vortrag löschte die Bundesrechtsanwaltskammer eine zuvor herausgegebene falsche Beschuldigung Dritter von ihrer Webseite.[38] Die nicht vorhandene Ende-zu-Ende-Verschlüsselung wurde jedoch bereits im Jahr 2016 auf dem Internationale Rechtsinformatik Symposion in Fachgremien diskutiert.[39]

Am 2. Januar 2018 verschickte die Bundesrechtsanwaltskammer ein Rundschreiben an die örtlichen Rechtsanwaltskammern, in dem sie partiell zu den Vorwürfen Stellung nahm. Der Tenor des Schreibens ist, dass das beA eine Erfolgsgeschichte mit großer Akzeptanz bei den Anwälten sei. Das Zertifikate-Problem wird – als einziges – eingeräumt; man sei hier vom Dienstleister Atos getäuscht worden. In dem Schreiben kritisiert die Bundesrechtsanwaltskammer auch die Wortwahl, die in Form von Schreiben, Mails und Forenbeiträgen seit dem Bekanntwerden des Skandals veröffentlicht wurden. Man sei „erschrocken darüber, dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der Kammer und am beA verknüpft“. Zu den weiteren angesprochenen Problemen äußert sich die Kammer nicht.[40]

Am 4. Januar 2018 meldet die im Verlag C.H.Beck erscheinende Neue Juristische Wochenschrift in ihrem Onlineportal als Vorankündigung auf die kommende Ausgabe, dass das Bundesjustizministerium die Bundesrechtsanwaltskammer unter Druck setzt. Das beA müsse so schnell wie möglich wieder in Betrieb genommen werden, und das Ministerium verlangt eine Aufklärung darüber, welche Kriterien die Kammer dazu bewogen haben, das beA nach einer einjährigen freiwilligen Nutzung wieder außer Betrieb zu nehmen. Ferner verlangt das Ministerium Aufklärung darüber, warum zur Fehlerbehebung ein Zertifikat in Umlauf gebracht wurde, das kurze Zeit später wiederum zurückgezogen werden musste.[41]

Am 11. Januar 2018 forderte die Free Software Foundation Europe (FSFE) die Freigabe des Quellcodes, um das Projekt zukunftsträchtig zu gestalten. Die FSFE betonte: „An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher auszuschließen, sollte die Bundesrechtsanwaltskammer nun die gesamte Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden. Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, bereits frühzeitig potenzielle Sicherheitslücken zu melden, damit diese behoben werden. Dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal erwiesen.“[42]

Am 17. Januar 2018 veröffentlichte Heise Online eine Zusammenfassung der aktuellen Erkenntnisse einschließlich eines Video-Mitschnitts der Präsentation des CCC.[43] Im Video und dem Begleittext wurde aufgezeigt, was getestet und was nicht getestet wurde, sowie der Verlauf der nicht funktionierenden Kommunikation mit der Bundesrechtsanwaltskammer. Herausgestellt wurde, dass die grundsätzliche Konstruktion des Clients mit seinem lokalen Zertifikat einen irreparablen Konstruktionsfehler darstelle. Die Zeitschrift ct behandelt das Thema in ihrer Ausgabe 3/2018[44] sowie in einem umfangreichen Artikel in der Ausgabe 6/2018.[45]

Am 26. Januar 2018 veranstaltete die Bundesrechtsanwaltskammer eine „beAthon“ genannte Gesprächsrunde mit einem kleinen Kreis geladener Sicherheitsfachleute. Der Softwareersteller Atos hatte die Teilnahme im Vorfeld abgesagt und auch seinen Subunternehmern die Teilnahme untersagt.[46] Im Rahmen der Diskussionsrunde wurde festgestellt, dass der von Atos vorgestellte neue Lösungsansatz grundsätzlich geeignet sei, das ursprüngliche Zertifikate-Problem zu lösen. Die Kammer gab in der Diskussionsrunde auch erstmals zu verstehen, dass sie die Ende-zu-Ende-Verschlüsselung in der Vergangenheit anders interpretiert habe, als dies üblicherweise geschehe. Auch gab die Kammer zu verstehen, dass ihr nicht klar gewesen sei, dass es möglich erscheine, ein solches System tatsächlich Ende-zu-Ende verschlüsselnd aufzubauen und dabei auf den Einsatz von HSMs vollständig zu verzichten. Auf erneuten Hinweis von Markus Drenger, dass noch immer eine wesentliche Sicherheitslücke in der bestehenden Client-Software vorhanden sei, die es selbst bei deaktiviertem beA ermögliche, den Rechner, auf dem ein beA-Client installiert sei, anzugreifen, gab die Kammer auf ihrer Internetseite die Empfehlung an alle Anwälte aus, den aktuellen beA-Client sofort zu deinstallieren.[47][48][49] Als Teilnehmer des beAthon fasste Jörn Erbguth die Ergebnisse in einem Beitrag bei LTO zusammen.[50] Sehr detaillierte Zusammenfassungen des beAthon sind auf der Seite von Golem[51] und bei JurPC[52] erschienen.

Am 20. Juni 2018 veröffentlichte die Bundesrechtsanwaltskammer das Gutachten, das sie in Folge der aufgetretenen Sicherheitsmängel bei der Firma Secunet in Auftrag gegeben hatte.[53] Damit einhergehend veröffentlichte die Kammer eine entsprechende Presseerklärung.[54] Die aktualisierte Client-Security soll gemäß der Veröffentlichung ab dem 4. Juli 2018 wieder zur Verfügung stehen und das Postfach soll am 3. September 2018 wiederbereit stehen.

Am 4. September 2018 wurde bekannt, dass sich durch eine Sicherheitslücke in der Benutzerverwaltung des beA gezielt Anwälte suchen lassen, die ihr persönliches Anwaltspostfach noch nicht eingerichtet haben. So können sich gegnerische Anwälte zulasten der betroffenen Mandanten, die grundsätzlich für Fehler ihres Anwalts haften – wozu auch die nicht erfolgte Einrichtung des persönlichen Anwaltspostfaches gehört – gegenseitig ausstechen.[55]

Die Bundesrechtsanwaltskammer hat am 3. September 2020 eine neue Version der beA Client-Security bereitgestellt, die eine Deinstallation der alten Version erforderlich machte und seit Oktober 2020 die einzig nutzbare Version bildet.

Zugang für europäische Rechtsanwälte

[Bearbeiten | Quelltext bearbeiten]

Ein temporäres beA-Postfach wird von der nach § 32 EuRAG zuständigen Rechtsanwaltskammer auch einem dienstleistenden europäischen Rechtsanwalt aus dem Europäischen Wirtschaftsraum (EWR) ohne weiteres nach Einbringung eines formlosen Antrags eingerichtet.

Prozedere zur Einführung

[Bearbeiten | Quelltext bearbeiten]

Teile der Anwaltschaft kritisierten, dass die Postfächer ohne Zutun der Anwälte, insbesondere ohne die Erstregistrierung durch den jeweiligen Rechtsanwalt, empfangsbereit eingerichtet werden sollten, weil sich dies aus dem „Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten“ nicht ergebe und veröffentlichten ihre Kritik in der Fachliteratur: im September 2015[56][57], im November 2015[58] sowie im Januar 2016.[59][60] Der Deutsche Anwaltverein schlug in seiner Stellungnahme 6/2016 eine gesetzliche Klarstellung für Nutzungspflicht und Erstregistrierung vor.[61] Einige Rechtsanwälte stellten förmliche Anträge an die Kammer, das beA nur dann empfangsbereit einzurichten, wenn der Rechtsanwalt die Erstregistrierung durchgeführt hat.[62] Diese Anträge wies die Kammer zurück und wies zur Begründung nur kurz darauf hin, dass sie ihr Handeln unmittelbar aus dem Gesetz ableite.[63] Daraufhin wurden zwei einstweilige Verfügungsverfahren vor den beiden Senaten des Anwaltsgerichtshofs Berlin (AGH Berlin) rechtshängig, Az. I AGH 17/15 und Az. II AGH 16/15. Der Eilantrag im Verfahren vor dem I. Senat wurde in Volltext und mit Anlagen veröffentlicht.[64] Es kam zu einem Vergleich, den die Kammer später aber widerrief.[65] Der Bundesrechtsanwaltskammer wurde am 6. Juni 2016 vom Anwaltsgerichtshof Berlin per einstweiliger Anordnung untersagt, Postfächer für Anwälte freizuschalten, von denen kein entsprechendes Einverständnis vorliegt[66]. Die Kammer verschob die Freischaltung der Postfächer erneut.[67]

Fehlendes Kanzleipostfach

[Bearbeiten | Quelltext bearbeiten]

Kritisiert wird auch, dass es kein elektronisches Kanzleipostfach gäbe. Mails könnten nur an Einzelpersonen adressiert werden; es wäre nicht möglich, eine Ad-Hoc-Vertretungsregelung zu implementieren. Schriftstücke könnten aufgrund der Sicherheitsarchitektur und des Fehlens einer Versandmöglichkeit an eine Kanzlei, d. h. nicht an einen bestimmten Rechtsanwalt explizit, nur übermittelt werden, wenn sichergestellt ist, dass der Empfänger die Daten auch abholt. Die rechtliche Situation einer Nichtverfügbarkeit, z. B. bei Urlaub oder Krankheit, ist ungeklärt.[68] Jedoch lässt sich behaupten, dass die berufsrechtlichen Vertretungsregelungen relativ praxistauglich im beA integriert wurden.[69] So können im beA einfach Vertreter für bestimmte oder alle Verhinderungsfälle benannt werden. Im letzteren Fall hat der Vertreter dann jedoch (dauerhaft) automatisch Zugriff auf das Postfach auch ohne Verhinderungsfall. Die Lösung durch die Software besteht darin, durch Mitarbeiterkarten oder Softwarezertifikate den Zugriff auf mehrere Postfächer zu ermöglichen. Mittlerweile wurde mit § 31b BRAO ein besonderes elektronisches Anwaltspostfach für Berufsausübungsgesellschaften eingeführt.

Verschlüsselung

[Bearbeiten | Quelltext bearbeiten]

Als diskussionswürdig gilt auch die Ende-zu-Ende-Verschlüsselung auf der Grundlage des OSCI-Standards. Aus Gründen der Rechengeschwindigkeit verläuft die Verschlüsselung dabei in zwei Stufen: Die eigentlichen Nachrichten, welche durchaus größere Datenmengen enthalten können, werden symmetrisch mit dem AES-Verschlüsselungsverfahren (Advanced Encryption Standard) verschlüsselt übertragen. Dieser AES-Schlüssel wird grundsätzlich vom Absender zufällig generiert und sozusagen an die verschlüsselte Nachricht angehängt. Die Übermittlung dieses zur Entschlüsselung der Nachricht benötigten AES-Schlüssels erfolgt sodann mit einer asymmetrischen RSA-Verschlüsselung.

Bei einer symmetrischen Verschlüsselung wird der gleiche Schlüssel sowohl für die Verschlüsselung als auch Entschlüsselung verwendet. Vorteilhaft wiederum an einem asymmetrischen Verschlüsselungsverfahren ist, dass die entsprechende Nachricht mit dem öffentlichen Schlüssel des Empfängers zwar verschlüsselt aber nicht entschlüsselt werden kann. Dafür ist dann der jeweilige private Schlüssel des Empfängers notwendig, der sich sodann sinnvollerweise nur an einem sicheren Ort befinden sollte, auf den ausschließlich der Empfänger Zugriff hat.

Allerdings sieht das beA die technische Möglichkeit vor, dass im Rechenzentrum eine Umschlüsselung der asymmetrisch verschlüsselten Nachricht vorgenommen werden kann, um eine Nachricht an andere, berechtigte Personen zu verteilen. Daher ist nämlich, anders als eigentlich bei dem OSCI-Standard vorgesehen, der öffentliche Schlüssel mit dem der symmetrische AES-Schlüssel verschlüsselt wird, nicht der des tatsächlichen Empfängers/Postfachinhabers, sondern „nur“ der des Postfachs selbst. Dessen zugehöriger privater Schlüssel befindet sich ausschließlich in der Obhut der BRAK.[70]

So wird von Kritikern vorgebracht, dass durch diese Möglichkeit der Umschlüsselung auch die Möglichkeit der Entschlüsselung der eigentlichen Nachricht entsteht. Grundlage dieser Überlegung ist, dass während des Augenblicks der Umschlüsselung der eigentliche symmetrische Schlüssel kurzfristig innerhalb des Systems verfügbar ist und damit auch die Nachricht selbst entschlüsselt werden kann. Die Bundesrechtsanwaltskammer begegnet dieser Argumentation auf technischem Wege. Nach ihren Angaben findet diese Umschlüsselung in einem so genannten Hardware Security Module (HSM) statt, auf das niemand Zugriff habe. Die Ergebnisse von Sicherheitsüberprüfungen und die Architektur wurden nicht veröffentlicht. Um die Möglichkeit zu schaffen, die Daten im Falle eines Ausfalls des Moduls auf ein anderes Gerät zu übertragen, wurden die Zugangsschlüssel auf verschiedene Personen verteilt, die nur gemeinsam Zugriff auf die Daten haben. Man spricht in diesem Zusammenhang von sogenannten Key-Custodians.[71]

Das Gutachten von secunet aus dem Jahr 2018[53] führt dazu auf Seite 86 aus:

"Die Verwahrung der Schlüssel außerhalb der HSM dient der Inbetriebnahme neuer HSM. Diese Praxis ist nicht unüblich und findet z.B. im Bankwesen oft Anwendung. Damit sie für das beA geeignet ist, ist es erforderlich, dass die beA-Anwender als potentiell vom Bruch der Vertraulichkeit Bedrohte dem Auftraggeber und dem Betreiber des beA ausreichend vertrauen. Ob dies der Fall ist, kann im Rahmen dieses Gutachtens nicht beurteilt werden. Ist ausreichendes Vertrauen vorhanden, kann die hier aus technischer Sicht (Möglichkeit und Umfang des Schadens) als betriebsbehindernd riskant bewertete Praxis fortgesetzt werden."

Die Empfehlung zur Risikoeinstufung betriebsbehindernd lautet (S. 8): "Eine Behebung sobald wie möglich wird empfohlen."

Nach den veröffentlichten Schaubildern generiert das HSM für jeden Empfänger ein eigenes Schlüsselpaar. Von diesem Schlüsselpaar verbleibt der geheime Teil ausschließlich im HSM und der öffentliche Schlüssel wird in dem SAFE-Verzeichnis veröffentlicht. Ein Absender verschlüsselt die Nachricht also basierend auf dem im SAFE-Verzeichnis veröffentlichten Schlüssel zur Entschlüsselung innerhalb des HSMs, dieses wiederum entschlüsselt die Nachricht und verschlüsselt sie erneut mit dem öffentlichen Schlüssel des finalen Empfängers. Somit sendet ein Absender niemals direkt an den Empfänger, sondern immer an das HSM als Intermediär. Bei der Nachricht, die das HSM ent- und für die finalen Empfänger erneut verschlüsselt, handelt es sich um den geheimen AES-Schlüssel, mit dem die eigentliche Nachricht verschlüsselt ist. Das HSM hat dadurch nur Zugriff auf den Schlüssel, mit dem diese Nachricht verschlüsselt wurde und keinen Zugriff auf die eigentliche, ursprüngliche Ausgangsnachricht.[72][73]

Auf dem 34. Kongress des CCC[74] wurde diese Problematik angesprochen und mit den Worten „Eine Ende-zu-Ende-Verschlüsselung sieht anders aus“ zusammengefasst. Ob folglich das HSM als Backdoor zu betrachten ist, wird damit als juristische Frage eingeordnet.

Im Rahmen der am 26. Januar 2018 stattgefundenen Expertenrunde „beAthon“ gab die Kammer zu verstehen, dass der Begriff der Ende-zu-Ende-Verschlüsselung von ihr abweichend von der in der Kryptographie gängigen Definition interpretiert wurde. Ein Vertreter der Kammer argumentierte, dass der Begriff Ende-zu-Ende-Verschlüsselung nicht geschützt sei. Ein anwesender Fachmann merkte dazu an „dass Rechtsanwälte wohl besser nicht versuchen sollten, kryptographische Fachbegriffe neu zu besetzen und Kryptographen hier zu widersprechen“.

Der Bundesgerichtshof urteilte im März 2021, dass die gewählte Sicherheitsarchitektur ausreichend sicher sei und die BRAK nicht zur Einführung einer Ende-zu-Ende-Verschlüsselung für das beA verpflichtet werden könne.[75] Hiergegen wurde beim Bundesverfassungsgericht Verfassungsbeschwerde eingelegt, welche jedoch ohne Begründung nicht zur Entscheidung angenommen und damit abgelehnt wurde (Aktenzeichen 1 BvR 1864/21).

Größenbeschränkung von Schriftsätzen

[Bearbeiten | Quelltext bearbeiten]

Die elektronischen Postfächer stellen lediglich den Zugang zum EGVP für Rechtsanwälte dar. Das von der Justiz unterhaltene EGVP ist so konfiguriert, dass an eine Mail nur maximal 1.000 Dateien mit insgesamt 200 MB angehängt werden können.[76] Umfangreiche Schriftsätze mit einer großen Zahl an eingescannten Seiten oder sonstigen großen elektronischen Dokumenten können diese Grenze überschreiten. Es existiert keine Spezifikation zum Umgang mit entsprechend umfangreichen Schriftsätzen; es obliegt dem Anwender (oder dem von ihm verwendeten Softwaresystem) die Grenzen nicht zu überschreiten. Auch die zwangsweise Nutzung bestimmter Software[77] wird kritisiert, da die Vorgaben Freie Software und offene Dateiformate strukturell benachteiligen. Dies wird vereinzelt als unzulässiger Eingriff in die anwaltliche Berufsfreiheit sowie die Interessen der Mandanten betrachtet, mit denen der Dateiaustausch stattfindet.[78]

Gemäß § 2 Abs. 1 ERVV (Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach bzw. Elektronischer-Rechtsverkehr-Verordnung) ist das elektronische Dokument im Dateiformat PDF zu übermitteln. Das Dokument darf zusätzlich (!) im TIFF-Dateiformat übermittelt werden, wenn „bildliche Darstellungen im Dateiformat PDF nicht verlustfrei wiedergegeben werden können“. Die frühere Anforderung, wonach in „druckbarer, kopierbarer und, soweit technisch möglich, durchsuchbarer Form“ zu senden war, ist weggefallen. Dateien mit den Dateitypen .exe, .com, .bat, .cmd, .ink und .ini dürfen einem Nachrichtenentwurf aus Sicherheitsgründen nicht als Anhang hinzugefügt werden. Die Länge von Dateinamen darf grundsätzlich nur 84 Zeichen inkl. der Dateiendungen betragen; für Signaturdateien ist die Länge auf 90 Zeichen inkl. der Dateiendungen beschränkt. In Dateinamen dürfen grundsätzlich alle Buchstaben des deutschen Alphabetes einschließlich der Umlaute Ä, ä, Ö, ö, Ü, ü und ß genutzt werden. Zudem dürfen alle Ziffern und die Zeichen „Unterstrich“ und „Minus“ genutzt werden. Leerzeichen und Dateinamen ohne Zeichen vor der Dateiendung sind nicht erlaubt. Punkte sind nur als Trenner zwischen dem Dateinamen und der Dateinamenserweiterung zulässig. Nur bei konkatenierten Dateinamensendungen, z. B. bei abgesetzten Signaturdateien, dürfen Punkte auch im Dateinamen genutzt werden (z. B. Dokument1.pdf.pkcs7).

Wird das Dokument ohne Beachtung dieser Vorschriften übermittelt, ist es grundsätzlich nicht wirksam eingegangen. Nach § 130a Abs. 6 ZPO hat das jeweilige Gericht hierauf „unverzüglich“ und unter Mitteilung der entsprechenden technischen Bedingungen hinzuweisen. Reicht der Absender sodann aber ebenfalls unverzüglich ein geeignetes Dokument unter Glaubhaftmachung seiner inhaltlichen Übereinstimmung mit dem ungeeigneten Exemplar nach, gilt das neue wirksame Dokument als zu dem Zeitpunkt der früheren Einreichung eingegangen.

Mangelnde Transparenz

[Bearbeiten | Quelltext bearbeiten]

Die Bundesrechtsanwaltskammer weigert sich bisher, die Verträge zur Erstellung des elektronischen Postfachs mit dem IT-Dienstleister Atos sowie Sicherheitsaudits offenzulegen. Die Gesellschaft für Freiheitsrechte und FragDenStaat haben daher Klage auf Basis des Informationsfreiheitsgesetzes eingereicht.[79]

  • Christopher Brosch, Nutzungspflicht für das besondere elektronische Anwaltspostfach?, Neue Juristische Wochenzeitschrift (NJW) 51/2015, S. 3692
  • Keine Angst vor dem beA, Hans-Georg Warken, Tobias Warken; Rubis & Hill, Riegelsberg 2017, ISBN 978-3-00-054919-9
  • Brosch, Lummel, Sandkühler, Freiheit, Elektronischer Rechtsverkehr mit dem beA: Eine Einführung, ISBN 978-3-472-08970-4
  • Jungbauer, Das besondere elektronische Anwaltspostfach (beA) und der ERV: Pflichten – Vorteile – Haftungsfallen, ISBN 978-3-8240-1484-2
  • Müller, eJustice-Praxishandbuch, 8. Aufl., Norderstedt, 2023, ISBN 978-3-7583-0708-9

Verwandte Themen

[Bearbeiten | Quelltext bearbeiten]

E-Justice ist der Oberbegriff für elektronisch abgewickelte Abläufe des Gerichtswesens. Teil davon ist der elektronische Rechtsverkehr.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. beA. Was ist das beA? In: bea.brak.de. 2015, archiviert vom Original am 1. November 2015; abgerufen am 9. November 2015.
  2. Bundesrechtsanwaltskammer ~ beA - Das besondere elektronische Anwaltspostfach. Abgerufen am 1. Januar 2022.
  3. Zehntes Gesetz zur Änderung des Bundesverfassungsgerichtsgesetzes - Einführung des elektronischen Rechtsverkehrs mit dem Bundesverfassungsgericht vom 12. April 2024 (BGBL 2024 I Nr. 121 vom 12.04.2024)
  4. EGVP - Rechtliche Grundlagen. Allgemeine rechtliche Grundlagen. In: egvp.de. 2015, abgerufen am 9. November 2015.
  5. BRAK-Positionen zur nationalen Rechtspolitik. Elektronischer Rechtsverkehr. In: www.brak.de. 2015, archiviert vom Original am 24. Juni 2013; abgerufen am 9. November 2015.
  6. Signatur und Signiervorgang. (PDF; 1,2 MB) Für Anwälte. In: brak-mitteilungen.de. August 2015, abgerufen am 10. November 2015.
  7. Fragen und Antworten. Werden Syndikusanwälte ein beA erhalten? Wie sieht es nach der geplanten Gesetztesänderung aus? Was ist bei der Bestellung der beA-Karte zu beachten? In: bea.brak.de. 2015, archiviert vom Original am 2. Dezember 2016; abgerufen am 12. Dezember 2016.
  8. § 130a Abs. 3 ZPO, § 32a Abs. 3 StPO, wobei jeweils Abs. 4 Ziff. 2 zur Definition dieses Weges neben De-Mail, nach Durchführung eines Identifizierungsverfahrens eingerichteten elektronische Postfächern vor allem das beA nennt
  9. Astrid Stadler: ZPO Kommentar. Hrsg.: Prof. Dr. Hans-Joachim Musielak und Prof. Dr. Wolfgang Voit. 16. Auflage. Franz Vahlen, 2019, ISBN 978-3-8006-5946-3, S. § 130a Rn. 6.
  10. a b c beA. Zeitplan nach ERV-Gesetz. In: bea.brak.de. 2015, archiviert vom Original (nicht mehr online verfügbar) am 5. November 2015; abgerufen am 1. November 2015.
  11. § 130d ZPO, § 32d Satz 2 StPO, auch in Bußgeldsachen nach § 110c OWiG
  12. a b Nach LTO-Interview: BRAK verteidigt beA-Ausschreibungen. In: lto.de. 29. April 2019, abgerufen am 18. September 2022.
  13. Bundesrechtsanwaltskammer ~ Presseerklärung 20/2015. In: brak.de. Archiviert vom Original (nicht mehr online verfügbar) am 27. November 2015; abgerufen am 26. November 2015.
  14. Presseerklärung der BRAK Nr. 7 v. 09.06.2016. 9. Juni 2016, archiviert vom Original (nicht mehr online verfügbar) am 16. September 2016; abgerufen am 4. September 2016.
  15. beA kommt später. BRAK verschiebt Starttermin für besonderes elektronisches Anwaltspostfach. In: bea.brak.de. 26. November 2015, archiviert vom Original (nicht mehr online verfügbar) am 1. Dezember 2015; abgerufen am 1. Dezember 2015.
  16. Besonderes elektronisches Anwaltspostfach: Endlich geht’s los! – beA. Archiviert vom Original (nicht mehr online verfügbar) am 29. November 2016; abgerufen am 28. November 2016.
  17. beA muss vorerst offline bleiben – Sicherheit und Datenschutz haben Priorität. Abgerufen am 28. Dezember 2017.
  18. beA Newsletter. Newsletter. In: bea.brak.de. 2018, abgerufen am 3. Juli 2018.
  19. Besonderes elektronisches Anwaltspostfach: Anmeldeseite mit Downloadlinks. Abgerufen am 11. August 2018.
  20. BRAK: Sondernewsletter v. 20.08.2018 zu beA. In: BRAK. BRAK, 20. August 2018, abgerufen am 26. August 2018.
  21. Neuer Dienstleister für das beA: Atos ist raus. In: lto.de. 2. September 2019, abgerufen am 18. September 2022.
  22. BRAK-Vergleich nach beAGate: Der letzte Deal mit Atos? In: lto.de. 11. Juli 2019, abgerufen am 18. September 2022.
  23. Zugang zu Ihrem beA. In: bea-brak.de. Abgerufen am 6. August 2022.
  24. beA kommt. (PDF; 409 kB) Ihr elektronisches Anwaltspostfach ab 2016. In: brak.de. 24. August 2015, archiviert vom Original (nicht mehr online verfügbar) am 12. Juli 2017; abgerufen am 9. November 2015.
  25. Löschhorn MMR 2018, 204 (205).
  26. Haftung der BRAK für beA-Pleite? 124.408.775 € - Rückzahlung und Schadensersatz nur Sturm im Wasserglas - RechtsTipp24. In: RechtsTipp24. 4. Januar 2018 (rechtstipp24.de [abgerufen am 2. September 2018]).
  27. B. beA-Karten, Chipkartenlesegeräte und Signaturkarten – beA. Archiviert vom Original (nicht mehr online verfügbar) am 12. Juli 2019; abgerufen am 12. Juli 2019.
  28. a b c d Zertifizierungsstelle Bundesnotarkammer. beA-Produkte der Zertifizierungsstelle. In: bea.bnotk.de. 2015, abgerufen am 10. November 2015.
  29. secunet: Technische Analyse und Konzeptprüfung des beA. Hrsg.: secunet. 20. Juni 2018 (brak.de [PDF; abgerufen am 20. Juni 2018]).
  30. Bundesrechtsanwaltskammer: BGH: Verschlüsselung im beA ist hinreichend sicher. Abgerufen am 26. August 2023 (deutsch).
  31. Heise meldet schwere Sicherheitspanne beim beA vom 22. Dezember 2017, abgerufen am 24. Dezember 2017
  32. BRAK nimmt beA über die Weihnachtsfeiertage wegen Wartungsarbeiten vom Netz (Memento vom 24. Dezember 2017 im Internet Archive) vom 23. Dezember 2017, abgerufen am 24. Dezember 2017
  33. Veröffentlichung der BRAK - beA muss vorerst offline bleiben (Memento des Originals vom 27. Dezember 2017 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/bea.brak.de vom 27. Dezember 2017, abgerufen am 27. Dezember 2017
  34. FAZ Einspruch, Alles was Recht ist - kein beA zum neuen Jahr vom 27. Dezember 2017, abgerufen am 28. Dezember 2017
  35. Spiegel Online, Chaos um beA - Die Postfach-Pleite vom 27. Dezember 2017, abgerufen am 28. Dezember 2017
  36. Hanno Böck: Talk von Markus Drenger auf dem 34C3 zum beA. 2. Januar 2018, abgerufen am 12. Januar 2018.
  37. Heise berichtet über ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch vom 13. Dezember 2017, abgerufen am 28. Dezember 2017
  38. Heise berichtet über den 34C3 - das beA als besondere Stümperei vom 28. Dezember 2017, abgerufen am 28. Dezember 2017
  39. Tagungsbericht IRIS 2016 -JurPC Web-Dok. 47/2016, Abs. 1 - 35, abgerufen am 28. Dezember 2017
  40. Der Präsident der Bundesrechtsanwaltskammer an die Landeskammern - Eine Stellungnahme vom 2. Januar 2018, abgerufen am 3. Januar 2018
  41. NJW bei Beck.de - Justizminister setzt Anwaltskammer wegen beA unter Druck vom 4. Januar 2018, abgerufen am 4. Januar 2018
  42. Max Mehl: Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist. Hrsg.: Free Software Foundation Europe. 11. Januar 2018 (fsfe.org [abgerufen am 13. Januar 2018]).
  43. Volker Weber: Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach. Hrsg.: Heise Online. 11. Januar 2018 (heise.de [abgerufen am 20. Januar 2018]).
  44. Joerg Heidrich: Elektronisches Anwaltspostfach wird zum Debakel. In: c't 3/2018. 19. Januar 2018, S. 44, abgerufen am 30. Januar 2018.
  45. Christian Scheininger, Martin Weigel: E-Justiz in der Sackgasse - Was wird aus dem besonderen elektronischen Anwaltspostfach? In: c't 6/2018. 2. März 2018, S. 154, abgerufen am 3. März 2018.
  46. LTO - beA-Krisensitzung jetzt ohne beA-Macher vom 24. Januar 2018, abgerufen am 27. Januar 2018
  47. Bundesrechtsanwaltskammer - Presseerklärung Nr. 4.2018 - Ergebnisse des beAthon und Hinweis, den Client sofort zu deinstallieren (Memento vom 27. Januar 2018 im Internet Archive) vom 26. Januar 2018, abgerufen am 27. Januar 2018
  48. Hanno Böck: Rechtsanwaltskammer rät Anwälten zur Deaktivierung ihrer Software. Hrsg.: Spiegel Online. 27. Januar 2018 (spiegel.de [abgerufen am 27. Januar 2018]).
  49. Volker Weber: Zur Sicherheit sollen Rechtsanwälte die beA Client Security deaktivieren. Hrsg.: Heise Online. 27. Januar 2018 (heise.de [abgerufen am 27. Januar 2018]).
  50. Jörn Erbguth: Es ist noch schlimmer. Aber es wird besser. Hrsg.: Legal Tribune Online. 28. Januar 2018 (lto.de [abgerufen am 28. Januar 2018]).
  51. Hanno Böck: So geht es mit dem Anwaltspostfach weiter. Hrsg.: golem.de. 29. Januar 2018 (golem.de [abgerufen am 29. Januar 2018]).
  52. Jörn Erbguth: beAthon - das Drama geht weiter. Hrsg.: jurpc.de. 29. Januar 2018 (jurpc.de [abgerufen am 30. Januar 2018]).
  53. a b secunet: Technische Analyse und Konzeptprüfung des beA. Hrsg.: secunet. 20. Juni 2018 (brak.de [PDF; abgerufen am 20. Juni 2018]).
  54. Bundesrechtsanwaltskammer: beA: Abschlussgutachten liegt vor. Hrsg.: BRAK. 20. Juni 2018 (brak.de [abgerufen am 5. November 2022]).
  55. beA: Anwaltspostfach verrät inaktive Nutzer zum Schaden für Mandanten - heise Online
  56. Michael Schinagl: „Können Sie es sich leisten, relevante Post zu verpassen?“ In: Berliner Anwaltsblatt, September 2015, S. 297–298.
  57. Berliner Anwaltsverein Gesamtausgabe September 2016 (Memento vom 7. Oktober 2016 im Internet Archive)
  58. Zedler, MDR 2015, 1163 ff., 1165
  59. Marcus Werner, Julius Oberste-Dommes: Keine Überwachungspflicht für beA ohne Erstregistrierung. In: Anwaltsblatt. Nr. 1 2016, 1. Januar 2016, S. 21–26 (WERNER Rechtsanwälte Informatiker [PDF; abgerufen am 8. Januar 2016]).
  60. Marcus Werner: Stellungnahme. Die BRAK darf das beA eines Rechtsanwalts ab dem 1. Januar 2016 nicht ohne dessen Erstregistrierung empfangsbereit schalten. In: WERNER Rechtsanwälte Informatiker. 15. Oktober 2015, archiviert vom Original am 22. Oktober 2015; abgerufen am 1. November 2015.
  61. Stellungnahme des DAV zum beA. In: Digitale Anwaltschaft. Archiviert vom Original (nicht mehr online verfügbar) am 15. Juni 2016; abgerufen am 15. Juni 2016.
  62. BRAK-Antrag. Aufforderung an die BRAK, es zu unterlassen das beA empfangsbereit einzurichten, wenn der Rechtsanwalt die Erstregistrierung nicht durchgeführt hat und das Identifizierungsverfahren nicht durchlaufen hat. In: WERNER Rechtsanwälte Informatiker. 20. November 2015, archiviert vom Original am 8. Dezember 2015; abgerufen am 26. November 2015.
  63. BRAK-Antwort. (PDF) BRAK weist in einem kurzen Schreiben das Unterlassungsbegehren zurück. In: WERNER Rechtsanwälte Informatiker. 27. November 2015, abgerufen am 8. Januar 2016.
  64. AGH-Eilantrag. (PDF) Eilantrag an den AGH Berlin gegen die BRAK, kein empfangsbereites beA einzurichten, ohne dass der Rechtsanwalt die Erstregistrierung durchlaufen hat. In: WERNER Rechtsanwälte Informatiker. 22. Dezember 2015, abgerufen am 8. Januar 2016.
  65. Presseerklärung Nr. 2. AGH-Verfahren zum besonderen elektronischen Anwaltspostfach: Hauptversammlung der BRAK beschließt Widerruf des Vergleichs. In: Pressemeldungsarchiv der Bundesrechtsanwaltskammer. 15. März 2016, archiviert vom Original (nicht mehr online verfügbar) am 25. Juni 2016; abgerufen am 25. Juni 2016.
  66. Beschluss des AGH Berlin. (PDF) Beschluss des Anwaltgerichtshofs Berlin vom 6. Juni 2016 – II AGH 16/15 –. In: WERNER Rechtsanwälte Informatiker. Abgerufen am 9. Mai 2016.
  67. Presseerklärung Nr. 7. AGH-Verfahren zum besonderen elektronischen Anwaltspostfach: Anwaltsgerichtshof Berlin gibt Anträgen der Antragsteller statt. In: Pressemeldungsarchiv der Bundesrechtsanwaltskammer. 9. Juni 2016, archiviert vom Original (nicht mehr online verfügbar) am 28. Juni 2016; abgerufen am 25. Juni 2016.
  68. Fragen und Antworten zum beA. In: BRAK/beA. Archiviert vom Original am 2. Dezember 2016; abgerufen am 3. Juli 2016.
  69. Siegmund NJW 2017, 3134 (3137).
  70. Löschhorn MMR 2018, 204 (206).
  71. Die Key Custodians können BeA-Nachrichten knacken. 27. Januar 2018, abgerufen am 7. Februar 2018.
  72. Verschlüsselungskonzept des beA. 17. Dezember 2016, archiviert vom Original am 21. Dezember 2016; abgerufen am 17. Dezember 2016.
  73. PDF der Verschlüsselungsstruktur. (PDF) 8. Juli 2015, abgerufen am 24. Januar 2018.
  74. beA - das neue Anwaltspostfach auf dem CCC Kongress. 28. Dezember 2017, abgerufen am 29. Dezember 2017.
  75. Das Anwaltspostfach beA ist nach Ansicht des BGH im Rechtssinne sicher. beA bleibt ohne Ende-zu-Ende-Verschlüsselung. haufe.de, 23. März 2021, abgerufen am 1. Januar 2022.
  76. https://justiz.de/laender-bund-europa/elektronische_kommunikation/index.php
  77. Browser oder Kanzleisoftware. 2016, archiviert vom Original (nicht mehr online verfügbar) am 31. Januar 2017; abgerufen am 12. Januar 2017.
  78. Aktuelles beA – besonderes elektronisches Anwaltspostfach. 2016, abgerufen am 12. Januar 2017.
  79. Arne Semsrott: Klage wegen beA: Rechtsanwaltskammer soll Software-Sicherheitstests herausgeben. Abgerufen am 2. Februar 2019.