BRAK-Mitteilungen 3/2021
gewählte Modell dem Stand der Technik entspricht, wo- von der Senat auf Grundlage des Secunet-Gutachtens ausgeht. Aus diesem Gutachten geht – von den Kl. un- widersprochen – hervor, dass ein HSM auch in weiteren sicherheitsrelevanten Bereichen üblich ist. Das Secunet- Gutachten hat insoweit darauf verwiesen, dass das von der Bekl. verwendete HSM auch im Bankenwesen An- wendung findet. In dem von den Kl. vorgelegten Schrei- ben der Bekl. v. 30.1.2018 an die Präsidenten der RAKn, in dem diese über den beAThon am 26.1.2018 berich- tet, ist davon die Rede, dass eine große Mehrheit der anwesenden IT-Experten anerkannt hätten, dass das HSM lndustriestandard darstelle und ein hohes Sicher- heitsniveau gewährleiste, sofern es entsprechende Ver- haltensregeln für den Betreiber der lnfrastruktur des beA gebe. Anhaltspunkte dafür, dass dem widerspre- chend die Verwendung des HSM veraltet und nicht oder nicht mehr dem Stand der Technik entspräche, beste- hen nicht. [84] Vor diesem Hintergrund teilt der Senat die Auffas- sung des AGH, dass die Einholung eines Sachverständi- gengutachtens zur Sicherheit des beA – auch unter Be- rücksichtigung des Amtsermittlungsgrundsatzes – nicht erforderlich ist. Mit dem Secunet-Gutachten liegt eine Begutachtung durch einen unabhängigen Experten vor, auf die sich im Übrigen beide Parteien im Rahmen die- ses Verfahrens mehrfach bezogen haben. Insbesondere haben auch die Kl. die Frage, unter welchen Vorausset- zungen unbefugte Dritte Kenntnis zuzustellender Doku- mente erlangen könnten, als durch das Secunet-Gut- achten geklärt angesehen, und sich – ebenso wie die Bekl. – ausdrücklich gegen eine von dem AGH zunächst beabsichtigte Einholung eines weiteren Sachverständi- gengutachtens gewandt. [85] (3) Das Erfordernis einer Ende-zu-Ende-Verschlüs- OSCI-Standard selung ohne Umschlüsse- lung der Schlüssel im HSM ergibt sich auch nicht da- raus, dass § 20 I RAVPV die Bekl. verpflichtet, die beson- deren elektronischen Anwaltspostfächer auf der Grund- lage des Protokollstandards „Online Services Computer Interface – OSCI“ oder einem künftig nach dem Stand der Technik an dessen Stelle tretenden Standard zu be- treiben. [86] Die besonderen elektronischen Anwaltspostfächer werden auf Grundlage des Protokollstandards OSCI i.S.d. Vorschrift betrieben. Eine Ende-zu-Ende-Verschlüs- selung ohne Umschlüsselung der Schlüssel im HSM er- fordert dies nicht. [87] (3.1) Der Verweis auf den Protokollstandard OSCI ist so zu verstehen, dass die für die Registrierung als Drittanwendung am OSCI-gestützten elektronischen Rechtsverkehr erforderlichen Voraussetzungen einzu- halten sind. [88] In der Begründung zu § 20 I RAVPV wird ausge- führt, dass der Betrieb auf der Grundlage des OSCI- Standards zur Gewährleistung einer sicheren Kommuni- kation mit Ende-zu-Ende-Verschlüsselung zu erfolgen hat. Etwaige technische Änderungen seitens der Justiz, aufgrund derer eine sichere elektronische Kommunika- tion der lnhaber besonderer elektronischer Anwalts- postfächer mit der Justiz nicht mehr jederzeit und voll- umfänglich gewährleistet sei, habe die BRAK nachzu- vollziehen (BR-Drs. 417/16, 35 f.). Auf diese sichere elektronische Kommunikation mit der Justiz bezieht sich auch der Verweis auf den OSCI-Standard. Denn hierfür bedarf es einer Einbindung des elektronischen Anwalts- postfachs in die lnfrastruktur des elektronischen Ge- richts- und Verwaltungspostfachs (EGVP). Das EGVP ist eine elektronische Kommunikationsinfrastruktur für die verschlüsselte Übertragung von Dokumenten und Ak- ten zwischen authentifizierten Teilnehmern. Dem EGVP liegt der OSCI-Standard zu Grunde. Drittprodukte wie das besondere elektronische Anwaltspostfach, die Sen- de- und Empfangskomponenten für die Teilnahme an der EGVP-Infrastruktur bereitstellen, müssen für die Teil- nahme am OSCI-gestützten elektronischen Rechtsver- kehr registriert werden. Dies setzt voraus, dass die für die Teilnahme von Drittanwendern am OSCI-gestützten elektronischen Rechtsverkehr erforderlichen Anforde- rungen, wie sie von der Arbeitsgruppe „IT-Standards in der Justiz“ erstellt wurden (abrufbar unter https://egvp. justiz.de/Drittprodukte/index.php; in der Version 1.1 vorgelegt als Anlage B 2), eingehalten werden. Dort heißt es unter 3.2. zu den Grundlagen des Protokoll- standards OSCI, dass OSCI-Transport-Nachrichten einen zweistufigen „Sicherheitscontainer“ hätten. Hier- durch sei es möglich, lnhalts- und Nutzungsdaten streng voneinander zu trennen und kryptografisch un- terschiedlich zu behandeln. lnhaltsdaten würden vom sog. Autor einer OSCI-Nachricht so verschlüsselt, dass nur der berechtigte Leser sie dechiffrieren könne. Es werde hier oft von dem „Prinzip des doppelten Um- schlags“ gesprochen: Die verschlüsselten lnhaltsdaten seien wiederum in einen verschlüsselten Container ein- gebettet. Als entscheidendes und für die Registrierung als Drittanwender unabdingbares Sicherheitsmerkmal wird demnach ein zweistufiger Sicherheitscontainer an- gesehen unter Trennung von lnhalts- und Nutzerdaten sowie ein durchgehender kryptografischer Schutz der lnhaltsdaten. Eine Ende-zu-Ende-Verschlüsselung in dem von den Kl. geforderten Sinne wird hierbei nicht vorge- geben. [89] Der Verweis in § 20 I RAVPV auf die Grundlagen des OSCI-Standards ist vor diesem Hintergrund als Ver- weis auf die in dem Anforderungsprofil für die Registrie- rung als Drittprodukt genannten Grundlagen zu sehen, insb. auch auf das als wesentliches Sicherheitsmerkmal angesehene „Container-Modell“. Er ist damit so zu ver- stehen, dass das besondere elektronische Anwaltspost- fach die Anforderungen einhalten muss, um seiner vor- gesehenen Verwendung entsprechend als Drittanwen- dung am OSCI-gestützten Rechtsverkehr registriert wer- den zu können, ohne dass es darauf ankommt, ob darü- ber hinaus jede für die Registrierung nicht geforderte technische Einzelheit der OSCI-Standards eingehalten ist. BERUFSRECHTLICHE RECHTSPRECHUNG BRAK-MITTEILUNGEN 3/2021 201
RkJQdWJsaXNoZXIy ODUyNDI0