beA-Dienstleister Atos erklärt Problem für gelöst: "Sicher­heit und Inte­grität sind wie­der­her­ge­s­tellt"

von Christian Dülpers

26.01.2018

Die Teilnahme am beAthon hat Atos abgesagt, stattdessen versendete der Dienstleister am Freitagmorgen vor der Veranstaltung eine irritierende Pressemitteilung. Die BRAK lehnt es derweil ab, die Verträge mit Atos offen zu legen.

"Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig" - mit diesem Fazit endet eine Pressemeldung, die der mit der Entwicklung des beA beauftragte Dienstleister Atos am Freitagmorgen veröffentlicht hat.

Atos bezieht sich in der Pressemeldung allerdings nur auf die Sicherheitslücke in der Kommunikation zwischen beA-Client und Browser: "Die Client-Anwendung erstellt bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet. Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht. Die Funktionstüchtigkeit und die Sicherheit der Lösung soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden." 

Zu den weiteren Sicherheitslücken, u.a. eine fehlende Ende-zu-Ende-Verschlüsselung oder veraltete Software-Komponenten, nimmt Atos keine Stellung. Die Teilnahme am sogenannten beAthon, bei dem die Bundesrechtsanwaltskammer (BRAK) am Freitag mit externen Experten über Lösungen der bekannt gewordenen Probleme sprechen möchte, hatte Atos kurzfristig abgesagt. Offensichtlich erachtet der Dienstleister die Veranstaltung nicht mehr für notwendig. Man habe der BRAK das Update geliefert. "Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen."

Gleichzeitig schiebt Atos die Verantwortung für eventuelle weitere Sicherheitsprobleme der Anwaltskammer zu: "Die Entscheidung über die erneute Inbetriebnahme des Systems liegt bei der BRAK. Die Rechte an dem Quellcode liegen ebenfalls bei der BRAK beziehungsweise bei den Herstellern der genutzten Standardsoftware-Komponenten."

BRAK lehnt IFG-Antrag ab: Verschwiegenheitsverpflichtung und Geschäftsgeheimnisse

Tags zuvor hatte die BRAK einen Antrag nach dem Informationsfreiheitsgesetz (IFG), die Verträge mit Atos offen zu legen, abgelehnt. Sie beruft sich dabei auf eine Verschwiegenheitsverpflichtung nach § 14 Abs. 3 der Vergabe- und Vertragsordnung für Leistungen (VOL/A). Danach seien "die Angebote des Verfahrens samt Anlagen auch nach Abschluss des Vergabeverfahrens vertraulich zu behandeln."

Die Vertragsinhalte stellten zudem "Betriebs- und Geschäftsgeheimnisse im Sinne von § 6 Satz 2 IFG dar." Atos habe "seinen Geheimhaltungswillen ausdrücklich geäußert, u.a. enthalten beide Verträge Verschwiegenheitsklauseln. [...] Wettbewerber, die ebenfalls Lösungen im Bereich des elektronischen Rechtsverkehrs anbieten oder zukünftig anbieten wollen, könnten diese Informationen bei deren Offenlegung für ihre Zwecke nutzen und Atos so wirtschaftlich erheblichen Schaden zufügen. Das beA ist ein sicheres, Ende-zu-Ende verschlüsseltes System, dessen Entwicklung und Betrieb exklusives Wissen von Atos enthält."

Im selben Schreiben betont die BRAK, dass im Rahmen eines Bewerbungsverfahrens mehrere Anbieter aufgerufen worden seien, ein Angebot zur Entwicklung des beA abzugeben, von denen schließlich Atos den Zuschlag bekommen habe.

"beA+": Community arbeitet an sicheren Alternativmodellen

Während die BRAK nicht müde wird, die fehlende Ende-zu-Ende-Verschlüsselung als aufgrund der gesetzlichen Anforderungen alternativlos darzustellen, arbeiten Freiwillige an ebensolchen Alternativen. Der Journalist und Hacker Hanno Böck skizziert im IT-Fachmagazin Golem, wie eine Vertreterfunktion mit Ende-zu-Ende-Verschlüsselung umsetzbar wäre. Der EDV-Gerichtstag veranstaltet im März ein Symposium zur konzeptionellen Weiterentwicklung des beA.

Und auch an anderer Stelle sorgt die Community für Transparenz, die die zuständigen Stellen vermeiden wollen: Auf dem Entwicklerportal Github hat der IT-Berater Enrico Weigelt ein Archiv der EGVP-Störungsmeldungen seit 2013 zur Verfügung gestellt. Mit ihnen können Rechtsanwälte, die durch eine Störung des Elektronischen Gerichts- und Verwaltungspostfach (EGVP) z.B eine Frist versäumt haben, einen Antrag auf Wiedereinsetzung untermauern. Auf der EGVP-Webseite selber sind nur die jeweils drei jüngsten Störungsmeldungen verfügbar.

Zitiervorschlag

Christian Dülpers, beA-Dienstleister Atos erklärt Problem für gelöst: "Sicherheit und Integrität sind wiederhergestellt" . In: Legal Tribune Online, 26.01.2018 , https://www.lto.de/persistent/a_id/26725/ (abgerufen am: 22.02.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 26.01.2018 15:03, RA

    "beA-Dienstleister Atos erklärt Problem für gelöst" - Na denne. Dann werde ich jetzt fleißig Nachrichten übers beA versenden :)

    Auf diesen Kommentar antworten
    • 26.01.2018 16:41, GM

      Hört sich sehr so an, als wäre Herr Pofalla jetzt bei Atos. ;-)

    • 26.01.2018 19:35, Erstaunlich

      Ich finde das klingt eher nach Dobrindt...
      Auch erstaunlich die Aussage der BRAK: "... Das beA ist ein sicheres, Ende-zu-Ende verschlüsseltes System". Wenn inzwischen eines klar ist, dann dass das beA kein Ende-zu-Ende verschlüsseltes System ist. Das mag so gewollt sein, aber die Aussage ist schlicht und einfach eine Lüge, denn auch die BRAK dürfte inzwischen kapiert haben, was technisch unter Ende-zu-Ende verstanden wird!

  • 26.01.2018 16:01, AB

    "Das beA ist ein sicheres, Ende-zu-Ende verschlüsseltes System, dessen Entwicklung und Betrieb exklusives Wissen von Atos enthält.

    [...]

    Während die BRAK nicht müde wird, die fehlende Ende-zu-Ende-Verschlüsselung als aufgrund der gesetzlichen Anforderungen alternativlos darzustellen,"

    Fällt denen nicht auf, dass nicht beides stimmen kann?

    Auf diesen Kommentar antworten
    • 26.01.2018 16:43, GM

      Ich befürchte eher, dass sie es immer noch nicht begriffen haben.

  • 26.01.2018 16:23, Informatiker

    Ist die fehlende Ende-zu-Ende-Verschlüsselung eigentlich ein Bug oder ein Feature damit Ermittlungsbehörden Zugriff auf die dann eben nicht ganz so verschlüsselten Nachrichten erlangen können?

    Auf diesen Kommentar antworten
    • 26.01.2018 16:51, Anwalt mit Blick über den Tellerrand

      Meine These: Das HSM ist in die Entwicklung gekommen, weil BMJV und BMI besonders schnell und besonders einfach an die Kommunikation der Rechtsanwälte ran wollten. Was nützt ein richterlicher Beschluss, wenn die RAe eine echte Ende-zu-Ende-Verschlüsselung nutzen? Mit so einem HSM kann jeder, der bei der BRAK oder bei Atos sitzt mal schauen, was so geschrieben wird.....

  • 26.01.2018 16:39, martin

    Na ja, wenn De-Mail per Gesetzesdefinition sicher ist, warum dann nicht das beA per Presseerklärung des Herstellers?

    P.S. Hat Atos eigentlich eine US Niederlassung?

    Auf diesen Kommentar antworten
  • 26.01.2018 16:52, bergischer löwe

    hierzu
    - golem.de:
    https://www.golem.de/news/anwaltspostfach-die-unnoetige-ende-zu-mitte-verschluesselung-von-bea-1801-132394.html
    - heise.de:
    https://www.heise.de/newsticker/meldung/Besonderes-elektronisches-Anwaltspostfach-Atos-haelt-die-eigene-Loesung-fuer-sicher-3951936.html

    Auf diesen Kommentar antworten
  • 26.01.2018 17:26, Anwalt Wachsam

    Mich überzeugt von denen kein Wort.
    Und ich sehe mich darin vollkommen bestätigt durch meinen Kanzlei-EDV-Fachmann.

    Fazit:
    Wer diesen Leuten vertraut, ist selber schuld.
    "beA" ist und bleibt TOT - gottseidank.

    Auf diesen Kommentar antworten
  • 26.01.2018 18:13, Peter

    Kennt jemand einen Verweis auf weitere Lösungen des beA-Problems, die eine echte Ende-zu-Ende-Verschlüsselung implementieren würden? M.E. ist das Kernproblem, dass viele Kanzleien nicht nach außen offenlegen möchten, dass beispielsweise auch das Sekretariat mitlesen kann. Bei einer "echten" Ende-zu-Ende-Lösung wie sie Hanno Böck skizziert hat, müsste aber die Nachricht mit den öffentlichen Schlüsseln aller Empfänger verschlüsselt werden (auch der Sekretärin), so dass der Absender erkennen kann, wer alles die Nachricht entschlüsseln kann.

    Natürlich wäre das die "kunstgerechte" Lösung. Und natürlich ist es richtig, dass der Absender wissen sollte, wer alles die verschlüsselte Nachricht entschlüsseln kann. Nach meiner Erfahrung entspricht dies aber nicht einer Lösung, die viele Kanzleien haben möchten. Die "Binnenorganisation" soll häufig nicht offengelegt werden.

    Ich bin gespannt, wie/ob dieser Konflikt gelöst wird.

    Auf diesen Kommentar antworten
    • 26.01.2018 20:16, beA game over blues

      Dieses "Problem" wird niemals "gelöst", Peter.
      Das muss es freilich auch nicht.
      "beA" ist nämlich TOT - gottseidank !
      Ob Sie's glauben wollen oder nicht.

    • 27.01.2018 17:42, Bürger

      Das eine Ende der Ende-zu-Ende-Verschlüsselung ist nicht der RA höchstpersönlich, sondern seine Kanzlei.

      Somit liegt es in der Natur der Sache dass das Sekretariat die Nachrichten lesen kann. Mit dem Unterschied dass es allein in der Macht des RA's steht, wer das konkret ist, und wann. Und nicht von externen Stellen entschieden wird.

  • 26.01.2018 18:48, RA Zieschang

    obige These gefällt mir - wobei sich die Vertreter in der BRAK über das Problem bewusst sein müssen... :-)
    "Meine These: Das HSM ist in die Entwicklung gekommen, weil BMJV und BMI besonders schnell und besonders einfach an die Kommunikation der Rechtsanwälte ran wollten. Was nützt ein richterlicher Beschluss, wenn die RAe eine echte Ende-zu-Ende-Verschlüsselung nutzen? Mit so einem HSM kann jeder, der bei der BRAK oder bei Atos sitzt mal schauen, was so geschrieben wird....."

    Auf diesen Kommentar antworten
  • 26.01.2018 19:21, Namtar

    Na, ihr Anwälte lasst euch ja einiges gefallen! Zahlt Beiträge für eine Kommunikationseinrichtung, die aus mehreren Gründen unsicher ist und darüberhinaus ohnehin offline! Und was ist eigentlich mit dem Datenschutz, ab Mai/Juni 18, ihr seid doch sogar zur Nutzung verpflichtet (zumindest passiv), im Gegensatz zu den Justizbehörden?

    Auf diesen Kommentar antworten
  • 26.01.2018 19:27, Hans Schmitt

    Ein Problem ist m. E. auch, dass komplexe rechtliche Zusammenhänge sich nicht mit beA so abbilden lassen, wie erforderlich. Es gibt eine Diskrepanz zwischen "Wer hat das Mandant" (Kanzlei oder einzelner Anwalt), "an wen muss zugestellt werden, damit die Zustellung wirksam ist?" (Problemfeld: Anwalts GmbHs - immerhin 760 in Deutschland, Problem PartG, Problem PartG mbB) etc., Eingangsbestätigung ist nicht Empfangsbekenntnis (das nach wie vor willentlich abgegeben wird), die Tatsache, dass das Recht, nicht mit qualifizierter elektronischer Signatur signierte Schriftsätze aus dem eigenen Postfach (Anwalt 1) nicht an andere Personen (Mitarbeiter oder z. B. Anwalt 2) übertragen werden kann weil dann der VHN fehlt etc. Meine Überzeugung: NUR wenn ITler die gesetzlichen Vorgaben alle kennen, können sie technisch ein beA erschaffen, dass auch vor Haftungsfallen weitgehend schützt. Und leider hat der Gesetzgeber die Dinge so komplex geregelt (Unterscheidung OSCI-Briefkasten von sicherem Übermittlungsweg als zulässige Übertragungswege in der ERVV, in § 130a Abs. 3 ZPO davon aber kein Wort, sondern 2 Alternativen zur wirksamen Einreichung (mit und ohne qeS; wobei RA selbst senden muss aus SEINEM Postfach, wenn er mit SEINER einfachen elektronischen Signatur unterwegs ist); kein Gleichlauf im BGB mit ZPO (Schriftsatzkündigung für Arbeitsrechtler elektronisch NICHT mehr möglich) etc. dann den Irrsinn mit § 130d ZPO (sorry, aber ist doch wahr), dass 16 Bundesländer drei verschiedene Starttermine (1.1.2020, 1.1.2021 oder 1.1.2022) für die elektronische Einreichepflicht haben können (Opt-In-Klausel), das ganze aber für 8 angesprochene Rechtsgebiete unterschiedlich regeln können, dass selbst Anwälte irgendwann aussteigen und sagen: dann fax ich halt solang es geht. WER denkt sich sowas aus?

    Auf diesen Kommentar antworten
    • 26.01.2018 19:57, Jaja, die Dinge sind Komplex...

      und das beA ist doch ein wunderbares Beispiel dafür, wie sich beim Thema "Digitalisierung" manche Dinge (elektronisches Anwaltspostfach) zunächst so einfach und praktisch anhören, sich dann aber eine Komplexität entfaltet, die kaum noch beherrschbar erscheint...

    • 26.01.2018 23:25, Tilman Winkler

      Das ist der Kern des Problems: komplett fragmentierter Unsinn in den Gesetzen...

    • 27.01.2018 00:02, Alice im Flunderland

      Wer sich so was ausdenkt? Prädikatsjuristen ....

  • 26.01.2018 19:52, Kirche im Dorf?

    Auch wenn Atos offensichtlich nichts im Griff hat und unfassbare Fehler gemacht hat bzgl. Zertifikate/veraltete Softwarekomponenten usw. - eines muss man doch mal klar sagen:
    Beim beA müssen verschiedene Aspekte unter einen Hut gebracht werden. Der reine Sicherheitsaspekt ist ein Ding, die Handhabbarkeit und das anwaltliche Berufsrecht sind aber auch ein Thema - mindestens gleichwertig. Und ich sehe tatsächlich nicht, wie das beA anders als mit einem HSM hätte konstruiert werden sollen. Die Lösung, die auf golem von Hanno Böck vorgeschlagen wird ist jedenfalls mit dem Berufsrecht nicht ein Einklang zu bringen. Das Offenlegen des internen Verteilers bzw. von Weiterleitungseinstellungen des Anwalts für den Absender einer Nachricht geht garnicht.
    Darüber, wie sicher das HSM ist, gibt es bislang nur wilde Spekulationen. Ich halte es durchaus für denkbar, dass es so eine Lösung gibt, die AUSREICHEND sicher ist, um die Anforderungen iS Datenschutz und Verschwiegenheitspflicht zu erfüllen. Immerhin jagen wir die Kommunikation jetzt per E-Mail/Fax durch die Gegend!

    Auf diesen Kommentar antworten
    • 26.01.2018 23:28, Tilman Winkler

      Richtig: Wir versenden allen Ernstes Faxe. Ein ordentlich programmiertes beA und GEPRÜFTE und als sicher befundene HSMe sind ein praktikabler Weg. Die Offenlegung der Binnenstruktur von Kanzleien kann nicht des Rätsels Lösung sein. Ganz von deren Schwankungen und Änderungen abgesehen. Ergänzend fehlt allerdings eindeutig ein Kanzleipostfach und sollte der sichere Übertragungsweg weg. Wer ihn behalten möchte, muss ihm auch materiell-rechtlich Geltung verschaffen.

  • 26.01.2018 20:23, Ano Nym

    Wie kommen die Bedarfsträger an die Nachrichten, wenn die von Herrn Boeck vorgeschlagene Ende-zu-Ende-Verschlüsselung umgesetzt würde? Es kann doch nicht sein, dass jedesmal mit oder ohne gerichtlichen Beschluss Kanzleien durchsucht werden.

    Beim derzeitigen beA hingegen ist gewährleistet, dass der beA-Ober-Administrator eine im Postfach lagernde Nachricht einfach auf den Bedarfsträger umschlüsselt. Und niemand bekommt es mit. Ich würde das als nicht verbesserungsfähig sicher bezeichnen.

    Auf diesen Kommentar antworten
  • 26.01.2018 22:28, Mitch McDeere

    Breaking news! :-)

    http://www.golem.de/news/bundesrechtsanwaltskammer-anwaelte-sollen-bea-sofort-deinstallieren-1801-132421.html

    Auf diesen Kommentar antworten
  • 26.01.2018 23:56, https://www.golem.de/news/bundesrechtsanwaltskammer-anwaelte-sollen-bea-sofort-deinstallieren-1801-132421.html

    Bea sofort deaktivieren und deinstallieren.

    Auf diesen Kommentar antworten
  • 27.01.2018 09:30, H.Stocker

    Weiß jemand ob die Laufzeit des EGVP jetzt verlängert wird oder bleibT es beim 13.2.? Das wäre dann zurück in die Steinzeit!

    Auf diesen Kommentar antworten
    • 27.01.2018 10:04, IT-Futzy

      EGVP läuft auch weiter, nur der Client ist abgekündigt. Wird aber wohl noch bis Mai unterstützt seitens EGVP, wenn man den Meldungen Glauben schenken darf. Ein Umstieg auf Governikus Justiz kann aber nicht verkehrt sein, da dieser zum einen voll kompatibel mit bestehenden Postfächern ist und zum anderen aktiv weiter entwickelt wird.

  • 27.01.2018 09:37, FinalJustice

    beA und BER klingt ja auch irgendwie gleich.

    Auf diesen Kommentar antworten
  • 27.01.2018 12:04, Game over !

    Das ist der Supergau:
    https://www.golem.de/news/bundesrechtsanwaltskammer-anwaelte-sollen-bea-sofort-deinstallieren-1801-132421.amp.html?__twitter_impression=true

    Auf diesen Kommentar antworten
    • 27.01.2018 13:11, Unfassbar

      Interessant ist ja wieder, dass weder die BRAK noch die örtliche RAK mal auf die Idee kommt, seine Mitglieder schnellstmöglich per E-Mail darüber zu informieren. Das darf man als Betroffener dann zufällig auf Spiegel.de oder golem.de nachlesen.

  • 27.01.2018 13:52, verzweifelter und fremdschämender Anwalt

    Es macht doch keinen Sinn... Wir sollten BEA begraben und ein neues System bauen lassen, als Namen schlage ich KAKSchS vor (Kanzlei & Anwalts Kommunikations Schnittstellen Software)

    Diese sollte folgende Kriterien erfüllen:

    1. Ein Kanzleipostfach.
    Das letzte Mal als ich geschaut habe, hatte Linklaters keine 500 Briefkästen an der Wand. Auch hat die Staatsanwaltschaft und das Landgericht je EINE EGVP Adresse. Aus welchem Grund muss jeder Anwalt ein eigenes Postfach haben? Wir haften ohnehin für alles und sind für die interne Sicherheit selbst verantwortlich, das kann und muss auch so bleiben. Dann erübrigt sich auch das Weiterleitungs und Urlaubsvertretungsproblem komplett und der einzige Grund für diesen unsäglich HSM hat sich erledigt – daher

    2. Eine echte Ende zu ende Verschlüsselung
    Vorteile: Wirklich sicher, Atos ist raus (wie kann es sein, dass sämtlicher Verkehr aller Anwälte der Republik über einen Server einer Privatfirma geht?), der Adress Server kann auch bei der BRAK oder den jeweiligen regionalen RAKS stehen, es ist ohne den Bottleneck des HSM unendlich und einfach skalierbar.

    3. Kein Java
    Java ist schrott – per se – egal wie aktuell.

    4. Kein Webclient
    Ein Einfallstor und Bottleneck weniger.

    Auf diesen Kommentar antworten
    • 28.01.2018 16:04, RA Heyland

      Ihr Lösungsansatz gefällt mir. Er ist sachlich und so gestaltbar, dass man als Betroffener nicht wegen Berufsrecht und Datenschutz ständig Angst haben muss. Allerdings verkennt er, dass es den Erfindern des beA nie um etwas anderes als den Eigennutz ging, der bekanntlich ausschließt, etwas zum Nutzen des betroffenen Anwaltes oder Mandanten zu machen. Das ist jetzt eindeutig durchgehend erkennbar und das größte Hindernis für eine sachgerechte Lösung.

  • 27.01.2018 14:31, Rechtsanwalt Gunther Marko

    "Bullshit made in Germany":
    http://www.youtube.com/watch?v=p56aVppK2W4&feature=youtu.be

    Auf diesen Kommentar antworten
  • 27.01.2018 18:15, Enrico Weigelt,+metux+IT+consult

    Nicht nur das fehlende e2e, sondern auch der Ansatz als Web-Anwendung macht das leicht abhörbar.

    https://foss-erv.blogspot.de/2018/01/bea-quellen-tku-leicht-gemacht.html

    Auf diesen Kommentar antworten
  • 27.01.2018 18:29, Enrico Weigelt,+metux+IT+consult

    > 26.01.2018 18:13, Peter
    > Kennt jemand einen Verweis auf weitere Lösungen des beA-Problems, die eine
    > echte Ende-zu-Ende-Verschlüsselung implementieren würden?
    > M.E. ist das Kernproblem, dass viele Kanzleien nicht nach außen offenlegen
    > möchten, dass beispielsweise auch das Sekretariat mitlesen kann.

    Ein Fertigprodukt kann ich grad nicht nennen (hab nur mal inhouse-Lösungen für Kunden gebaut), aber das Grundprinzip ist recht einfach:

    Man muß ja im Verzeichnis nicht erfassen, wem die Schlüssel gehören. Und man nehme auch nicht die offiziellen Signatur-Keys, sondern (beim Anwalt) selbst erzeugte, die auch regelmäßig getauscht werden - das verhindert auch, das mittels Fingerprinting/Vergleich wieder zusammen zu führen. Wer mag kann seine Kanzlei dann auch etwas "größer" erscheinen lassen, in dem er ein paar mehr Keys einträgt als da wirklich Leute sind. Bei der Gelegenheit kann man ja noch extra backup keys (im Tresor gut aufbewahrt) dazu packen, falls mal die Karte kaputt ist.

    Auf diesen Kommentar antworten
  • 27.01.2018 18:30, Enrico Weigelt,+metux+IT+consult

    https://foss-erv.blogspot.de/2018/01/bea-quellen-tku-leicht-gemacht.html

    Auf diesen Kommentar antworten
  • 27.01.2018 18:40, Enrico Weigelt,+metux+IT+consult

    > 26.01.2018 19:27, Hans Schmitt
    > Es gibt eine Diskrepanz zwischen "Wer hat das Mandant" (Kanzlei oder
    > einzelner Anwalt), "an wen muss zugestellt werden, damit die Zustellung
    > wirksam ist?" (Problemfeld: Anwalts GmbHs - immerhin 760 in Deutschland,
    > Problem PartG, Problem PartG mbB) etc., Eingangsbestätigung ist nicht
    > Empfangsbekenntnis (das nach wie vor willentlich abgegeben wird),

    Man muß eben Postfach und Leseberechtigung (an wen wird verschlüsselt) sauber trennen.

    Im Verzeichnis sollten dann sowohl die Kanzleien als auch die Einzelanwälte separat stehen - der Sender muß eben entscheiden, an wen es gehen soll (ist ja jetzt auch schon so). Und zu diesen gibt es dann jeweils eine Reihe von Leser-Schlüsseln (die hier nicht konkret zu Leuten zugeordnet sind).

    > die Tatsache, dass das Recht, nicht mit qualifizierter elektronischer Signatur
    > signierte Schriftsätze aus dem eigenen Postfach (Anwalt 1) nicht an andere
    > Personen (Mitarbeiter oder z. B. Anwalt 2) übertragen werden kann weil dann
    > der VHN fehlt etc.

    Bitte mal für die nicht-Juristen: was ist ein VHN ? Warum dürfen nicht-signierte Schriftsätze nicht an andere (signierte aber schon) gehen ?

    Wir können ja gern die Anwendungsfälle mal dediziert durchgehen.
    (gern auch telefonisch: +49-151-27565287)

    Auf diesen Kommentar antworten
    • 30.01.2018 13:25, Hans Schmitt

      Anwälte arbeiten mit Empfangsbekenntnissen, § 174 ZPO, Zustellung von Anwalt zu Anwalt gem. § 14 BORA seit 1.1.2018 rechtlich wieder möglich und auch via beA dann zulässig (genauso wie per Fax) und Mitarbeiter können keine Kenntnisnahme von Zustellungen z. B. von Urteilen, gegn. Schriftsätzen etc. wirksam rechtlich bestätigen; hier ist also zu unterscheiden. Mitarbeiter macht Post auf (entnimmt sie sozusagen dem Kuvert) - legt es dem Anwalt vor (ausgedruckt, in die E-Akte gespeichert wie auch immer) und Anwalt bestätigt - ggf. auch mehrere Tage nach Posteingang - die Kenntnisnahme. Dieses Datum lässt die Fristen laufen, nicht der Posteingang (so schon seit Jahrzehnten so, bleibt auch im beA bzw. digital erhalten). Länger wie eine Woche darf ein RA aber ohne Vertreterbestellung nicht verhindert/abwesend sein, § 53 BRAO. Sonst ggf. Zustellungsfiktion bei "bewußtem-sich-Verschließen"-vor der Kenntnisnahme laut BVerfG (2009).
      VHN ist ein vertraulicher Herkunftsnachweis
      Gem. § 23 Abs. 3 Satz 5 RAVPV:
      "Das Recht, nicht-qualifiziert elektronisch signierte Dokumente auf einem sicheren Übermittlungsweg zu versenden, kann er jedoch nicht auf andere Personen übertragen." Dieser Satz ist erst am 1.1.2018 in § 23 RAVPV in Kraft getreten. In Verbindung mit § 130a Abs. 3 2. Alt. ZPO in der seit 1.1.2018 geltenden Fassung heißt das: Will man als RA ohne qualifizierte elektronische Signatur einen Schriftsatz elektronisch einreichen, muss das elektronische Dokument (was da ist regelt die ERVV - gibt es seit 1.1.2018) von der verantwortenden Person (dem RA) signiert sein (damit ist die einfache elektronische Signatur gemeint, siehe eIDAS-VO; Signaturgesetz wurde ja 29.7.2017 abgeschafft), aus seinem auf ihn lautenden sicheren Übermittlungsweg selbst senden. Nimmt man also beA (De-Mail ginge ja auch), muss man als RA mit seiner beA-Karte (Basis ausreichend) im beA-System angemeldet sein und selber den Senden-Button klicken. Ein Kollege könnte im Vertretungsfall daher aus dem Postfach des Vertretenen NIE ohne qualifizierte elektronische Signatur versenden, da nur die Kombi (RA sendet selbst mit seiner einfachen elektronischen Signatur aus seinem sicheren Übermittlungsweg) rechtlich zulässig wäre. Dass dann bei Fehlern des Anwalts (z. B. falscher Name eingetippt unter dem Schriftsatz) der Anwalt haftet und keine Wiedereinsetzung kriegt, ist klar. Die so einfache Übersendung ist daher haftungsträchtig. Viele RA bevorzugen daher die Unterschriftsleistung mittels qualifizierter elektronischer Signatur, da sie dann - wie gehabt die letzten Jahrzehnte - eine Menge an Arbeit an die Mitarbeiter delegieren dürfen, das bei Fehlern des richtig angewiesenen, geschulten und zuverlässigen Mitarbeiters dazu führt, dass man den Fehler reparieren kann (Wiedereinsetzungsantrag). Auch die zwingend erforderliche Signaturprüfung kann dann der Mitarbeiter machen. Der BGH hat sich schon 2015 Gedanken darüber gemacht, ob und wann er Wiedereinsetzung geben will, wenn im beA was schiefgeht. Lesenswert: NJW 2015, Septemberausgabe - Seitenzahl grad nicht hier, dritte Woche im September oder so, Aufsatz von Dr. Bacher.

  • 27.01.2018 19:04, Enrico Weigelt,+metux+IT+consult

    > 26.01.2018 19:52, Kirche im Dorf?

    > Und ich sehe tatsächlich nicht, wie das beA anders als mit einem HSM hätte
    > konstruiert werden sollen.

    Hatte ich doch schon oft genug erklärt, wie man das macht. Kann ich nicht alles nochmal wiederholen.

    > Die Lösung, die auf golem von Hanno Böck vorgeschlagen wird ist jedenfalls mit
    > dem Berufsrecht nicht ein Einklang zu bringen. Das Offenlegen des internen
    > Verteilers bzw. von Weiterleitungseinstellungen des Anwalts für den Absender
    > einer Nachricht geht garnicht.

    Das war ja auch nur eine grobe Vereinfachung. Selbstverständlich wird man dort nicht die offiziellen Pubkeys der einzelnen Leute (die auch zur Signatur dienen) dort hinterlegen, sondern separate, regelmäßig neu generierte - ohne dabei irgendwelche Namen zu nennen. Alles was man dann rauslesen kann, ist daß es X verschiedene Lese-Schlüssel gibt - wer genau die dann hat, bleibt unbekannt. Das kann der Anwalt dann selbst steuern.

    Nochmal: ein Key ist eben *NICHT* so eine Art "digitaler Ausweis".

    > Darüber, wie sicher das HSM ist, gibt es bislang nur wilde Spekulationen.

    Ja, uA. von BRAK und ATOS. Die haben bisher nichts offen gelegt, was auch nur annähernd zur Glaubwürdigkeit beiträgt. Nur nicht prüfbare Werbeversprechen. das ist aktuell reine *GLAUBENSFRAGE*.

    Und angesichts daß die da so ein riesen Geheimnis draus machen und uns das nicht prüfen lassen wollen, müssen wir davon ausgehen, daß da noch viel mehr Probleme lauern.

    Übrigends wurde kürzlich erst live demonstriert, wie man die HSMs der EC-Terminals und damit das gesamte EC-System knackt - das ist aktuell weitestgehend irreparabel (es braucht komplett neue EC-Terminals). Also auch ein Totalschaden.

    Auf diesen Kommentar antworten
  • 27.01.2018 19:08, Enrico Weigelt,+metux+IT+consult

    > Beim derzeitigen beA hingegen ist gewährleistet, dass der beA-Ober-
    > Administrator eine im Postfach lagernde Nachricht einfach auf den Bedarfsträger
    > umschlüsselt. Und niemand bekommt es mit. Ich würde das als nicht
    > verbesserungsfähig sicher bezeichnen.

    Ein kleiner 0815-Administrator kann auch (ggf. zielspezifisch) anderen Javascript-Code einschleusen und damit bereits entschlüsselte Nachrichten abgreifen. Völlig unbemerkt. Das läßt sich bei Web-Anwendungen grundsätzlich nicht vermeiden.

    Das reicht schon aus, um das beA als Totalschaden zu bezeichnen.

    https://foss-erv.blogspot.de/2018/01/bea-quellen-tku-leicht-gemacht.html

    Auf diesen Kommentar antworten
  • 27.01.2018 19:13, Enrico Weigelt,+metux+IT+consult

    > 27.01.2018 13:52, verzweifelter und fremdschämender Anwalt
    > Es macht doch keinen Sinn... Wir sollten BEA begraben und ein neues System
    > bauen lassen, als Namen schlage ich KAKSchS vor (Kanzlei & Anwalts
    > Kommunikations Schnittstellen Software)

    Richtig. beA ist ein Totalschaden.

    > 1. Ein Kanzleipostfach.
    > Das letzte Mal als ich geschaut habe, hatte Linklaters keine 500 Briefkästen an
    > der Wand.

    Naja, wäre eine denkbare Betriebsart. Das scheint mir aber nicht mit dem Konzept des individuellen Berufsträgers zu passen.

    Ich würde lieber eine Lösung wählen, wo das jeder Anwalt / jede Kanzlei selbst entscheiden kann. Ist auch nicht schwer - die Grundlage hatte ich ja schon skizziert.

    > 4. Kein Webclient
    > Ein Einfallstor und Bottleneck weniger.

    Entscheidender Punkt. Bei Web-Anwendungen kann der Betreiber immer mitlesen: er hat jederzeitige volle Kontrolle über die Anwendung.

    Auf diesen Kommentar antworten
  • 27.01.2018 19:41, Rainer Breitrück,+Rechtsanwalt

    Gibt es eigentlich "meine" Rechtsanwaltskammer Düsseldorf noch ? Seit einem Monat kocht der Pott wegen beA und man hört von der RAK DDorf....richtig: Nix. Haben die einen Maulkorb bekommen ? Oder schreiben die gerade die Bescheide für die Sonderumlage ? Ich hätte eigentlich erwartet, dass meine "Interessenvertretung" Stellung bezieht. Aber vielleicht arbeiten die noch das Desaster um den verlorenen Kündigungsschutzprozess bezüglich der Hauptgeschäftsführerin auf.

    Auf diesen Kommentar antworten
    • 28.01.2018 16:20, RA Heyland

      Was in Düsseldorf läuft, weiss ich nicht. Aber andere Kammern versenden zur Zeit die Beitragsbescheide 2018 mit der beA-Umlage. Es wird deshalb Zeit, seiner Kammer mitzuteilen, dass sie als Erfüllungsgehilfe mit der Umlage eine nicht erbrachte und auf absehbare Zeit auch nicht erbringbare Leistung der von ihr kontrollierten BRAK abrechnet, die damit auch nach ihrem Verständnis im Verzug ist. Also muss die Kammer zweifelsfrei nachweisen, dass das Leistungshindernis nicht mehr besteht, wenn sie das Geld wirklich will und bis zur Klärung dieses Problems samt dem dazugehörigen individuellen SE-Anspruch wird der Umlageanteil dann eben auf Kosten der abrechnenden Kammer gerichtlich hinterlegt. Wenn das viele Kollegen machen, beflügelt das die Phantasie des von der Umlage finanzierten BRAK-Geschäftsbereichs zur Realisierung einer echten Problemlösung. Die bedingte Hinterlegung ist an sich ein ausreichender Schutz vor Beitreibungen.

  • 27.01.2018 21:26, Reisender am BER

    Ich steh im Regen und warte auf Dich ...

    Auf diesen Kommentar antworten
  • 28.01.2018 23:53, Enrico Weigelt,+metux+IT+consult

    > 26.01.2018 16:41, GM
    > Hört sich sehr so an, als wäre Herr Pofalla jetzt bei Atos. ;-)

    Würde auch HP Uhl passen.

    Auf diesen Kommentar antworten
  • 30.01.2018 23:26, Enrico Weigelt,+metux+IT+consult

    > 30.01.2018 13:25, Hans Schmitt
    > Anwälte arbeiten mit Empfangsbekenntnissen, § 174 ZPO, Zustellung von
    > Anwalt zu Anwalt gem. § 14 BORA seit 1.1.2018 rechtlich wieder möglich und
    > auch via beA dann zulässig (genauso wie per Fax) und Mitarbeiter können
    > keine Kenntnisnahme von Zustellungen z. B. von Urteilen, gegn. Schriftsätzen
    > etc. wirksam rechtlich bestätigen; hier ist also zu unterscheiden. Mitarbeiter
    > macht Post auf (entnimmt sie sozusagen dem Kuvert) - legt es dem Anwalt vor
    > (ausgedruckt, in die E-Akte gespeichert wie auch immer) und Anwalt bestätigt -
    > ggf. auch mehrere Tage nach Posteingang - die Kenntnisnahme. Dieses Datum
    > lässt die Fristen laufen, nicht der Posteingang (so schon seit Jahrzehnten so,
    > bleibt auch im beA bzw. digital erhalten).

    Aha, damit sinken sogar die Anforderungen an die Infrastruktur. Diese muß dann also nicht mehr zwingend den Zugang beweisen, sondern lediglich Probleme möglichst gut feststellen. Ergo: sauber loggen, Fälschungen der Logs unterbinden und selbige den Beteiligten zur Verfügung stellen. Da reicht ja schon klassisches SMTP aus.

    > Länger wie eine Woche darf ein RA aber ohne Vertreterbestellung nicht
    > verhindert/abwesend sein, § 53 BRAO. Sonst ggf. Zustellungsfiktion bei
    > "bewußtem-sich-Verschließen"-vor der Kenntnisnahme laut BVerfG (2009).

    Das ließe sich ja anhand normaler Logfiles (IMAP) prüfen. Sinnvollerweise könnte man da auch automatisch einen Alarm triggern und nachfragen was los ist, wenn zu lang keine Mails abgerufen werden.

    > VHN ist ein vertraulicher Herkunftsnachweis

    Aha. Das offizielle Vokabular ist wohl "vertrauenswürdigen Herkunftsnachweis" (bei "vertraulicher Herkunftsnachweis" findet man eher Dinge zu Geburtsregistern :o) Also eine Signatur für die gesamte Mail, statt einzelne Ahnänge (zB. Schriftsätze). War das eigentlich mit "Container-Signatur" gemeint ?

    https://www.it.niedersachsen.de/download/125756

    Ist allerdings ziemlich ungünstig, wenn einzelne Schriftsätze (statt die gesamte Mail als Ganzes) weiter geleitet werden - zB. bei Zustellung an die Gegenpartei.

    > Gem. § 23 Abs. 3 Satz 5 RAVPV:
    > "Das Recht, nicht-qualifiziert elektronisch signierte Dokumente auf einem
    > sicheren Übermittlungsweg zu versenden, kann er jedoch nicht auf andere
    > Personen übertragen."

    Logisch, wenn nur die Mail als Ganzes signiert wird. Ergibt aber nur Sinn, wenn diese nur vom Anwalt selbst verschickt wird (also das Absenden nicht mehr deligierbar), und auch nur seinen eigenen Schriftsatz enthält. Also nur für Spezialfälle tauglich.

    Auf diesen Kommentar antworten
  • 12.02.2018 16:44, ULLRICH DOBKE

    Gibt's da bei der zuständigen StA nur Schlafmützen oder Traumtänzer? Der Pressesprecher hätte eigentlich mal was zu erklären, ob man nun tätig ist oder nicht und überhaupt :o)

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
As­so­cia­te (w/m) Dis­pu­tes & In­ves­ti­ga­ti­ons / Li­ti­ga­ti­on

Taylor Wessing, Frank­furt/M.

RECHTS­AN­WALTS­FACH­AN­GE­S­TELL­TE (M/W)

FPS Partnerschaftsgesellschaft von Rechtsanwälten, Frank­furt/M.

Voll­ju­ris­ten (m/w) mit ar­beits­recht­li­chem Schwer­punkt als Se­min­ar­ma­na­ger (m/w)

ifb - Institut, See­hau­sen a. Staf­fel­see

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w) für den Fach­be­reich Um­welt- und Pla­nungs­recht

Linklaters, Ber­lin

Rechts­an­walt (m/w) Ge­sell­schafts­recht mit Spe­zia­li­sie­rung im Ak­ti­en- und Ka­pi­tal­markt­recht

fieldfisher, Düs­sel­dorf

Pa­ten­tin­ge­nieur/Pa­tent­re­fe­rent (m/w)

BRITA GmbH, Tau­nus­stein

Rechts­an­walt (m/w) für den Be­reich Ban­king & Fi­nan­ce

Bird & Bird LLP, Mün­chen und 1 wei­te­re

RECHTS­AN­WÄL­TE (M/W)

Menold Bezler Rechtsanwälte Partnerschaft mbB, Stutt­gart

Rechts­re­fe­ren­da­rin/Rechts­re­fe­ren­dar bei Le­gal and Com­p­li­an­ce / deut­sch­land­weit

Siemens, Mün­chen und 2 wei­te­re

Rechts­an­wäl­te (m/w) und Wis­sen­schaft­li­che Mit­ar­bei­ter (m/w) für die Pra­xis­grup­pe Li­fe Sci­en­ces & Health­ca­re (Re­gu­lato­ry & Com­p­li­an­ce)

Covington, Brüs­sel

Voll­ju­ris­ten (w/m) Ge­sund­heits­ma­na­ge­ment mit den Schwer­punk­ten So­zial­recht und Me­di­zin­recht

Süddeutsche Krankenversicherung a.G., Fell­bach

Rechts­an­wäl­te (m/w)

Hogan Lovells LLP, Düs­sel­dorf

Voll­ju­ris­ten (m/w) mit ar­beits­recht­li­chem Schwer­punkt für un­se­re In­hou­se-Se­mi­na­re

ifb - Institut, See­hau­sen a. Staf­fel­see

Ge­ne­ral Coun­sel (m/f)

Rocket Internet SE, Ber­lin

Wirt­schafts­ju­ris­ten (w/m)

Görg, Frank­furt/M.

Se­nior Le­gal Coun­sel Cor­po­ra­te Law/ VC/ Mer­gers and Ac­qui­si­ti­ons (m/w)

Rocket Internet SE, Ber­lin

Rechts­an­walt (m/w) In­tel­lec­tual Pro­per­ty und Me­di­en­recht

ESCHE SCHÜMANN COMMICHAU, Ham­burg

RECHTS­AN­WALT (m/w) im Be­reich Cor­po­ra­te

GSK Stockmann, Ber­lin