Desaster um das Anwaltspostfach: BRAK ent­schul­digt sich bei den Anwälten

von Pia Lorenz

03.01.2018

In einem Schreiben an alle Anwälte bittet der Präsident der BRAK um Entschuldigung für die Pannen beim beA und die (Nicht-)Kommunikation über Weihnachten. Die offenen Fragen allerdings werden nicht weniger.

"Liebe Kolleginnen und Kollegen, ich will nicht darum herum reden: In den Tagen vor Weihnachten sind Fehler gemacht worden. Wir haben nicht in jedem Moment mit der erforderlichen Vorsicht agiert und uns zu schnell auf einen Lösungsvorschlag unseres technologischen Dienstleisters eingelassen. Vor allem aber haben wir unzureichend und unvollständig Ihnen gegenüber kommuniziert. Das ist mit Blick auf die Feiertage und den Stichtag 1. Januar zwar möglicherweise verständlich, aber dennoch nicht akzeptabel. Darum möchte ich Sie ganz persönlich, aber auch im Namen des Präsidiums der BRAK um Entschuldigung bitten."

Das ist der vorletzte Absatz eines Schreibens des Präsidenten der Bundesrechtsanwaltskammer (BRAK), Ekkehart Schäfer, an die regionalen Kammern. Diese sollen es an die 165.000 Anwälte weiterleiten, die seit drei Tagen verpflichtet sind, das besondere elektronische Anwaltspostfach (beA) passiv zu nutzen. Sie können ihrer Nutzungspflicht nicht nachkommen, weil die verantwortliche BRAK das System am 22. Dezember offline genommen hat, wie es zu dem Zeitpunkt hieß, wegen Wartungsarbeiten zur Behebung vereinzelter Verbindungsprobleme.

Der wahre Grund waren gleich zwei Sicherheitslücken. Eine in der grundlegenden Sicherheitsarchitektur des beA, eine weitere, die durch den Download eines zusätzlichen Zertifikats, zu dem die BRAK selbst alle Anwälte drängte, an ebendiesem Freitag überhaupt erst entstand. Diese Kausalität hat auch die BRAK nun eingeräumt. In dem Schreiben heißt es, am Freitag gegen 13:00 Uhr habe der Dienstleister Atos, der zuvor "zu keinem Zeitpunkt auf mögliche anders gelagerte Sicherheitsrisiken hingewiesen" habe, die neu entstandene Sicherheitsproblematik erkannt und das System mit Einverständnis der BRAK vom Netz genommen. Über die Weihnachtsfeiertage wurden darüber weder die Anwälte noch die Kammern informiert. Sowohl bei den Anwälten als auch bei den Kammern regte sich daraufhin massiver Protest über die Salamitaktik der BRAK

BRAK-Präsident: beA auch im Januar nicht erreichbar

Noch vor ihrer Entschuldigung für die technische Panne, für die Schäfer weiterhin den Dienstleister Atos verantwortlich macht, lässt er es sich aber nicht nehmen, sein Erschrecken darüber zum Ausdruck zu bringen, "dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der BRAK und am beA verknüpft."

In der Sache enthält das Schreiben der BRAK wenig, was nicht – vorrangig durch Medienrecherche - zwischenzeitlich ohnehin bereits bekannt ist. Wann das beA wieder online gehen kann, ist weiterhin offen. Markus Drenger, das Mitglied des Chaos Computer Clubs, das die Sicherheitslücke entdeckt und der BRAK zur Kenntnis gebracht hatte, nimmt an, dass die Sicherheitslücken nicht binnen drei bis vier Monaten zu beheben seien. Die BRAK teilte LTO Ende vergangener Woche mit, es würden verschiedene technische Varianten für eine sichere Lösung auf ihre Machbarkeit geprüft.

Daran scheint sich noch nichts geändert zu haben. In seinem Schreiben vom 2. Januar schreibt Schäfer nun: "Ich gehe momentan aber davon aus, dass das beA auch im Januar nicht erreichbar und nicht adressierbar sein wird, auch nicht für Gerichte oder andere nichtanwaltliche Teilnehmer am elektronischen Rechtsverkehr." Nach LTO-Informationen findet am 9. Januar eine Sonderkonferenz der Präsidenten aller Anwaltskammern statt, auf deren Agenda ausschließlich das Anwaltspostfach steht.

BRAK-Präsident: "angemessene" Frist zwischen Ankündigung und Neustart

Fraglich ist, ob man der Formulierung "ich gehe davon aus" ein Weniger an Sicherheit entnehmen darf, als die BRAK noch am 28. Dezember gegenüber LTO suggerierte. In der schriftlichen Antwort der von ihr beauftragten Kommunikationsagentur hieß es dazu auf Anfrage von LTO wörtlich, "wir können ausschließen, dass Gerichte oder andere Kommunikationspartner momentan Dokumente auf diesem Wege zustellen können".

Absichern will die BRAK die faktische Unmöglichkeit für die Anwälte, ihrer passiven Nutzungspflicht nachzukommen, weil sie gar nicht auf ihr Postfach zugreifen können, aber offenbar auch rechtlich. In den kommenden Tagen werde man das Gespräch mit dem Bundesjustizministerium suchen, so Schäfer in seinem Schreiben, insbesondere da die BRAK für die Wiederinbetriebnahme des beA "derzeit einen zweiphasigen Prozess beabsichtige", heißt es dort. "Zuerst wollen wir die neue ClientSecurity zum Herunterladen bereitstellen, erst nach einer angemessenen Frist wollen wir dann das beA wieder aktiv schalten".

Die BRAK legt sich nicht fest, wie lange diese Frist dauern soll. Die mindestens vierzehn Tage zwischen Ankündigung und Wieder-Inbetriebnahme, die nach LTO-Informationen am Freitag im Gespräch waren, sagt sie also nicht offiziell zu. Konkrete Termine werde man rechtzeitig auf der Homepage der BRAK, der beA-Homepage und über Newsletter den Rechtsanwaltskammern und ihren Mitgliedern mitteilen, heißt es lediglich.

Offene Fragen: Kann die BRAK mitlesen? Und gibt es Software ohne Support?

Die BRAK bleibt dabei, dass "nach ihren Informationen" die beA-Plattform selbst, die Verschlüsselung der Nachrichten und die Sicherheit der Nachrichtenübermittlung und Speicherung im beA-System von der aktuell festgestellten Sicherheitslücke nie betroffen gewesen sind und weiterhin nicht seien.

Keine Informationen enthält das Schreiben zu weiteren offenen Fragen technischer Natur, die zuletzt u.a. der Präsident des Deutschen Anwaltvereins (DAV), Ulrich Schellenberg, in einem Schreiben vom vergangenen Freitag, das LTO vorliegt, aufgeworfen hatte. Unter Bezugnahme auf Ausführungen von CCC-Mitglied Drenger fragte er nach, ob die Ende-zu-Ende-Verschlüsselung des beA tatsächlich eine solche sei oder ob auch die BRAK Nachrichten entschlüsseln könnte. Auch Schellenbergs Frage, ob tatsächlich im Security-Client auch alte Software-Pakete zur Anwendungen kämen, für die es keinen Support gebe, greift Schäfer nicht auf. 

Behoben sind aber laut seinem Schreiben die erheblichen Performance-Probleme der Plattform, welche die BRAK im Dezember dazu motivierten, die Anwälte sicherheitshalber aufs Fax zu verweisen. Inzwischen habe das beA "auch eine so hohe Zahl von Anwendern, dass Atos davon ausgeht, dass auch bei steigenden Nutzerzahlen weitere Skalierungsprobleme nicht mehr auftreten bzw. kurzfristig behebbar sind", so Schäfer. Er bezieht sich dabei auf "zuletzt 65.000 registrierte Nutzer". Das vorausgesetzt, müssen sich vor einem Neu-Start des Systems weitere 100.000 Juristen registrieren. Und das System danach erstmalig nutzen.

Zitiervorschlag

Pia Lorenz, Desaster um das Anwaltspostfach: BRAK entschuldigt sich bei den Anwälten . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26273/ (abgerufen am: 18.07.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 03.01.2018 13:25, RF

    Da warte ich dann mal auf das erste Gericht, das behauptet, es habe mir wirksam etwas an das beA übermittelt, während es doch eigentlich geschlossen war ...

    Auf diesen Kommentar antworten
    • 03.01.2018 17:00, Pihale-Alboth

      Was sagen eigentlich die Berufshaftpflicht Versicherungen dazu?

    • 03.01.2018 18:35, Peter

      Die Vermögensschadenhaftpflicht dürfte nicht zuständig sein, denn es handelt sich um ein Fehlverhalten eines (mittelbaren) Dienstleisters des RA, nicht um ein Verschulden des RA selbst. Der RA müsste aber über eine Cyberschadenversicherung nachdenken. Ansonsten haftet er halt wie üblich ohne Versicherung.

    • 03.01.2018 20:25, IT-Futzy

      @Peter
      Weshalb sollte ein Anwalt ohne Verschulden haften? Weil die BRAK ihre gesetzlichen Pflichten nicht erfüllt?

    • 06.01.2018 10:26, Pihale-Alboth

      Minister sieht keinen Handlungsbedarf. EinzelRA kann nicht handeln. Ist die Norm wirklich noch zu halten? Gibt es hier Spezialisten für Normenkontrolle? Kosten wären doch gemeinsam aufzubringen.

  • 03.01.2018 13:52, RA

    Aus meiner Sicht kann man das nur mit folgenden Maßnahmen entschuldigen:

    - Rückstellung der Geltendmachung der Sonderumlage beA für 2018 bis man wieder darauf zugreifen kann
    - Erstattung sämtlicher Kosten, die wegen falscher Hinweise (Zertifikat) angefallen sind, z.B. IT-Dienstleister
    - Erstattung des Betrages für die beA-Karte für die Zeit, in der das beA offline war (und das freiwillig und automatisch)
    - Änderung der Nutzungspflicht vom 1.1.18 auf den 1.1.19

    Auf diesen Kommentar antworten
    • 03.01.2018 17:42, AstheimerH.

      Mal sehen, wie lange wir auf das neue Startdatum warten müssen.
      01.01.19 oder 01.01.20 wäre doch mal eine Ansage.

    • 04.01.2018 22:36, Andreas Ackermann

      Guten Abend liebe Kollegen,

      ich kann mich des Eindrucks nicht erwehren, dass da noch wesentlich mehr im Hintergrund "kokelt", als man uns sagen mag.
      Wenn es da Probleme mit Schlüsseln gibt, frage ich mich, ob nicht möglicherweise die Hardware in Form der Chips auf den Karten selber betroffen ist. Denn wie wir ja gesehen haben, hat das Update vom 22.12.17 die Lage noch "verschlimmbessert".
      Ich hatte schon nach dem zweiten Aufschub von BeA vor mehr als einem Jahr den furchtbaren Verdacht, dass da irgendetwas furchtbar in die Hose gehen wird.
      Vielleicht wäre es sinnvoll, wenn wir uns aufraffen und selber einmal unsere LG- und OLG-Präsidenten,und die restlichen Insanzen im Bereich der Arbeitsgerichtsbarkeit usw. anschreiben, auf die bestehenden Probleme hinweisen und rundherum -im jetzigen Stadium eine Bea-Nutzung- ablehnen???
      Ich glaube, das macht mehr Sinn, als die "Politik" wieder herum wurschteln zu lassen, zumal ich in die Fähigkeiten des BJM nur bedingtes Vertauen habe, siehe nur die Verwerfungen, die dieses NetzDG generiert hat.

      Hier sollte man einmal von Denjenigen, die es betrifft, nämlich uns, ein "Bis hier hin und nicht weiter" ertönen lassen.
      Was man uns bisher zugemutet hat, ist ein absolutes Unding.
      Ja, ich weiß, bloß keinen Ärger in eigenen Angelegenheiten, aber ich denke, hier ist ein Punkt erreicht, der uns doch wirklich einmal zu denken geben sollte.
      Ich betone, dass Vorstehendes kein Vorwurf gegen unsere Kammerkollegen ist, aber sie sind bei diesem hochkomplexen Thema auch auf Infos angewiesen, die sie möglicherweise entweder nie erhalten haben oder aber, mangels ausreichender IT-Kompetenz, schlichtweg nicht richtig verarbeiten konnten.
      Das scheint man dort auch -leider erst jetzt -, selber erkannt zu haben, indem man wohl einen weiteren Berater hinzugezogen hat.

      Schöne Grüße aus Wuppertal
      Andreas Ackermann

  • 03.01.2018 13:59, Informatiker

    Und der Hersteller der Software äußert sich gar nicht zu dem angerichteten Desaster? Ist wahrscheinlich auch besser so, angesichts der Klientel. Würde mich aber trotzdem mal rein beruflich interessieren.

    Auf diesen Kommentar antworten
    • 03.01.2018 20:30, IT-Futzy

      Nun ja, der Hersteller wird gesagt haben, wie man es richtig macht und die BRAK wird gesagt haben, dass sie es aber so haben wollen. Ich denke nicht, dass ATOS solchen Schrott freiwillig abgeliefert hat. Immerhin liegt ja sowohl die Projektleitung, als auch der Betrieb in den Händen der BRAK. ATOS wird sich die Wünsche der BRAK fein säuberlich abzeichnen haben lassen und ansonsten einen sauberen Dienstleistungsvertrag mit Werksvertragelementen haben (und damit ist die BRAK in der Zwickmühle). Dass die BRAK so herum lamentiert und laviert dürfte dem vertraglichen Verhältnis mit ATOS geschuldet sein. Nicht umsonst hält man die Verträge ja geheim.

    • 10.01.2018 11:23, Enrico Weigelt,+metux+IT+consult

      Ich bezweifle stark, daß ATOS (die Siemens IT-Abteilung) irgendeine Idee hatte, wie man es richtig macht (angesichts der zahlreichen weiteren groben Fehler) - die BRAK hat bestimmt auch nicht beauftragt, TLS komplett auszuhebeln (das wäre ja eine herbe Straftat). Bei uns IT'lern ist ATOS schon ewig für maximale Inkompetenz bekannt. Lustigerweise kaufen die gleich noch einen nicht minder inkompetenten Laden (Gemalto).

      Was ATOS hier angerichtet hat, ist auf ganzer Linie grober Unfug - vom Konzept bis die Implementierungsdetails. Mir fällt da grad wenig ein, was man darüber hinaus überhaupt sonst noch falsch machen könnte.

      beA ist ein Totalschaden. Zurück auf Start - komplett neu beginnen.

  • 03.01.2018 14:37, Christian Korte

    In der heute online gestellten Erklärung der BRAK heißt es wörtlich:

    "Deshalb wurde das neue Zertifikat am Morgen des 22. Dezember zum Download auf der beA-Plattform angeboten. Gegen 13:00 Uhr erkannte Atos dann die neu entstandene Sicherheitsproblematik und informierte die BRAK. Demnach riss das neue Zertifikat eine klaffende, angreifbare Wunde auf den Rechnern des einzelnen Nutzers mit der Folge, dass die IT-Infrastruktur der nutzenden Rechtsanwältinnen und Rechtsanwälte somit deutlich unsicherer wurde. Mit Einverständnis der BRAK nahm Atos deshalb das beA-System vom Netz."

    Warum dauerte es dann noch bis zum 27.12.2017 gegen 13:38 h, bis wir Kollegen in den Kanzleien durch einen neuerlichen Newsletter auf das Sicherheitsrisiko hinsichtlich der eigenen Anlagen aufmerksam gemacht wurden? Die Abschaltung des beA allein reichte ja offenbar nicht aus, um die "klaffenden, angreifbaren Wunden" zu schließen, schließlich wurden wir ja alle zur Deinstallation nun schon mehrfach aufgerufen.

    Gut nur, wer abwartete, als habe man es geahnt ;-)

    In vergleichbaren Fällen in der freien Wirtschaft wäre an jenem Freitag jedenfalls wohl niemand, der mit dieser Angelegenheit zu tun hatte, in Urlaub gegangen und Telefonkonferenzen wären nicht erst drei Tage später angesetzt worden, dies an die Adresse der Verantwortlichen der BRAK, die noch immer versuchen, sich aus der Verantwortung zu stehlen. Das möglicherweise technische Unvermögen der ausführenden Firma ist das eine, die Kommunikation der BRAK in der konkreten Situation erscheint mir aber akut wesentlicher für die entstandenen Probleme und den massiven Vertrauensverlust ...

    Es ist unfassbar. Und offenbar rigendwie #neuland für die Beteiligten - bis hin zur Online-Kommunikation.

    Auf diesen Kommentar antworten
    • 03.01.2018 17:15, RP

      Als Ergänzung:

      Die RAK Berlin empfahl noch am 22.12.2017 gegen 15:25 Uhr die Installation des neuen Zertifikats.

  • 03.01.2018 14:49, Bierbaum

    Was irgendwie bisher nicht thematisiert wurde ist mE die Vereinbarkeit der Entschlüsselung der vertraulichen Anwaltskorrespondenz durch die BRAK als Mittelsmann bei dem beA (HSM) und die DS-GVO ab 25.05.2018.

    Gibt es eine RAK, die ein Muster eines Verarbeitungsverzeichnisses bereitstellt oder stellt die BRAK die RAe von einer Haftung frei, falls Daten durch das beA oder die Umsetzung durch das HSM verloren gehen oder in fremde Hände fallen?

    Auf diesen Kommentar antworten
    • 03.01.2018 17:10, RA Zieschang

      Hier wird die Frage des HSM angesprochen:

      https://www.sz-law.de/bea-digital-einfach-kaputt/

    • 03.01.2018 18:09, Peter

      Das HSM von technischer Seite ja, aber nicht die datenschutzrechtlichen Folgen.

    • 03.01.2018 20:41, IT-Futzy

      Die BRAK dokumentiert in Bezug auf das HSM nichts öffentlich. Sämtliche Informationen unterliegen der Geheimhaltung. An sich ein unerhörter Vorgang, wenn man sich das von technischer Seite her betrachtet.
      Weder erklärt die BRAK, wie die supply chain der Schlüssel der Anwälte von der BNotK zum HSM aufgebaut und vor allem abgesichert ist, noch erklärt sie, wie sie auf den verwegenen Gedanken kommt, dass das HSM manipulationssicher sein soll. Dass es das nicht sein kann, ergibt sich aus der Natur des HSM. Denn jedes Mal, wenn ein Anwalt die Zulassung durch die Kammer erhält, wird für ihn ein Postfach eingerichtet und es muss durch die BNotK das Schlüsselpaar generiert werden bzw. vice-versa wenn ein Anwalt keine Zulassung mehr hat, muss der Schlüssel vom HSM entfernt werden. Ganz davon abgesehen, dass es kaum einen dümmeren Gedanken gibt, als den privaten Schlüssel auf verschiedenen Geräten zu speichern (der dürfte, aus Sicherheits- und Vertrauenssicht niemals die beA-Karte verlassen!), stellt sich natürlich auch die Frage, wie es denn mit der Redundanz des HSM aussieht. Ist es ein Einzelgerät - was passiert bei Ausfall (und dass Geräte im Allgemeinen ausfallen dürfte jedem klar sein)? Was ist mit Backup, was man dann zwingend bräuchte (dann sind alle Behauptungen eine Lüge, wenn man sagt, die privaten Schlüssel verlassen das HSM nie)? D.h. das Design der "Lösung" beA ist so kaputt, dass man nicht einmal darüber nachdenken muss, die Software anzupassen! Da muss eine komplett neue Lösung her.

  • 03.01.2018 14:54, IT-Futzy

    Auch wenn das neuerlicher Rundschreiben der BRAK offiziell Einsicht in das Fehlverhalten heuchelt, sollte man die Worte der Werbeagentur/von Schäfer nicht zu ernst nehmen. Faktisch wird auf alles das, was nun im Nachgang auch noch bekannt geworden ist, nicht eingegangen. Neben der bewussten Täuschung der Anwaltschaft über angebliche E2E-Verschlüsselung (die nie existiert - HSM als Stichwort), ist auch noch zu klären, inwiefern die BRAK von einem stabilen System sprechen kann, wenn gerade einmal etwas mehr als 1/3 der Anwaltschaft sich an diesem System angemeldet hat. Neben der Problematik, dass jeder wusste, dass die angemeldeten Nutzer das beA noch gar nicht nutzten, weil sie nicht wussten, ob sie jemanden darüber erreichen, stellt sich eine einfache Frage: Wenn bei 1/3 der effektiven Nutzer das beA schon so wackelig ist, obwohl diese das noch gar nicht effektiv nutzen, woher nimmt die BRAK die Chupze jetzt zu behaupten, dass das System dann schon irgendwie skalieren würde? Das dem nicht so ist und die BRAK auch hier wieder (gelinde gesagt) die Unwahrheit verlautbart, kann man an in den technischen Details nachlesen - 30 MB als maximale Nachrichtengröße, Anmeldung nur aller 15 Minuten. Wenn ein System entsprechend den Anforderungen skalierbar wäre, bräuchte man solche Beschränkungen nicht!
    Weiterhin drückt sich die BRAK um Kernaussagen zur E2E-Verschlüsselung und dokumentiert diese nicht, sondern stellt sich so hin, als ob das HSM, in welchem im Übrigen alle privaten Schlüssel der Anwälte vorgehalten werden, von Haus aus sicher wäre. Das stickt gewaltig nach DE-Mail, welches auch erst per Gesetz als sicher erklärt werden musste, weil es das nicht ist. Wenn das HSM manipulationssicher wäre, wäre es nicht möglich, die Schlüssel der hinzukommenden Anwälte einzupflegen. Überhaupt ist der Transport der Schlüssel von der BNotK zum System des beA nirgendwo dokumentiert. Auch eine "kurze Entschlüsselung und Umschlüsselung" der Nachricht im HSM ist keine wirksame E2E-Verschlüsselung! Da kann die BRAK weiterhin die Unwahrheit behaupten, wie sie möchte - sie legt damit nur weiterhin ihre technische Ahnungslosigkeit offen.

    Fakt ist, das beA hält in keinster Weise den Versprechen stand, die seitens der BRAK abgegeben werden! Seit wann die Bezeichnung "Lügner" für einen tatsächlichen Lügner als persönlicher Angriff und "unter die Gürtellinie" zählt, bleibt wohl auch das Geheimnis der BRAK. Fakt ist: Sie haben gelogen, nicht erst seit dem 22.12.2017, sondern schon vorher und tun dies auch weiter. Sie gaukeln den Landeskammern etwas vor, was so nicht existiert und regen sich dann darüber auf, wenn jemand das Kind beim Namen nennt? Unvorstellbar, aber leider Realität!
    Gelernt hat man bei der BRAK aus dem Disaster offenbar nichts, gar nichts.

    Auf diesen Kommentar antworten
  • 03.01.2018 15:30, RALZ

    Bei allem Verständnis für die Verärgerung und Enttäuschung über die beA Katastrophe - die durchaus auch auf dem Versagen einzelner Personen beruhen mag - halte ich Formulierungen wie "Täuschung" und "Lügner" für absolut unangemessen und tendenziös, da sie in Richtung einer vorsätzlichen Straftat verweisen.

    Das ist meiner Meinung nach eine unerhörte und unverschämte Unterstellung, die ich hiermit auch deutlich als eine solche qualifiziere.

    Auf diesen Kommentar antworten
    • 03.01.2018 16:07, Urs

      Nun, die Kammer spricht von "Ende-zu-Ende"-Verschlüsselung. Dabei handelt es sich bei dem beA jedoch nicht. Das EGVP ist Ende-zu-Ende-Verschlüsselt.

      Selbst das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass das beA nur eine Gateway-Verschlüsselung ist.

      Wieso verwendet die BRAK denn den Begriff "Ende-zu-Ende-Verschlüsselung", obwohl das beA eben diese Eigenschaft nicht besitzt?

      Sachliche Unrichtigkeit? Unwissen? Bei der BRAK?

    • 03.01.2018 16:12, IT-Futzy

      Wenn Sie der Meinung sein, dass ich mich mit meinem Kommentar im strafrechtlichen Bereich bewege, steht es Ihnen frei, Strafantrag zu stellen. Aus Sicht eines IT-lers sind alle Vorwürfe gerechtfertigt. Die offensichtliche Lüge bzgl. der E2E-Verschlüsselung ist nach wie vor evident, da keinerlei Einschränkungen dsbzgl. seitens der BRAK vorgenommen werden. E2E-Verschlüsselung bedeutet E2E und nicht "ein bisschen E2E" - es gibt auch nicht "ein bisschen schwanger"!
      Weiterhin hat die BRAK in ihren Rundschreiben vor und nach Weihnachten nachweislich gelogen, indem sie z.B. Herrn Denger offiziell vorwarf, das Zertifikat kompromittiert zu haben (das ist ein Vorwurf, der auf §203 StGB abzielte). Das Zertifikat wurde nur von einem kompromittiert - und zwar von der BRAK als Betreiberin des beA selbst.

      Vielleicht sollten Sie, bevor Sie mir gegenüber solch schweres Geschütz auffahren, sich erst einmal mit den technischen Gegebenheiten vertraut machen, anstatt hier auch Ihre Ahnungslosigkeit von der Materie zum Besten zu geben. Aber wie schreibt Ihre(?) Zunft immer so schön: Einer gerichtlichen Klärung sehe ich gelassen entgegen... ;-)

    • 03.01.2018 16:15, Kalle

      @Urs: Die Bundesnotarkammer spricht auch nie von Ende-zu-Ende-Verschlüsselung, nur die BRAK. Die Bundesnotarkammer schreibt: "einfache und sichere Alternative zum Versand anwaltlicher Dokumente und zum Empfang gerichtlicher Korrespondenz". Aud das E2EE verzichtet sie wohlweißlich.

    • 03.01.2018 16:38, RALZ

      @IT-Fuzy:
      Ohne hier ein Forumsscharmützel eröffnen zu wollen:
      Sie urteilen vorschnell. Wenn Sie meinen Kommentar sorgsam noch einmal lesen, werden Sie feststellen, dass ich nicht ihren Kommentar als strafrechtlich relevant bewertet habe, sondern ihre Unterstellungen die BRAK/Kammerpräsident/Justiz würden lügen und täuschen und deren Agieren in strafrechtliche Nähe rücken.

      Der BRAK kann man gerne grobes Unvermögen, Unkenntnis und Laienhaftigkeit unterstellen. Eine Schlechtleistung ist aber was anderes als eine Straftat.

      An dieser Einschätzung ändert ihr neuer Kommentar nichts.

    • 03.01.2018 16:41, bergischer Löwe

      @ 03.01.2018 15:30, RALZ
      Nun, wenn jemand etwas behauptet ohne zu wissen, dass es wahr ist, es aber im Vorfeld wiederholt Gelegenheit gab, die Behauptungen zu bezweifeln muss man die "Politik" der BRAK in dieser Angelegenheit als "Lüge" bezeichnen dürfen - dies allemal von der Meinungsfreiheit umfasst.
      Dass die BRAK behauptete "Herrn Denger habe das Zertifikat kompromittiert" ist ein starkes Stück und beinhaltet seinerseits den Vorwurf des §203 StGB. Die BRAK muss sich schon dieser harten Kritik stellen; dies hat nichts mit "unerhörten und unverschämten Unterstellung" zu tuen. Den die BRAK hat die Pflicht und Schuldigkeit sich selbst kundig zu machen, bevor sie so etwas behauptet. Muss man ihr das wirklich noch ausdrücklich sagen?

    • 03.01.2018 16:58, IT-Futzy

      @RALZ
      Auch wenn Sie nicht direkt auf meinen ursprünglichen Kommentar geantwortet haben, weiss ich doch den Ihrigen richtig einzuordnen, da ich ganz bewusst die Worte "Täuschung" und "Lüge" in meinem Beitrag verwendet habe und damit lediglich eine nach/beweisbare Tatsache beschrieben habe.
      Da nutzen Ihnen auch Ihre nunmehr "juristischen Winkelzüge" nichts, dass Sie doch gar nicht meinen Beitrag meinten. Komisch ist lediglich, dass die von Ihnen gerügten Tatsachenbeschreibungen in keinem weiteren Beitrag vor dem meinigen oder gar im Artikel erwähnt wurden.

      Fakt ist: Die BRAK hat das gesamte Projekt niemals unter Kontrolle gehabt und wird es mit ihrem mangelndem Sachverstand auch niemals unter Kontrolle haben. Um über mangelnden Sachverstand hinweg zu täuschen wurde unter anderem zur falschen Tatsachenbehauptung (gemeinhin als Lüge bekannt) seitens der BRAK gegriffen, mit dem Ziel, die Anwaltschaft über den wahren (technischen) Zustand des beA zu täuschen. Und ja, dies ist allein durch die Veröffentlichungen der BRAK gerichtsfest nachweisbar!

      Wenn Sie allerdings behaupten wollen, dass es alles nicht so wäre, würde ich mich über eine weitergehende Stellungnahme Ihrerseits freuen - die ich dann genüsslich auseinander nehmen werde.

    • 03.01.2018 17:29, Neunmalklug

      Ich denke, dass Sie vielleicht etwas aneinander vorbeireden. Ist aber auch egal. Ich glaube nicht, dass die BRAK von Anfang an gelogen hat, ich denke eher dass hier Hanlon's Razor die eher passende Beschreibung ist. Die Unterstellung, dass Herr Denger (und er wurde ja nicht mal beim Namen genannt) das Zertifikat kompromittiert hat, war sicherlich nicht so schlau. Ich glaube, dass es mittlerweile ziemlich viele Leute auch unter den Juristen gibt, die sich Gedanken über die Bedeutung und die Folgen gemachter Aussagen machen.

    • 03.01.2018 18:02, IT-Futzy

      @Neunmalklug
      Hanlon's Razor würde aber bedeuten, dass die Verantwortlichen der BRAK in diesem Fall mit Dummheit gesegnet wären. Juristisch spielt es aber keine Rolle, ob aus Unwissenheit oder bewusst falsche Tatsachen behauptet und Falschanschuldigungen erhoben werden. Hinzu kommt, dass die BRAK mehr als 24h Zeit zwischen der Meldung an das BSI, T-Systems und die BRAK selbst bzgl. des Zertifikates hatte und dem Veröffentlichen der Meldung, dass "eine nicht zur Rechtsanwaltschaft zugelassene Person" das Zertifikat korrumpiert hätte, hatte. Wer damit gemeint ist, ist allen Beteiligten klar.
      In dieser Zeit kann man jedoch erwarten, dass sich die BRAK entweder mit dem nötigen Sachverstand in Form von Beratern ausstattet oder sich selbst schlau macht. Beides ist nicht passiert und dies ist schon ein schuldhaftes Pflichtversäumnis. Hinzu kommt, dass sich die BRAK alle Fehler, die durch die ATOS GmbH gemacht wurden, als eigene Fehler anrechnen lassen muss. Denn die BRAK ist es, die die Aufsicht über das beA und die Projektleitung inne hat.

      Die BRAK hat ebenso noch immer nicht begriffen, dass in solchen Situationen Transparenz das Mittel der Wahl ist. Verschleiern, Täuschen, Schuld von sich weisen, Unwahrheiten behaupten, Anleitungen zum Umgehen und Aufbrechen aller Sicherheitsregeln in einem besonders schützenswertem Netzwerk und die eigene Unfähigkeit vertuschen gehören nicht dazu.
      Wenn die Anwaltschaft jetzt immer noch nicht aufgewacht ist und vollkommene Transparenz einfordert, ist dieser auch nicht mehr zu helfen. Security by obscurity hat noch nie funktioniert und wird es in Zukunft auch nicht.

      Btw. - dass die Server des beA bei Hetzner stehen, ist mittlerweile auch bekannt...

    • 03.01.2018 18:07, Peter

      @RALZ… Sie wollen also behaupten, dass die BRAK ein Projekt für 39 Mio. die letzten Jahre hat durchführen lassen, welches der Gesetzgeber in jahrelanger öffentlicher Beratung vorgesehen hat und daneben bereits das tatsächlich E2EE EGVP existiert, und die BRAK dennoch nicht weiß, dass trotz der ganzen Powerpoints und Mitteilungen das beA wegen des HSM (welches die BRAK in diversen Veranstaltungen präsentiert hat) nicht E2EE ist - obwohl sie als BRAK tausende RAe unter sich hat, die bisher das E2EE EGVP verwendet und es kennen?

    • 03.01.2018 18:09, Neunmalklug

      Das der Server bei Hetzner steht, wußte ich nicht, die Referenz zu dieser Information würde mich stark interessieren. Wenn das wahr ist, dann fällt mir dazu gar nichts mehr ein. Das beA wird dann also im gleichen Rechenzentrum betrieben, in dem Hinz und Kunz (ohne Hinz und Kunz zu nahe treten zu wollen) ihre Homepage betreiben???

    • 03.01.2018 18:39, Peter

      @Neunmalklug: In welchem Netz der Server steht etc. kann ihnen eigentlich jeder sagen, der sich technisch ein wenig mit IP-Netzen auskennt. Unter http://www.dnsstuff.com/tools haben Sie mal eine erste lose und unbedeutende Anlaufstelle zum Herausfinden. Ansonsten einfach jeden Fragen, der eine Ausbildung zum IT-Systemelektroniker macht oder eben FH/Uni-Studenten mit vergleichbaren technischen Studiengängen.

      Die BRAK verspricht sich von der Geheimhaltung des Servers eine hohe Sicherheit. Das Konzept nennt sich "Security by Obscurity" in ruft in Technikerkreisen nur reines Gelächter hervor.

    • 03.01.2018 18:41, IT-Futzy

      @Neunmalklug
      Nun, eine Analyse des Netzwerkverkehrs mit wireshark brachte die tatsächlich angesprochenen IPs zum Vorschein. Diese gehör(t)en zur IP-Range von Hetzner. Da Hetzner aber keine Ranges zum freien Connect anbietet, war es logisch, dass diese zu einem Rechenzentrum von Hetzner gehören und die Server zwingend bei Hetzner untergebracht sein müssen. Zur weiteren Analyse kamen wir dann vor Weihnachten nicht mehr... ;-)
      Mittlerweile ist das aber alles etwas anders. Derzeit wird über 1&1 Versatel (sic!) geroutet (letzter Hop). Wenn das so bleibt, kann ich mir schon denken, in welchen Rechenzentren die Server dann stehen.

      Dass Hinz und Kunz ihre Server bei Hetzner hosten, hat ja erst einmal nichts zu sagen - auch Hetzner bietet Colocation in abgesicherten Cages an. Wobei im Fall beA Hinz bei mir der BND und Kunz die NSA sind... Die haben ja mit dem HSM den perfekten Zugang zu aller zukünftigen Anwaltspost. ;-)

    • 03.01.2018 18:48, Neunmalklug

      @IT-Futzy
      Auf die einfachsten Sachen kommt man nicht. Auf die Idee, nen traceroute zu machen, hätte ich auch selber kommen können :-(
      Und wo würde es dann bei 1&1 stehen (bin zu müde selber nachzudenken)?

    • 03.01.2018 18:55, Neunmalklug

      @Peter
      Das war ganz klar ein extrem dickes Brett vor meinem Kopf, traceroute und andere Tools gehören zu meinem annähernd Tageswerkzeug (auch wenn ich kein Techniker bin (zumindest von der Berufsbezeichnung nicht)). Auf diese überaus simple Idee mal nachzusehen, bin ich schlicht nicht gekommen. Das Security by Obscurity habe ich in den letzten Wochen selbst dutzende male verwendet :-) Interessanterweise verstehen die meisten Juristen das nicht und halten das für 'ne wirklich tolle Idee :-(

    • 03.01.2018 20:23, IT-Futzy

      @Neunmalklug

      Wo der Server (bei der Performance gehe ich von einem Einzelsystem aus!) steht, wird sich dann zeigen. Das HSM wird nicht weit davon entfernt sein, denn sonst müsste man den ganzen Datenverkehr noch über einen VPN-Tunnel routen, da das HSM ja die Mails umschlüsseln muss, wenn das bescheidene Design (was ich im Übrigen als broken by design bezeichne) beibehalten wird. Insgesamt habe ich in über 20 Jahren IT kaum ein Stück stümperhaftere Software und Design gesehen, als das beA.

  • 03.01.2018 15:39, RALZ

    Die Entschuldigung vom Kammerpräsidenten Schäfer ist nett, aber unzureichend. Mehr als eine Zusammenfassung der letzten Tage kann ich darin nicht erkennen.

    Was ich der BRAK vorwerfe ist fehlende Unterstützung der Kollegen, wie denn jetzt mit den Gerichten konkret in der Praxis kommuniziert werden muss!

    Insbesondere Ausführungen dazu, dass gem. § 4 ERVV seit 01.01.2018 die Containersignatur unzulässig ist, EGVP aber nur die Containersignatur ermöglicht, fehlen völlig. Das ist ein Skandal. Ich möchte nicht wissen, wieviele Kollegen jetzt nicht ausreichend signierte Schriftsätze einreichen. Wenn bei Ihnen also zukünftig ein Prozess zu verlieren droht - Bestreiten, dass die gegnerischen Schriftsätze/Klage wirksam eingereicht wurden. Das beA steht nicht zur Verfügung und EGVP alleine kann es nicht.

    Die Schriftsätze selber sind VOR Versendung mit dem EGVP qualifiziert zu signieren. Dafür ist gesonderte Software erforderlich.

    Ausführlich hier erläutert:
    http://ervjustiz.de/bea-down-das-revival-von-egvp-und-ploetzlich-ist-die-elektronische-signatur-wieder-im-fokus

    Da kann ein Richter vom LSG nebenberuflich das liefern, was man von der BRAK hätte erwarten dürfen.

    Auf diesen Kommentar antworten
    • 03.01.2018 19:02, Händel

      Es die Signatur über Governikus wirksam?

  • 03.01.2018 18:21, CodeIsLaw

    Für technisch Interessierte:
    'Talk von Markus Drenger auf dem 34C3 zum beA'
    https://www.youtube.com/watch?v=Od5WAah-ktk

    Auf diesen Kommentar antworten
  • 03.01.2018 18:30, bergischer Löwe

    Dass Herr Schäfer "sein Erschrecken darüber zum Ausdruck bringt, dass in diesen Tagen teilweise eine Diskussionskultur um sich greift, die unter die Gürtellinie zielt und persönliche Angriffe mit berechtigter Kritik an der BRAK und am beA verknüpft." verwundert.
    Wurden die Anwälte gefragt, ob sie das beA möchte, ob sie eine andere Lösung vorziehen ... nein ! Die BRAK verkennt, dass sie nicht Gutsherr, sondern Gutsverwalter ist - und zwar die handelnden Personen ganz persönlich. DIese Mentalität greift um sich. Hätte man die Anwaltschaft nicht zu dieser Sache befragen, sie realistisch über Risiken und Kosten informieren können. Stattdessen trat man den eigenen Mitgliedern gegenüber drohend und bevormundet auf. Die Anwälte sind erzürnt und die BRAK merkt es nicht.
    Es ist was faul in der BRAK ! Der Fisch fängt vom Kopf an zu stinken ... und der Vorstand der BRAK riecht es nicht !

    Auf diesen Kommentar antworten
    • 03.01.2018 18:44, Neunmalklug

      Müsste man den Vorstand nicht als den Kopf bezeichnen (irritiert fragend)?
      Probleme werden in der Regel nicht auf der gleichen Ebene festgestellt.
      Hier dürfte auch in erheblichem Maße Psychologie im Spiel sein. Statt sich spieltheoretisch mit der ganzen Sache auseinanderzusetzen (welche Alternativ-Szenarien gibt es, wenn es nicht so läuft wie gewollt), ist es dann rein menschlich geworden. Die Verlustaversion war so groß, dass man alles, was nach weniger als dem selbst (zu hoch angesetztem) Maximalziel aussieht, als Niederlage betrachtet. Daraus resultiert dann ein Handeln, dass höchst risikobehaftet ist. Wenn man die Sache vom Ende her gedacht hätte, dann wäre die Erwartungshaltung nicht so hoch gewesen und es wäre leichter gefallen, auf das Gegenüber (die Anwälte) einzugehen.

    • 03.01.2018 19:47, bergischer Löwe

      @ Neunmalklug
      "Müsste man den Vorstand nicht als den Kopf bezeichnen (irritiert fragend)?"
      Natürlich:
      erst "stank" der Vorstand der BRAK als Kopf durch inkompetentes und undemokratisches Vorgehen, dann "stank" die Anwaltschaft verbal "unter die Gürtellinie" zurück - wen wundert's ;-)

  • 03.01.2018 20:00, Gast

    Die Beiträge hier sind ja interessant zu lesen. Ich gebe allerdings als betroffene Anwältin zu bedenken, daß wir ja derzeit noch keine Verpflichtung haben, Schriftsätze auf elektronischem Wege einzureichen, 130a ZPO.
    Viel wichtiger erscheint mir daher zum jetzigen Zeitpunkt die Diskussion der Anwaltschaft über das Informationsgebaren der BRAK. Hier drängt sich schon der Verdacht auf, daß vertuscht wurde und weiterhin vertuscht werden soll, vor allem was die Sicherheit des beA anbelangt.
    Gibt es nun eine End-zu-End-Verschlüsselung in dem beA, wenn es denn einmal ordnungsgemäß laufen würde?
    Oder ist, wie man an anderer Stelle lesen konnte, von der Architektur des beA bzw. der beA client-software her niemals an eine End-zu-End-Verschlüsselung gedacht?
    Anders ausgedrückt, wird es selbst einer erfolgreichen "Reparatur" des beA durch Atos jemals eine End-zu-End-Verschlüsselung geben oder werden die Man-in-the-middel-Szenarien auftreten (müssen) und ist das dann ein offenes backdoor? Anders gefragt: wird es jemals ein von externen Experten bestätigtes sicheres beA von Atos geben können angesichts der fatalen Fehler, die jetzt bekannt wurden?

    Fragen über Fragen, auf die die BRAK-Stellungnahme von heute keine Antworten gibt.

    Diese Fragen will ich aber korrekt beantwortet haben, bevor ich die beA Software erneut auf meinen Rechner lade.

    Auf diesen Kommentar antworten
    • 03.01.2018 20:30, bergischer Löwe

      Frau Kollegin, schreiben Sie einen hübschen Brief an ihre Kammer und fordern sie Anworten !
      Beachte Sie neben 130a ZPO auch den Zugang von Willenserklärungen oder sonstigen Mitteilungen nach materiellem Recht (!). : Einem Anwalt können elektronische Dokumente zugehen, die er/sie gegen sich gelten lassen müssen, wenn nach den gesetzlichen Vorschriften zugegangen sind. Wissen Sie welche Mitteilungen/Dokumente sich auf ihrem beA befinden ?

    • 03.01.2018 21:33, IT-Futzy

      Sie stellen zwar die richtigen Fragen, aber diese zu einem falschen Zeitpunkt - diese Fragen hätten Sie bereits im Vorfeld (so gegen 2015/16) an Ihre Kammer formulieren müssen.
      Nach dem momentanen Stand gibt es keine wirksame E2E-Verschlüsselung, da die Nachrichten im HSM umgeschlüsselt werden. Hinzu kommt, dass aus technischer Sicht sämtliche Signaturen als nicht vertrauenswürdig eingestuft werden müssen, da nicht lückenlos nachvollziehbar ist, ob die entsprechende Nachricht tatsächlich von _dem_ Absender signiert wurden, da dieser nicht die alleinige Hoheit über den privaten Schlüssel hat (der ist nicht nur auf der Karte, sondern eben auch funktionsbedingt im HSM vorhanden). Ebenso kann nicht ausgeschlossen werden, dass der private Schlüssel auf dem Weg von der erzeugenden BNotK zum HSM kompromittiert wurde, da die supply chain nicht dokumentiert ist. D.h. es kann sein, dass der auf einem ungesicherten USB-Stick die Reise antritt, über unsichere elektronische Kanäle übertragen wird oder auf Papier das HSM erreicht und dort erneut abgetippt wird. Da das HSM eben nicht manipulationssicher ist (das wäre es nur, wenn es "eingefroren" wäre und keinerlei Veränderungen erfahren würde), kann auch nicht ausgeschlossen werden, dass dort Daten abgegriffen werden können. Denn wenn neue Schlüsselpaare eingepflegt werden müssen (das müssen sie zwangsläufig bei Neuzulassungen von Anwälten), Daten also im HSM ergänzt werden können, besteht zwangsläufig die Möglichkeit, auf das HSM zuzugreifen und zu manipulieren. Manipulationssicher würde bedeuten, dass eben auch gewünschte Manipulationen (Hinzufügen der Schlüssel) zur Aufrechterhaltung des Betriebes ausgeschlossen sind.
      Aus der Funktionsweise des Umschlüsselns ergibt sich automatisch die Frage nach dem Postgeheimnis. Ihre Schreiben innerhalb des beA werden nicht an die BRAK adressiert, sondern z.B. an Kollegen B. Nun nimmt sich die BRAK das Recht heraus, erst einmal in ihre Nachrichten hineinzuschauen (natürlich nur gaaanz kurz und so - diese Problematik kennen wir bereits von DE-Mail) und sie anschließend neu zu verschlüsseln und einem Empfänger zuzustellen, den Sie eventuell bewusst nicht vom Inhalt der Nachricht in Kenntnis setzen wollten. Sie haben darauf keinerlei Einfluss! Eine Einstellung wie "Nicht nachsenden! Bitte mit neuer Anschrift zurück!" gibt es beim beA nicht. Hierfür gäbe es ganz andere, elegantere Lösungen. Man sollte zum Beispiel die Frage stellen, weshalb das beA keinerlei Rückmeldung an den Sender gibt, sollte ein Empfänger eine Vertretung eingerichtet haben! Das kann man automatisieren und dann dem Sender die Entscheidung treffen lassen. Dies wäre vernünftig, ohne großen Aufwand umsetzbar und würde die Begründung für das Umschlüsseln entfallen lassen. Hierfür müsste das beA-System lediglich den öffentlichen Schlüssel des Empfängers/Vertreters dem Sender bekannt machen. Weshalb man nicht diesen Weg gewählt hat, ist mir vollkommen schleierhaft. Die Begründung der BRAK (Vertreterregelung) für das gewählte Design ist so schwachsinnig, dass einem die Worte fehlen. Von vertraulich und sicher ist beim beA nichts zu sehen und das ist das Ergebnis, wenn fachliche Laien Projekte managen sollen. Selbst auf rechtlicher Sicht hat die BRAK hier vollends versagt - denen hätte klar sein müssen, dass ihre "Lösung" mit so ziemlich jeder berufstandbezogener Regelung/Gesetzgebung in Konflikt steht, was die Vertraulichkeit der Kommunikation bei Anwälten anbetrifft. Von grundlegenden Regelungen wie Postgeheimnis und BDSG will ich da noch nicht einmal anfangen...

    • 03.01.2018 22:08, bergischer löwe

      @ IT-Futzy
      Aber natürlich wurden diese Fragen bereits im Vorfeld gestellt ! Sie wurden aber schlichtweg nicht beantwortet. Selbst auf die lapidare Frage nach dem Standort der Server wurde man auf den Klageweg verwiesen ... ehrlich, so war das in den Kammerversammlungen !

    • 03.01.2018 22:13, RALZ

      Mit dem Hinweis auf die Kommunikations Problematik haben Sie völlig recht.

      Ansonsten:
      Also i.S.d. der Informatiker handelt es sich nicht um eine End-zu-End Verschlüsselung. Das soll auch bewusst nicht so sein, wie die BRAK auf ihrer Website bereits seit Ende 2016 beschreibt http://bea.brak.de/technische-informationen-zum-verschluesselungsverfahren-beim-bea/

      Die Dateien sind doppelt verschlüsselt. Die Zweitverschlüsselung wird im sog. HSM entschlüsselt (Zweck: Verteilung an mehrer Empfänger). In diesem Moment steht die Nachricht zwar weiterhin nur mit der Erstverschlüsselung zur Verfügung, aber eben auch der Erstschlüssel zum Entschlüsseln dieser Erstverschlüsselung. Dieser Vorgang ist nach Ansicht der BRAK - oder wohl eher Atos - im HSM hoch abgesichert, so dass die Nachricht ja zu keinem Zeitpunkt vollständig entschlüsselt vorläge. Das hat die BRAK - zumindest bisher - anscheinend für eine End-zu-End Verschlüsselung als ausreichend angesehen.

      Die Einwände dagegen sind bereits im entsprechenden Wikipedia Artikel nachzulesen https://de.m.wikipedia.org/wiki/Besonderes_elektronisches_Anwaltspostfach.

      In sofern kann man die Problematik trennen: Bei der End-zu-End Verschlüsselung geht es um den Punkt, dass die privaten Schlüssel (Zweitverschlüsselung) aller RA in Kopie im HSM zur Verfügung stehen.
      Bei den aktuellen Ereignissen vom 22.12. ("Zertifikat") ging es um den/einen privaten Schlüssel der BRAK, der bei allen teilnehmenden RA lokal auf dem Rechner vorhanden ist.

      Beides so gewollt. Beides schlecht.

      Markus Drenger geht auf Nachfrage zu seinem Vortrag allein für die Zertifikatsproblematik davon aus, dass der beA Client neu zu schreiben ist, was Monate dauern kann.

      Die HSM Problematik ist darin nicht enthalten.

      Wir werden also mit Sicherheit erleben, dass das EGVP über den 14.02.2018 hinaus zu nutzen sein wird, allein schon für die MB Anträge.

    • 04.01.2018 08:59, Neunmalklug

      Zur Ende-zu-Ende-Verschlüsselung: Das ist ein unglaubliches Eigentum der BRAK, denn sie behaupten etwas, was sie weder bringen noch überhaupt bringen mussten. Die Rechtsverordnung zum beA enthält diese Forderung nämlich gar nicht. Die haben das imho behauptet, um kritische Nachfragen nach der Sicherheit zu unterbinden, wohl wissend, dass sie - wenn das rauskommt - sagen können, sie hätten gar keine Verpflichtung dazu gehabt. Ich mag jetzt keine (potentiell falschen) juristischen Begriffe nutzen, daher sag ich mal, dass das nach vorsätzliche Täuschung klingt (oder Hanlon's Razor)

  • 03.01.2018 20:56, RA Ruppert

    Ich finde es etwas befremdlich, dass ausgerechnet die BRAK als Standesvertretung der Rechtsanwälte offenbar das Innenverhältnis mit der Fa. ATOS nicht wie ein ordentlicher Kaufmann gestaltet hat. Nirgends lese ich etwas von Konventionalstrafe oder auch nur von Fristsetzungen. Das trägt nicht gerade zum Vertrauen der Bevölkerung in die Anwaltschaft bei, wenn sie nicht einmal ihre eigenen Belange geregelt bekommt.

    Auf diesen Kommentar antworten
    • 03.01.2018 21:57, IT-Futzy

      Ohhh, ich kenne solche Verträge, wie sie sich offenbar die BRAK aufschwatzen lassen hat. Angefangen von der nicht durchgeführten EU-weiten Ausschreibung (was ein klarer Verstoß gegen geltendes Recht ist und quasi das Geschmäckle der Korruption in Richtung BRAK bringt), über die Heimlichtuerei was die vertraglichen Regelungen und den klaren Lügen über die Fähigkeiten des beA, bis zum Umgang mit der Öffentlichkeit beim Bekanntwerden des ersten Desasters scheint alles in eine Richtung zu zeigen -> Unfähigkeit der BRAK in allen rechtlichen und technischen Belangen in Bezug auf das beA.
      Wenn meine Vermutung stimmt und sich die BRAK einen Dienstleistungsvertrag mit Werkvertragselementen hat aufschwatzen lassen, erübrigen sich alle Fragen nach Fristsetzung und Konventionalstrafe. Sollte die vertragliche Regelung nicht meiner Vermutung entsprechen, wäre ATOS ziemlich unberaten, solche Forderungen im stillen Kämmerlein zu akzeptieren. Viel besser wären sie dann beraten, die BRAK klagen zu lassen, die sich dann, als Projektleiter und damit Verantwortlicher für alles, was ATOS gemacht oder unterlassen hat, selbst ein Ei legen würde - salopp formuliert. Die BRAK wird, egal wie es aussieht, einen Teufel tun und ATOS auf irgend etwas zu verklagen, denn dann wird richtig umgegraben und das Unterste an die Öffentlichkeit gezerrt. Das liegt mit Sicherheit nicht im Interesse der BRAK...klassisches Eigentor, welches nur durch die eigene Arroganz fabriziert wurde. Schließlich hat die BRAK sämtliche Angebote der Beratung durch Fachleute vorher ausgeschlagen und das BSI nicht mit einbezogen.

    • 04.01.2018 10:09, RA Stahl

      Ich nehme an ATOS hat sich excellent beraten lassen, von Anwälten die hauptberuflich Rechtsberatung durchführen und nicht 38 Millionen in einem Groschengrab versenken.

  • 03.01.2018 21:57, Karl

    #beagate haha es gibt bereits t Shirts https://www.shirtee.com/de/beaa/ hab mir gleich eins bestellt..geil

    Auf diesen Kommentar antworten
    • 04.01.2018 07:40, RAin

      Fussmatte.... nicht vergessen! Das hat dann auch psychisch eine reinigende Funktion.

  • 03.01.2018 23:25, Zansara

    Haha! Da bestell ich mir auch gleich eins: für die nächste beA Fortbildungsveranstaltung bei der Kammer!

    Auf diesen Kommentar antworten
  • 04.01.2018 10:39, bergischer Löwe

    "Noch mehr Sicherheitslücken im Anwaltspostfach"

    https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html

    Auf diesen Kommentar antworten
    • 04.01.2018 11:08, IT-Futzy

      Gute Zusammenfassung von Golem über den Zustand des beA. Es ist unglaublich, was da für Dilettanten seitens der BRAK den Hut auf haben. Auf mich machen die "Newsletter" der BRAK durchgängig den Eindruck, dass der Vorstand der BRAK durchgängig an pathologischer Hybris leidet.
      Mich erstaunt derzeit nur (egal was in Bezug auf das beA noch herauskommen wird - da liegt noch einiges im Argen), dass die Landeskammern nicht die Öffentlichkeit suchen und endlich Konsequenzen ziehen. Schließlich ist die BRAK doch deren direkte Vertretung in Berlin und Brüssel und die Kammern können Köpfe rollen lasse, sowie für schonungslose Aufklärung sorgen (insbesondere auch um die Vorgänge der freien Vergabe des Auftrags an ATOS, die klar gegen EU-Recht verstößt). Oder handeln die Kammern nach dem Motto "Eine Krähe hackt der anderen kein Auge aus"?

  • 04.01.2018 10:49, Ein Rechtsanwalt

    Wer das alles "entschuldigt", ist selber schuld:
    https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html

    Fazit:
    Ein Fall für den Generalstaatsanwalt.
    Die Frage ist nur - WELCHER !?

    Auf diesen Kommentar antworten
    • 04.01.2018 11:12, IT-Futzy

      Och, ich denke, die Vorgänge bei der BRAK werden noch die Antikorruptionseinheiten der EU auf den Plan rufen und auf jeden Fall strafrechtliche Ermittlungen nach sich ziehen (auch bei den Landeskammern). Die BRAK hat der gesamten Anwaltschaft einen Bärendienst erwiesen und innerhalb von 14 Tagen alles eingerissen, was an Vertrauen existierte.

    • 04.01.2018 18:10, Neunmalklug

      Ich habe hier ein Schreiben von einer Berliner Anwaltssozietät an die Berliner Kammer - sehr ordentlich ausgearbeitet - vorliegen. Die Sozietät stellt dieses Schreiben allen Interessierten zur Verfügung (zum Versenden an die jeweils eigene Kammer). Mann muss das halt nur auf dem eigenen Briefkopf ausdrucken sowie das Wort Berlin gegen die eigene Stadt und das Wort Kammergericht gegen Oberlandesgericht austauschen. Stellt sich die Frage, wie man dieses Schreiben zur Verfügung stellt???

  • 04.01.2018 12:48, Zansara

    Kennt jemand eine seriöse Protestnote, einen offenen Brief oder eine öffentliche Unterschriftenliste wegen des beA Desasters an die die Verantwortlichen der BRAK oder der Landeskammern , denen mn sich anschließen könnte?

    Auf diesen Kommentar antworten
    • 04.01.2018 13:11, Neunmalklug

      In meinem Bekanntenkreis gibt's ein paar RAe, die einen Brief an ihre Länderkammer aufgesetzt haben, den Brief würden die wohl allgemein zur Verfügung stellen, stellt sich die Frage, wie man den übermittelt...

    • 04.01.2018 17:52, Pihale-Alboth

      Sollten wir Anträge stellen auf außerordentliche Kammerversammlungen zum Thema beA?

    • 04.01.2018 19:51, Neunmalklug

      Schreiben einiger Berliner Anwälte an die Berliner Kammer zur freien Verwendung für alle, die das Schreiben an die eigene Kammer senden möchten. Es müssen nur die gelben Felder mit den eigenen Kammer- bzw. Ortdaten ausgefüllt und dann alles auf eigenem Briefkopf gedruckt werden. Die größte Wirkung dürfte das Schreiben erzielen, wenn es in möglichst großer Zahl bei den örtlichen Kammern vor der Sondersitzung am 9.1.2018 eingeht:
      https://www.dropbox.com/s/0r2c0mqrzenk8wp/Blankoschreiben%20an%20RAK%20wegen%20beA.docx?dl=0

    • 04.01.2018 23:09, Neunmalklug

      Anhang zum Schreiben an die jeweiligen Landeskammern (im vorherigen Post vergessen):
      https://www.dropbox.com/s/lb4ms1t7ght0l4q/Schreiben%20RAK%20Anlage.pdf?dl=0

  • 04.01.2018 12:54, RALZ

    @ 04.01.2018 08:59, Neunmalklug

    Die fehlende gesetzliche Verpflichtung zur End-zu-End-Verschlüsselung ist meines Erachtens ein völlig richtiger und der entscheidende Gedanke für die Ursache des ganzen Desasters. Es gab schon vor Jahren in Fachpublikationen bereits zum EGVP den Vorwurf der völlig überbordenden Anforderungen, die sich aus keinerlei gesetzlicher Grundlage ableiten lassen.

    Beispiel Mahnbescheidsantrag im EGVP. Die ZPO sieht nicht zwingend vor, dass ein „maschinell lesbarer“ MB überhaupt unterzeichnet werden muss (§ 690 III ZPO), solange gewährleistet ist, dass er nicht ohne Willen des Antragstellers übermittelt wird. Jedenfalls daraus lässt sich nicht ableiten ihn mit qualifizierter elektronischer Signatur, also Kartenleser, Karte, PIN, End-zu-End versenden zu müssen. Es gibt auch etliche BGH-Beschlüsse bei denen es darum geht, dass die Karte den Tag über im Leser steckt und alle ReFas die persönliche PIN des RA kennen um zu versenden, weil alles andere in der Kanzleipraxis viel zu umständlich ist, vgl. auch die Gesundheitskarte mit den Notlösungen Komfort- und Stapelsignatur. Schätzungen gehen von bis zu 25% der so gestellten MBs aus, also mind. zigtausende im Jahr. Alle unzulässig.
    Da mag eine viel einfacher zu handhabende Software-Verschlüsselung ähnlich PGP oder so (da wird es hier im Forum genug Experten geben) zumindest diesem Gesetz ebenfalls genügen, um „den Willen“ zu dokumentieren.

    Mit Fug und Recht stellt sich die Frage, was eigentlich geschützt werden muss und warum. Das wird jedenfalls von BRAK/Justiz und Gesetzgeber kaum thematisiert und wohl auch kaum untersucht.

    Dabei gibt es dazu durchaus interessanter Ansätze, die für alle Beteiligten vieles vereinfachen würden:

    Was will das Gericht eigentlich bei Nachrichteneingang tatsächlich wissen? Beim papiergebundenen Schriftsatz interessiert nur, dass er unterschrieben ist (formale Prüfung, vgl. Problematik Fax). Wer das wo, wie, wann gemacht hat, ob das leserlich ist oder sonst was, spielt zunächst keine Rolle. Da macht das Gericht allenfalls eine summarische Prüfung. Das mag der Gegner im Prozess bestreiten und dann gibt es ein Gutachten. War ja gerade wieder eine BGH-Entscheidung in der NJW. Wichtig ist allein, dass der Schriftsatz so bei Gericht eingeht, wie er die Kanzlei verlassen hat.

    Und dann ist man schnell bei dem Gedanken, ob den nicht ausschließlich die Strecke von der Außentür der Kanzlei bis zur Außentür des Gerichts relevant ist. Wer in der Kanzlei was wie signiert, kann wie bisher in der ausschließlichen Verantwortung des RA liegen. Auch heute kann z.B. eine ReFa eine Klage unterschreiben und absenden. Das hat der RA zu vertreten. Analog hinter der Tür des Gerichts.

    Der RA mag seine Nachricht also z.B. nur einfach signieren, also noch nicht einmal fortgeschritten. Ohne Karte etc. Hauptsache sie kommt so bei Gericht an, wie sie die Kanzlei verlassen hat. Das Gericht sieht, dass die Nachricht signiert ist (formale Prüfung). Wer die Nachricht wann wie signiert hat, mag der Gegner bestreiten. Dann gibt es ein Gutachten zur Signatur.

    Nun sehen die zwischenzeitlich erlassenen Gesetze für Schriftsätze die qeS vor. Das könnte man durchaus auch hinterfragen. Sei es drum. Der RA kann ja seinen Schriftsatz auch so unterzeichnen. Aber das beA bräuchte sich jedenfalls nur um den sicheren Transport von Tür zu Tür beschäftigen (in Abgrenzung von End-zu-End-Verschlüsselung) und nicht damit, was in den Kanzleiräumlichkeiten passiert. Das sollte sich auch alles mit reiner Softwareverschlüsselung machen lassen, was aber IT-Profis beurteilen mögen. Evtl. ja auch als einfache Erweiterungen zu bestehenden E-Mail-Programmen. Dann ist auf dem Rechner des RA keine gesonderte Software a la beA notwendig und auch unterwegs kein HSM das irgendwas umschlüsseln darf/soll/muss.

    Jetzt, wo Golem nun schon öffentlich spekuliert, dass das beA komplett nicht mehr kommt und 38 Millionen futsch sind, gibt es ja vielleicht doch noch die Möglichkeit, sich vor der sofortigen Festlegung auf einen Lösungsweg erst einmal die Bedürfnisse in der Praxis genau anzuschauen. Was braucht das Gericht bzw. der RA bei Nachrichteneingang. Darauf kommt es an. Ist dafür wirklich End-zu-End-Verschlüsselung notwendig? Jetzt fordert man ja auch nicht bei z.B. der Bitte um Fristverlängerung eines Kollegen ein graphologisches Gutachten, ob den die Unterschrift wirklich echt ist.

    Auf diesen Kommentar antworten
    • 04.01.2018 13:16, IT-Futzy

      Ich bin mal so frei und klemme mich hier einfach mit ein, da der Gedankengang zwar richtig ist, jedoch ein wesentlicher Aspekt fehlt.
      Aus Sicht eines IT-ler sind doch beim elektronischen Rechtsverkehr nur ein paar simple Dinge gefragt:
      1. Identität der kommunizierenden Parteien
      2. gesicherte Übertragung
      3. Beweis der Zustellung
      4. Zugangsbekenntnis

      Alles das kann ich heute schon über die ganz klassische E-Mail abbilden:

      1. Identitäten kann man mit S/MIME, PGP, GnuPG o.ä. sicher stellen, indem ein Schlüsselverzeichnis geführt wird.
      2. Gesicherte Übertragung erreiche ich auf der einen Seite durch die Transportverschlüsselung (SSL/TLS), wie sie heute schon ein Quasi-Standard ist. Eine Aufstockung der Sicherheit (E2E) ist dann mit S/MIME, PGP, GnuPG o.ä. sicher gestellt. Hier stellt sich die Vertreterregelung gar nicht, da es innerhalb vertrauenswürdiger Netzwerke andere Möglichkeiten gibt, als auf dem Arbeitsplatzrechner zu ver/entschlüsseln.
      3. Der Beweis der Zustellung kann zum einen über die Logfiles der Mailserver erbracht werden oder man fordert vom empfangenden Mailserver eine Zustellbestätigung an. Dies ist seit Jahren Standard.
      4. Ein Zugangsbekenntnis erhält man, indem man einfach eine Lesebestätigung anfordert.

      Damit sind alle "Besonderheiten" des elektronischen Rechtsverkehrs abgedeckt - mit Mitteln, die jeder halbwegs intelligente IT-ler innerhalb von Stunden realisiert. Kein Gedöns mit Signaturkarten, Geheimniskrämerei einer zentralen Instanz usw. - einfach eine funktionierende Lösung, die so tausendfach im Einsatz ist.
      Und es hätte den Vorteil, dass es in den Kanzleien auf gewohnten Softwareumgebungen abgebildet werden kann, keinerlei Umgewöhnung bedarf, transparent gestaltet ist UND OpenSourceSoftware nicht automatisch außen vor ist, wie bei den momentanen Lösungen.

    • 04.01.2018 13:40, Neunmalklug

      Ich denke, dass hier zwei Sachen vermengt werden. Einmal die Signatur. und einmal die Transport-Verschlüsselung. Das muss man getrennt sehen und auch wieder gemeinsam.
      Einerseits kann man nur bestimmte Dokumente überhaupt digital signieren (in der Regel nur PDF-Dateien), Word, Bilder und anderes läßt sich nicht signieren. Um also den Absender eindeutig festzustellen, könnte somit nur PDF verwendet werden.
      Dann hat man andererseits die Transportverschlüsselung (egal ob Punkt zu Punkt oder Ende zu Ende). Die Transportverschlüsselung stellt gewissermaßen das Kuvert dar, in dem alles drin steckt. Sie hält die Sachen zusammen und macht sie unleserlich für andere (wie ein Kuvert, in das man ja auch nicht einsehen kann, ohne es zu öffnen). Das transportverschlüsselte Dokument (besser die Ansammlung von Dokumenten) kann ich dann noch signieren, um den Nachweis zu erbringen, dass es von mir stammt. Ich kann also Word-Dokumente mit hineinpacken, die ich zwar selbst nicht signieren kann, da ich jedoch den Container verschlüssele und signiere ist der Nachweis erbracht, das alles von mir ist.
      Das wäre in etwa so, als ob ich alles in ein Kuvert tue und dass dann mit Siegelwachs und meinem persönlichen Siegel versiegele. Wunderbare Sache: Schutz und Nachweis in einem.
      Wenn ich nur signierte PDFs versende, brauche ich eigentlich keine Transportverschlüsselung, aber das signierte PDF ist eine Postkarte, und die will ich nicht mit Mandanteninformationen durch "das wilde" Internet senden.

    • 04.01.2018 13:56, IT-Futzy

      Nein, Transportverschlüsselung hat NICHTS mit E2E zu tun. Transportverschlüsselung ist, auf die analoge Welt übertragen, nur der Briefumschlag. E2E ist in der analogen Welt die Chiffrierung des Inhaltes.

      Weiterhin kann man jegliche Art von Daten, egal in welchem Format diese vorliegen, signieren und damit eventuelle Veränderungen zum Original nachweisen. Eine sichere Signatur kann auch ein Hash-Wert sein, wenn man nicht unbedingt md5 einsetzt. Eine Beschränkung auf PDF gibt es nicht. Ganz davon abgesehen nimmt die Justiz sowieso nur PDF oder TIFF an.

    • 04.01.2018 14:23, Neunmalklug

      Ich habe nicht gesagt, dass eine Transportverschlüsselung E2E ist, sondern nur, dass man sie laut Gesetzeslage nutzen könnte (auch wenn ich das nicht gut fände), denn das Gesetzt fordert gar kein E2E. Die BRAK hat einfach - ohne Not - behauptet, dass das E2E ist (und das isses nicht), wenn die einfach gesagt hätten, es ist verschlüsselt (blabla), dann hätten sie dem Gesetz genüge getan. Der große Kardinalfehler war, dass die BRAK diese E2E-Behauptung selbst aufgestellt hat und die ganze Diskussion dadurch ein eigenes Momentum bekommen hat, denn dadurch haben sich die Anwälte zum ersten mal überhaupt (wahrscheinlich auch im Rahmen der Forenbeiträge) Gedanken darüber gemacht, was das ganze überhaupt bedeutet. Wenn man einfach nur von Verschlüsselung gesprochen hätte, dann wäre dem Gesetz genüge getan und das "Achtung-Geschreie" der ITler wäre im Walde verhallt. Absolut niemand hätte sich damit näher beschäftigt. So kommen jetzt Stück für Stück immer mehr Leichen hoch, von denen jede einzelne in die Kategorie "na und" fällt; die Summe jedoch macht's dann aus. Wobei das auslösende Zertifikate-Problem natürlich erst mal der Supergau ist, denn das ist ein quasi unlösbares Problem, das ohne Redesign (oder immense stetige Kosten für die Anwaltschaft) nicht lösbar ist.
      Und übrigens - Behörden und auch Gerichte versenden sehr wohl Word-Dokumente (habe ich selbst schon häufiger erlebt), da dort in der Regel 0 über die einhergehenden Probleme nachgedacht wird. und Tiffs kann man auch nicht signieren (sieht das Format gar nicht vor). Nur PDFs kann man signieren. Für alles andere (egal was) muss man einen Container schaffen, der die Dateien enthält, und dieser Container wird dann signiert (und gleich noch verschlüsselt).
      Ich bin ja auch schon seit >35 Jahren im Business

    • 04.01.2018 16:37, IT-Futzy

      Mh, ich glaube nicht, dass Du die Problematik, auch wenn Du seit 35 Jahren im Geschäft bist, wie Du schreibt, richtig erfasst. Denn Du schriebst:

      "Dann hat man andererseits die Transportverschlüsselung (egal ob Punkt zu Punkt oder Ende zu Ende)."

      Und das ist eben falsch, da die Transportverschlüsselung nichts mit E2E-Verschlüsselung zu tun hat, sondern immer nur bis zum nächsten erreichbaren Mailserver gilt. Bei jedem beteiligten Hop wird die Transportverschlüsselung aufgebrochen, das ist das Prinzip der Transportverschlüsselung.

      "Sie hält die Sachen zusammen und macht sie unleserlich für andere (wie ein Kuvert, in das man ja auch nicht einsehen kann, ohne es zu öffnen)."

      Ich will nicht kleinlich sein, aber die Transportverschlüsselung hält gar nichts zusammen. Sie stellt lediglich einen verschlüsselten Kanal bis zur nächsten Gegenstelle dar.

      "Das transportverschlüsselte Dokument (besser die Ansammlung von Dokumenten)"

      Es gibt kein "transportverschlüsseltes Dokument", sondern lediglich einen Kommunikationskanal, der gegen Lauscher abgesichert ist.

      "kann ich dann noch signieren, um den Nachweis zu erbringen, dass es von mir stammt."

      Eine Signatur dient in erster Linie dazu, Manipulationen am Dokument auszuschließen. Zusätzlich kann eine Signatur dazu verwendet werden, den Absender zu verifizieren. Dies wird bei PGP/GnuPG und S/MIME i.d.R. von Haus aus gemacht.

      "Ich kann also Word-Dokumente mit hineinpacken, die ich zwar selbst nicht signieren kann,"

      Weshalb sollte eine Signatur von Word-Dokumenten nicht gehen? Natürlich funktioniert das. Nur weil Sie es das 2.Mal behaupten, ist es doch nicht so. Machen Sie bitte Ihr Word/Excel/Powerpoint auf und dann:
      1. Klicken Sie auf die Registerkarte Datei.
      2. Klicken Sie auf Informationen.
      3. Klicken Sie auf Dokument schützen, Arbeitsmappe schützen oder Präsentation schützen.
      4. Klicken Sie auf Digitale Signatur hinzufügen.

      Ebenso ist es möglich OpenDocument-Dateien zu signieren (Open/Libre/Apache-Office).
      Beim Öffnen des Dokumentes auf einer anderen Installation wird genau diese Signatur geprüft.

      "da ich jedoch den Container verschlüssele und signiere ist der Nachweis erbracht, das alles von mir ist."

      Hier vermischen Sie E2E mit Transportverschlüsselung. Es gibt bei Letzterem keinen verschlüsselten Container. Unabhängig von beidem können Sie eine Mail inkl. Dateianhängen signieren und so eine eventuelle Manipulation der übermittelten Nachricht auf dem System des Empfängers nachweisen, da die Signatur bei Verwendung von PGP oder S/MIME immer eine Prüfsumme der gesamten Mail enthält. Dies hat aber wiederum nichts mit der Signatur von einzelnen Officedokumenten zu tun, sondern betrifft nur und ausschließlich die übermittelten Daten.

    • 04.01.2018 18:06, Neunmalklug

      Nochmal:
      Die Verordnung verlangt kein E2E, sondern sie verlangt nur eine irgendwie geartete Form der undefinierten Sicherheit, und die wird nun mal bereits von einer Transportverschlüsselung erbracht. Dass P2P nichts mit E2E zu tun hat ist klar, P2P würde aber wohl bereits den gesetzlichen Anforderungen genügen. Die BRAK hat sich also ohne Not in die Situation begeben, dass sie E2E behauptet, obwohl sie (wohlwollend ausgelegt) nur P2P zur Verfügung stellt.
      Dass man div. Office-Formate "signieren" kann, ist mir klar, das genügt jedoch nicht den gesetzlich geforderten Vorgaben, insofern zählt das nicht.

    • 05.01.2018 07:50, IT-Futzy

      Aber natürlich ist die Signatur von Office-Dokumenten rechtskonform und ausreichend. Es kommt nicht auf die Dokumentenart, sondern die Art der Signatur an.

    • 05.01.2018 09:41, Neunmalklug

      Steht wo?
      Abgesehen davon habe ich noch bei keinem Anwalt gesehen, dass der eine Office-Signatur durchführt (und ich habe schon extrem viele Kanzleien gesehen)

    • 05.01.2018 18:50, IT-Futzy

      Dies steht im Signaturgesetz - sollten Sie doch wissen. Es ist nur entscheidend, dass die Signatur qualifiziert ist und das ist sie auch unter Office-Dokumenten. Was mit einer qeS signiert wird, ist vollkommen unerheblich.

    • 09.01.2018 09:09, RANP

      Das Signaturgesetz gibt es nicht mehr, außer Kraft getreten aufgrund Gesetzes vom 18.07.2017 ( BGBl. I S. 2745 ) m.W.v. 29.07.2017.

    • 10.01.2018 15:07, IT-Futzy

      Dann nehmen Sie einfach die EU-Verordnung Nr. 910/2014 zur Hand, auf welche sich das Gesetz zur Durchführung derselbigen bezieht. Dort finden Sie die Merkmale einer qeS wieder. Da hat sich nichts, im Vergleich zum Signaturgesetz, geändert.

    • 10.01.2018 17:41, RANP

      Jaja, ich wollte ja nur, daß das nicht mehr gültige Signaturgesetz aus den Köpfen der Diskutanten verschwindet. Im übrigen meint das Verwaltungsgericht Wiesbaden, dass durchaus Unterschiede vorhanden sind:
      .
      "Der Transfervermerk lässt nicht erkennen, ob die Signaturprüfung gem. § 7 SigG oder gem. Anhang 1 VO (EU) Nr. 910/2014 erfolgte, da insoweit Unterschiede in den Vorgaben zur qualifizierten Signatur bestehen. Soweit dem Gericht bekannt ist erfolgt eine Signaturprüfung im EGVP aktuell immer noch nur bezüglich der Signaturmerkmale nach § 7 SigG und nicht nach der VO (EU) Nr. 910/2014."
      .
      VG Wiesbaden - 6 K 335/17.WI.A -
      http://www.jurpc.de/jurpc/show?id=20170171
      .
      Lesenswert :-)

    • 10.01.2018 19:27, IT-Futzy

      Vielen Dank für die Erläuterung und das verlinkte Urteil. Ist dies aber nicht mittlerweile überholt, da der Gesetzgeber ja nun nachgebessert und die vor dem Inkrafttreten der EUVO ausgestellten Signaturen (also priv.Schlüssel) ausnahmslos als gültig gemäß der EUVO gestellt hat?
      Sehr interessant ist aber das Ankreiden der GO in Hessen und damit der Abläufe beim Eingang von elektronischer Post - auch wenn das für mich, als IT-ler, natürlich sehr holprig zu verstehen ist ( der technische Aspekt ist klar, nur die rechtlichen Rahmenbedingungen sind schwer nachvollziehbar).
      Ich bin aber erfreut, dass hier endlich mal Richter zu einem Thema Stellung beziehen, mit welchem sie sich auch beschäftigt haben! Normalerweise fallen die Richter und Staatsanwälte eher mit gar keinem Wissen, bestenfalls mit gefährlichem Halbwissen, bei solchen Themen auf und sind unbelehrbar (mehrfach als Sachverständiger erlebt).

      Letztendlich gewinne ich immer mehr den Eindruck, dass bei der Justiz Hopfen und Malz bzgl. IT verloren ist, da dort zu viele Menschen mit keiner bis sehr wenig Ahnung von der Materie "herumpfuschen" und dann noch politisch gewollte Entscheidungen getroffen werden, die sehr praxisfremd sind - um es höflich auszudrücken.

  • 04.01.2018 13:34, Martin Heidemann

    Ob das beA wirklich eine E2E Verschlüsselung anbietet oder nicht wurde bereits 2016 in dem Verfahren vor dem Anwaltsgerichtshof Berlin II AGH 15/15 mit Schriftsatz vom 03.11.2016 unter Verweis auf die Umschlüsselung im HSM in Frage gestellt.

    Auf diesen Kommentar antworten
  • 04.01.2018 13:59, IT-Futzy

    Von der RAK Sachsen:

    "Die Präsidentinnen und Präsidenten der regionalen Rechtsanwaltskammern werden mit dem Präsidium der BRAK in einer eigens dafür einberufenen außerordentlichen Präsidentenkonferenz am 09.01.2018 die aktuelle Situation, ihre Auswirkungen und das weitere Vorgehen beraten. Dabei wird auch Gelegenheit bestehen, die bereits vielfach aus dem Kollegenkreis an die regionalen Kammern herangetragenen, teilweise auch sehr kritischen Fragen zu den Ursachen und dem Umgang mit den aufgetretenen Problemen anzusprechen und gemeinsam nach Lösungen zu suchen."

    Na da bin ich ja mal gespannt. Ich frage mich allerdings, weshalb absolut fachfremde Personenkreise nach Lösungen suchen wollen und was dabei wohl heraus kommen wird... ;-)

    Auf diesen Kommentar antworten
  • 04.01.2018 16:10, Ein Rechtsanwalt

    Unfassbar:
    http://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html

    Auf diesen Kommentar antworten
  • 04.01.2018 17:45, Horst

    Dieser Skandal sollte Anlaß für die Kammern und die BRAK sein, auf den Gesetzgeber einzuwirken, die Benutzung dieses beA auf freiwilliger Basis bereitzustellen.
    Rechtsanwälte sind keine IT-Spezialisten und können diese Materie auch nicht beherrschen. Es mag Ausnahmen geben.
    Die elektronische Kommunikation über das Internet hat in der Rechtspflege, in der es um höchst persönliche und vertrauliche Sachverhalte geht, nichts zu suchen. Seit Edward Snowden dürfte und müßte jeder zur Erkenntnis gelangt sein, daß es eine sichere Kommunikation über das Internet nicht gibt. Selbst wenn es sie kurzfristig geben sollte, dann ist sie im nächsten Moment überholt, da geknackt oder veraltet oder wie auch immer.
    Mag sich derjenige damit beschäftigen, der zuviel Zeit hat. Mein Tag als Anwalt ist schon viel zu kurz. Wenn ich mich nun noch mit diesem technischen Firlefanz beschäftigen soll, dann bleiben meine Akten liegen und ich verdiene kein Geld mehr, um Kammerbeiträge bezahlen zu können.

    Auf diesen Kommentar antworten
    • 05.01.2018 00:32, Neunmalklug

      Hallo Horst,
      vielleicht sehen Sie sich mal die Schreiben an die Kammern an, die mit den Links zwei Posts weiter zur Verfügung gestellt werden.

  • 04.01.2018 19:07, RALZ

    Endlich schreibt die BRAK mal was zu den praktischen Problemen. Aber wie!
    Es gibt eine neue Kammermitteilung. In der finden sich zur Containersignatur (seit 01.01.2018 gem. § 4 ERVV unzulässig) Ausführungen. Das ist wichtig, da MB-Anträge ersatzweise elektronisch nur noch über das EGVP möglich sind. Dieses kann aber "nur" Containersigatur.

    Zitat: "Was bedeutet die Offline-Stellung des beA für die erweiterte Nutzungsverpflichtung im automatisierten Mahnverfahren?
    Für das automatisierte Mahnverfahren gilt ab dem 1.1.2018 nach dem Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs (BGBl. 2017 I 2208) eine erweiterte Nutzungsverpflichtung. Es ist möglich, die erweiterte Nutzungspflicht ohne das beA zu erfüllen, denn das automatisierte Mahnverfahren sieht
    auch die Möglichkeit der Einreichung in Papierform über das sogenannte Barcode-Verfahren vor. Ebenso ist es möglich, einen EGVP-Bürger-Client oder ein EGVP-Drittprodukt (http://www.egvp.de/Drittprodukte/index.php) zu
    nutzen, um Mahnanträge in elektronischer Form einzureichen. Des Weiteren kann die Einreichung ab dem 1. Januar 2018 per De-Mail erfolgen. Der EGVP-Bürger-Client soll noch bis mindestens zum 13.2.2018 zur Verfügung stehen. Bitte beachten Sie, dass die
    Signaturfunktion des EGVP-Bürger-Clients eine Nachrichtensignatur (sogenannte Containersignatur) anbringt, die ab
    dem 1.1.2018 im Anwendungsbereich der ERVV unzulässig ist (zu § 4 ERVV siehe auch die Erläuterungen im beANewsletter 46/2017 vom 16.11.2017). Da aber nach Auskunft der Koordinierungsstelle für das automatisierte Mahnverfahren die ERVV hier nicht anwendbar ist, kann die vom EGVP-Bürger-Client erzeugte Containersignatur für das automatisierte Mahnverfahren auch im Jahr 2018 weiterhin verwendet werden."

    Als Jurist fühle ich mich wie ein kleines Kind behandelt:
    Es wäre schom interessant, wie die Koordinierungsstelle es rechtlich begründet, dass das ERVV nicht auf das autom. Mahnverfahren anzuwenden ist. Woraus soll sich das ergeben?

    Die Koordinierungsstelle ist ein rein technisches Gremium und in sofern ein rechtliches Nullum. Schon ein wenig befremdlich, dass sich die BRAK in ihren Mitteilungen durchweg auf Dritte bezieht. Bei technischen Fragen kann ich den Verweis auf Atos noch verstehen. Aber bei rechtlichen? Die BRAK? Das muss sie doch nun wirklich selber im Wege der Gesetzessubsumtion klären können.

    Was soll ich den im Streifall vor Gericht vortragen? Etwa: Die BRAK hat aber in einem Newsletter gesagt, die Koordinierungsstelle hat gesagt, das ERVV findet auf per EGVP versendete MB-Anträge keine Anwendung! Das allein wird wohl wohl kaum jeden Richter überzeugen.

    Auf diesen Kommentar antworten
  • 04.01.2018 19:11, Bitterbobbe

    Einige Anwälte hatten Verfassungsbeschwerde (Vb.) gg. die Verpflichtung ab 01.01.18 die Technik für das beA vorzuhalten, eingelegt. Ein Anwalt hat immerhin eine, m. A. nach nicht haltbare, Begründung für eine unzulässige Vb. erhalten. Die anderen Beschwerde wurden teilweise durch nicht begründete Nichtannahme zurückgewiesen.

    Es ist m. A. nach nicht erfolgversprechend, nur zu kritisieren, sondern Taten müssen erfolgen. Als solche kommen in Betracht: Anrufung des Europ. Gerichtshofes gegen Ablehnungen von Vb.en, weitere Vb.en, Einberufungen außerordentlicher Mitgliederversammlungen der Kammern, politische Maßnahmen.

    Wer insoweit mitarbeiten will, kann sich auf meinem E-Mail account egb28@gmx.de melden. Es ist leider so, daß die Anwälte spät aktiv werden, aber der Zusammenbruch des beA sollte Anlaß sein, sich diesbezüglich zu engagieren.

    Auf diesen Kommentar antworten
  • 05.01.2018 00:10, Neunmalklug

    Einige Berliner Anwälte haben ein Schreiben an die jeweils örtlich zuständige Kammer erstellt, das sie hiermit zur freien Verfügung an alle Interessierten Anwälte frei geben. Wer dieses Schreiben verwenden möchte, kann es von folgendem Link laden. Dazu gehört noch ein Anhang, der vom nächsten Link geladen werden kann. Das Schreiben muss nur mit den eigenen Ortsdaten, dem zuständigen OLG ausgefüllt und dann auf eigenem Briefbogen ausgedruckt werden. Da es am nächsten Dienstag den 9.1. eine Sondersitzung der Kammern gibt, wäre es sinnvoll, wenn das Schreiben vorher an die Kammern gesendet wird. Das Schreiben mit Anhang kann beliebig an andere Kollegen weitergeleitet werden. Vielleicht bewirkt das Schreiben ja etwas, wenn es von vielen RAe verwendet wird.
    Das Schreiben:
    https://www.dropbox.com/s/0r2c0mqrzenk8wp/Blankoschreiben%20an%20RAK%20wegen%20beA.docx?dl=0
    Die zugehörige Anlage:
    https://www.dropbox.com/s/lb4ms1t7ght0l4q/Schreiben%20RAK%20Anlage.pdf?dl=0

    Auf diesen Kommentar antworten
    • 05.01.2018 08:44, Christian Korte

      Dank an die Kollegen! Vorzügliche Arbeit.

  • 05.01.2018 09:10, RALZ

    Wenn die Kammer es nicht macht, dann eben selbst:

    Rechtlich ist es wohl tatsächlich so, dass die ERVV und insbesondere dort § 4 II ERVV, der die Containersignatur verbietet, nicht das automatisierte Mahnverfahren betrifft. D.h., MB-Anträge können weiterhin per EGVP mit Containersignatur versendet werden.

    Rechtliche Herleitung:

    § 1 ERVV (Geltungsbereich) -> verweist auf § 130a (neu) ZPO = erfasst werden die dort definierten elektronischen Dokumente.
    §130a (neu) ZPO ist auf das automatisierte Mahnverfahren nicht anwendbar. § 690 III ZPO (Mahnantrag) ist in soweit lex specialis.

    Vgl. auch § 1 II ERVV "Besondere bundesrechtliche Vorschriften über die Übermittlung elektronischer Dokumente und strukturierter
    maschinenlesbarer Datensätze bleiben unberührt."

    Ebenso Zöller, Rn. 3 zu § 130a ZPO

    Auf diesen Kommentar antworten
    • 05.01.2018 16:00, RANP

      Möglicherweise besteht ein Mißverständnis: Im kostenlosen Governikus Communicator Justiz als EGVP-Client kann bei der Erstellung einer neuen Nachricht eingestellt werden, ob die Nachricht (der Container) signiert werden soll oder nicht. Es genügt also, die Container-Signatur abzuschalten und die mit diesem Client zu versendenden Dokumente (Schriftsätze) als solche mit einer qualifizierten elektronischen Signatur zu versehen. Damit ist der Vorschrift des ERVV bestens Genüge getan.

    • 05.01.2018 18:43, RALZ

      Ein Missverständnis könnte ich jetzt nicht so ohne weiteres entdecken. Man muss bei der Nutzung des EGVP halt zwischen Schriftsätzen (SS) und MB-Anträgen (MB) unterscheiden:

      SS müssen nicht el. versendet werden, sondern sind noch ein paar Jahre in Papierform möglich (passive Nutzungspflicht). Wenn man sie mit EGVP versenden möchte, dann wie von ihnen beschrieben vorher immer mit zusätzlicher Software einzeln qualifiziert signiert. Ob eine nachgelagerte zusätzliche Containersignatur durch das EGVP schädlich ist, weiss ich derzeit nicht. Notwendig ist sie jedenfalls nicht und das von ihnen vorgeschlagene Ausschalten ist eine gute Idee.

      Bei MB ist es ja anders und zwar schon jetzt Tag für Tag. RAs müssen diese maschinell lesbar einreichen. Klar. Ein Weg ist auch hier das EGVP. Hier genügt aber weiterhin die Containersignatur. Neben der dann doch recht eindeutigen Rechtsgrundlage und der Begründung zu $ 1 II ERVV haben sich darüber auch die 12 zentralen Mahngerichte in der
      Praxis abgestimmt. Monierungen wird es nicht geben. Das ist auch der einzig gangbare Weg, weil ja bei mehreren MB zu verschiedenen Verfahren, aber an ein Gericht diese sehr oft in einer einzigen EDA Datei zusammengefasst sind. Da gibt es dann gar keine einzelnen Anträge die sich einzeln qualifiziert signieren liessen.

  • 05.01.2018 10:03, Christian Korte

    Nun macht offenbar auch das Justizministerium Druck, alles andere hätte auch überrascht:

    http://rsw.beck.de/cms/?toc=njw.root&docid=400333

    Auf diesen Kommentar antworten
  • 07.01.2018 08:41, Rechtsanwalt winfried schöttler, münchen

    Das ganze desaster gäbe es nicht, wenn man hartmut mehdorn mit der einführung des beA beauftragt hätte. Er war kompetent und zielstrebig-erfolgreich für die Bahn und für den Flughafen BER tätig gewesen. Ohne solche Könner geht es halt nicht!

    Auf diesen Kommentar antworten
    • 07.01.2018 10:50, Thomas Ruppert

      Nicht zu vergessen seine überaus erfolgreiche Tätigkeit als Vorstandschef der Air Berlin.

      Zitat aus Wikipedia:

      "In einer repräsentativen Umfrage, bei der das Ansehen und die Leistung der 20 im Jahr 2007 von der Deutschen Presse-Agentur meisterwähnten Deutschen bewertet wurde, erhielt Mehdorn die schlechteste Bewertung.[114] In einer Umfrage zum Ansehen deutscher Spitzen-Manager unter 1000 deutschen Führungskräften war Mehdorn ebenfalls über mehrere Jahre auf dem letzten Platz. Ende 2008 erreichte er in derselben Statistik den zweiten Platz.[115]"

  • 09.01.2018 00:37, Jan Kohlfeld

    Habe soeben total laut gepupst.

    Tut mir leid!

    Auf diesen Kommentar antworten
  • 17.01.2018 08:26, Enrico Weigelt,+metux+IT+consult

    Auch der einzelne RA kann - und muß - etwas tun: Druck auf die BRAK ausüben und auf ein OpenSource-Projekt hinwirken.

    Betrifft aber auch die BNotK und ihre Nötigung zu Malware (unsichere Java-Plugins):
    https://foss-erv.blogspot.de/2018/01/beaben-der-nachste-anschlag-notarkammer.html

    Auf diesen Kommentar antworten
  • 17.01.2018 08:28, Enrico Weigelt,+metux+IT+consult

    > ich kann mich des Eindrucks nicht erwehren, dass da noch wesentlich mehr im
    > Hintergrund "kokelt", als man uns sagen mag.

    Ja, zB. nötigt die Notarkammer (zur Kartenfreischaltung) zu extrem unsicheren Java-Plugins. Dürfte schon strafrechtlich relevant sein:

    https://foss-erv.blogspot.de/2018/01/beaben-der-nachste-anschlag-notarkammer.html

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Rechts­an­walt (m/w/d) mit Schwer­punkt für den Be­reich Mar­ken- und Wett­be­werbs­recht / für den Be­reich IT- und Da­ten­schutz­recht

CBH Rechtsanwälte, Köln

Syn­di­kus­an­walt (m/w/d)

12Tree Finance GmbH, Ber­lin

Rechts­an­wäl­te (m/w) Cor­po­ra­te

Noerr LLP, Ber­lin und 7 wei­te­re

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­walt / Rechts­an­wäl­tin für Ar­beits­recht, insb. kol­lek­ti­ves Ar­beits­recht

APITZSCH SCHMIDT KLEBE, Frank­furt/M.

Be­auf­trag­ter für Ver­ga­be­ver­fah­ren / Voll­ju­rist Öf­f­ent­li­ches Recht (d/m/w)

VDI/VDE Innovation + Technik GmbH, Ber­lin

RECHTS­AN­WÄL­TE (M/W/D) im Be­reich Li­ti­ga­ti­on & Dis­pu­te Re­so­lu­ti­on

Clifford Chance, Mün­chen

Rechts­an­wäl­tin/Rechts­an­walt im Fach­be­reich Da­ten­schutz

REDEKER SELLNER DAHS, Ber­lin

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial Con­tracts (Schwer­punkt: Au­to­mo­ti­ve)

Bird & Bird LLP, Frank­furt/M.

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te Un­ter­neh­mens­nach­fol­ge

Hennerkes, Kirchdörfer & Lorz, Stutt­gart

As­so­cia­tes (m/w/d) im Im­mo­bi­li­en­recht

DLA Piper UK LLP, Frank­furt/M. und 2 wei­te­re

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w/d) für den Be­reich Straf­recht

Melchers Rechtsanwälte, Hei­del­berg

RECHTS­AN­WÄL­TIN / RECHTS­AN­WALT im Be­reich Pro­jects & Pu­b­lic Sec­tor, ins­be­son­de­re für öf­f­ent­li­ches Pla­nungs-, Bau- und Um­welt­recht

GSK Stockmann, Mün­chen

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te

Kliemt.Arbeitsrecht, Düs­sel­dorf und 3 wei­te­re

RECHTS­AN­WALT (M/W/D) im Be­reich GE­SELL­SCHAFTS­RECHT / M&A

FPS Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten mbB, Düs­sel­dorf

Rechts­an­walt (m/w/d) für den Be­reich Bau- und Im­mo­bi­li­en­recht, ins­be­son­de­re im ge­werb­li­chen Miet­recht

Melchers Rechtsanwälte, Hei­del­berg

Rechts­an­wäl­te (m/w)

DLA Piper UK LLP, Köln

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht

Bird & Bird LLP, Mün­chen

Rechts­an­wäl­te w/m im Be­reich M&A | Pri­va­te Equi­ty | Ven­tu­re Ca­pi­tal

Heuking Kühn Lüer Wojtek, Stutt­gart

Rechts­an­walt (m/w) im Be­reich En­er­gie- und In­fra­struk­tur­pro­jek­te und Pro­jekt­fi­nan­zie­rung

Norton Rose Fulbright LLP, Mün­chen

Cor­po­ra­te Coun­sel (m/f) in the field of com­mer­cial and IT law

Kulzer Deutschland, Ha­nau

Le­gal Pro­ject Ma­na­ger (m/w/d)

Clifford Chance, Düs­sel­dorf und 1 wei­te­re

VOLL­JU­RIS­TIN­NEN / VOLL­JU­RIS­TEN

Deutsches Patent- und Markenamt München, Mün­chen

Mit­ar­bei­ter (m/w) Qua­li­ty & Risk Ma­na­ge­ment – Da­ten­schutz

KPMG, Ber­lin