beAthon zum Anwaltspostfach: Es ist noch sch­limmer. Aber es wird besser.

von Jörn Erbguth

28.01.2018

Statt einem offenen Hackathon zum Anwaltspostfach gab es eine geschlossene Diskussion mit 20 handverlesenen Gästen, aber ohne die Softwarehersteller. Die Skepsis gegenüber der BRAK-Veranstaltung war groß. Jörn Erbguth war dabei. 

Vorweg: Die Skepsis erwies sich als unbegründet. Ohne Softwarehersteller konnte man zügig durch die lange Liste von Sicherheitsproblemen des besonderen elektronischen Anwaltspostfachs (beA) gehen, die Markus Drenger und seine Kollegen Justus Hoffmann und Felix Rohrbach vom CCC Darmstadt vorbereitet hatten.

Souverän moderiert wurde der beAthon von Prof. Dr. Stephan Ory, dem Vorstandsvorsitzenden des EDV-Gerichtstags. Der Verein für IT in Rechtspflege und Verwaltung war daneben noch durch Christoph Sorge und meine Person vertreten. Ory schichtete die Probleme ab: Was ist eine Minimalbedingung für eine Wiederinbetriebnahme und in welche Richtung sollte das beA weiterentwickelt werden? Letzteres wurde unter dem Stichpunkt "beA+" gefasst und wird am 5. März vom EDV-Gerichtstag in Berlin diskutiert

Die BRAK wurde in der Krisensitzung zum Postfach-Desaster vertreten durch den Vizepräsidenten Dr. Martin Abend, die Geschäftsführerinnen Julia von Seltmann und Stephanie Beyrich sowie den Projektleiter Hannes Müller. Positiv wurde allseits aufgenommen, dass die Begutachtung durch die Firma Secunet alle Komponenten des beA – also auch Server und HSM umfassen soll. Sie soll schrittweise geschehen und zumindest der BRAK-Präsidentenkonferenz zugänglich gemacht werden.

Der Gastgeberin wurde mitgegeben, mehr Offenheit zu wagen und nach Möglichkeit den Quellcode offen zu legen. Obwohl die vorgetragene Liste der Sicherheitsmängel lang war, ist es unwahrscheinlich, dass ohne den Zugriff auf diesen alle Schwachstellen gefunden werden.

Massive Sicherheitslücke: beA-Client trotz abgeschalteten Postfachs gefährlich

Auf technischer Seite stellten sich noch mehr Probleme heraus, als bisher bereits bekannt waren. So führt die Verwendung veralteter Java-Bibliotheken zu einer sehr konkreten Gefährdung der Anwaltsrechner. Anwaltsrechner können bereits beim Besuch einer Website angegriffen und übernommen werden.

ATOS war auf diese Sicherheitslücke hingewiesen worden, wiegelte aber ab: Es bestehe wegen des abgeschalteten beA-Servers aktuell keine konkrete Gefährdung. Die beim beAthon anwesenden Experten sahen dies jedoch anders. Nach kurzer Diskussion schuf ein Test Klarheit: Das Problem der Java-Deserialisierungslücke war selbst bei dem aktuell abgeschalteten beA-Server  vorhanden. Surft ein Anwalt, der die beA-Software installiert und aktiviert hat, im Internet, setzt er seinen Rechner einer akuten Gefahr aus. Ähnlich wie vor Weihnachten musste konstatiert werden: Das beA-System macht Anwaltsrechner unsicher.

Die BRAK reagierte umgehend und gab noch am selben Abend eine Presseerklärung heraus, mit der sie die Nutzer zur Deinstallation aufforderte. Darüber hinaus ist ein Update geplant, wodurch die bis dahin noch nicht deaktivierten Client-Security-Installationen automatisch deaktiviert werden.

Vorgestellt wurde auch die neue Lösung von Atos für die https-Anbindung der Client-Security. Bei der Installation wird ein selbst signiertes Client-Zertifikat generiert und installiert. Nach ein paar Rückfragen war klar: In der gegebenen Architektur ist das der richtige Weg. Der BRAK war kurz vor dem beAthon eine überarbeitete Version der Client-Security zur Verfügung gestellt worden, die ATOS öffentlich anpries: "Sicherheit und Integrität sind wieder hergestellt".  Ungeprüft glauben wollte das beim beAthon jedoch niemand mehr. Von daher wird die BRAK diese vor einer ausführlichen Begutachtung nicht ausliefern.

Generalschlüssel statt Ende-zu-Ende-Verschlüsselung

Kontrovers war die Diskussion um die Ende-zu-Ende-Verschlüsselung (E2EE). Die BRAK nutzt diesen Begriff seit Jahren, um die Sicherheit des Anwaltspostfachs zu beschreiben. Die fachsprachliche, allgemeine Definition von E2EE ist, dass niemand außer den kommunizierenden Parteien Zugriff auf die Schlüssel zur Entschlüsselung hat. Damit kann auch ein böswilliger "man in the middle" nicht auf die Inhalte der Nachrichten zugreifen. Es sollte also durch eine Verschlüsselung außerhalb des Servers von vorneherein technisch ausgeschlossen sein, im beA-Server die Nachrichten zu entschlüsseln.

Im vorliegenden beA-System könnte der Server die Nachrichten aber sehr wohl entschlüsseln. Nur die korrekte Implementierung von Sicherheitsmaßnahmen sowie der sichere Betrieb des Servers gewährleisten, dass dies nicht geschieht.

Als falsch erwies sich auch die bisherige Darstellung der BRAK, dass es keinen Generalschlüssel für das Hardware Security Module (HSM) gäbe. Vielmehr wurde deutlich, dass es für die Übertragung von einem HSM auf ein neues HSM einen Schlüssel gibt, der auf mehrere Parteien – sogenannte Key-Custodians – verteilt ist. Würde man ein neues, manipuliertes HSM aufbauen, könnte man mit diesem Schlüssel die privaten Postfachschlüssel in das manipulierte HSM übertragen und von diesem dann auslesen. 

Auf welche Personen ist nun dieser Generalschlüssel aufgeteilt? Das ist geheim. Zumindest soll ihn nicht ATOS haben und ohne Mitwirkung der BRAK ist der Schlüssel nicht komplett. Aus dem Kreis der anwesenden Kryptoexperten wurde bestätgt, dass diese Art der Absicherung ein Standardverfahren für HSM ist. Einig war man sich auch, dass die Implementierung via HSM – wenn sie richtig gemacht wird – ein hohes Sicherheitsniveau erreicht, die z.B. deutlich über der Sicherheit des Fax-Versands liegt.

Da eine Entschlüsselung bei der BRAK nicht völlig ausgeschlossen werden kann, wurde aber auch andiskutiert, ob die BRAK deshalb als Auftragsdatenverarbeiter im Sinne der DS-GVO angesehen werden muss.

Ein intensiver Austausch fand in der Folge darüber statt, warum diese Umschlüsselung durch das HSM gewählt wurde. Am Ende waren fast alle davon überzeugt, dass es keine gesetzlichen oder sonstigen triftigen Gründe gegen eine echte E2EE der Nachrichteninhalte gibt. Das wird sicher bei der Diskussion über die Weiterentwicklung auf der Tagesordnung stehen. Aus dem Kreis der anwesenden Anwälte mit fundiertem IT-Know How wie Matthias Bergt sowie Dr. Marcus Werner und Sebastian Reiling vom Deutschen Anwaltverein wurde betont, wie wichtig eine E2EE für die Akzeptanz sei – das habe man bei Whatsapp gesehen und es gelte noch viel mehr für die Anwaltschaft.

Überwachung durch staatliche Stellen?

Gefragt, aber nicht beantwortet wurde, ob BRAK und das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) bestätigen können, dass sie das beA nicht als öffentlich zugänglichen Telekommunikationsdienst i.S.v. § 3 Nr. 17a Telekommunikationsgesetz (TKG) sehen. Wichtig ist das deshalb, weil für öffentlich zugängliche Kommunikationsdienste die Vorschrift des § 110 TKG gilt: Ihr Betreiber muss Einrichtungen zur Überwachung vorhalten. Zwar ist das beA nur einem beschränkten Nutzerkreis zugänglich. Allerdings ist es mit dem öffentlich zugänglichen Elektronischen Gerichts- und Verwaltungspostfach (EGVP) verbunden. Nach einer Mindermeinung in der Literatur reiche das aus, um das Anwaltspostfach selbst zum öffentlich zugänglichen Kommunikationsdienst zu machen.

Kontrovers wurde debattiert, wie gravierend es ist, dass beliebige Websites erkennen können, dass sie von einem Anwalt besucht werden. Demonstriert hatte diese Möglichkeit bereits im März 2017 Ralph Hecksteden . Atos hat in Aussicht gestellt, die Software umzubauen, um diese Erkennung zu unterbinden. Ob und wie dies bei der gegebenen Architektur möglich ist, blieb am Freitag offen. 

Es ging schließlich auch um eine Reihe von Schwachstellen beim EGVP, die dessen Betrieb empfindlich störten könnten. Die BRAK, die den Betrieb des EGVP nicht verantwortet, kann dabei nur indirekt aktiv werden. Umso mehr dürfte die Debatte den Vertreter des BMJV, Oliver Sabel, interessiert haben, der ebenfalls anwesend war. 

Der beAthon war nur ein Anfang

Allen Beteiligten war klar, dass es mit einem beAthon nicht getan ist. Um den elektronischen Rechtsverkehr zum Fliegen zu bringen, braucht die BRAK Unterstützung. Positiv ist, dass sie inzwischen bereit ist, diese anzunehmen. Ebenfalls positiv ist die zunehmende Offenheit und die Bereitschaft der BRAK, dazu zu lernen. Dies ist denn auch der Grund, trotz der erschütternden Nachrichten über den technischen Zustand des beA vorsichtig optimistisch zu sein.

Darüber hinaus müssen grundsätzliche Fragen noch diskutiert werden. Denn eines ist klar: Ein repariertes beA in der aktuellen Konzeption ist eher Notlösung als Ideallösung für den elektronischen Rechtsverkehr.

Organisiert wurde der beAthon von der stark vertretenen Kommunikationsagentur Johanssen + Kretschmer. Auch wenn deren Kommunikation zum beAthon im Vorfeld auf Kritik gestoßen ist, war die Durchführung der Veranstaltung sicherlich ein Erfolg und ein wichtiger Schritt für den elektronischen Rechtsverkehr in Deutschland. 

Der Autor Jörn Erbguth ist Legal-Tech-Berater zu Blockchain und Smart Contracts in Genf. Er ist zertifizierter Datenschutzbeauftragter und lehrt  an der Geneva School of Diplomacy. Zusätzliche Hintergründe und weitere Details zum beA wird das Vorstandsmitglied des EDV-Gerichtstags in der Online-Zeitschrift jurPC veröffentlichen.

Zitiervorschlag

Jörn Erbguth, beAthon zum Anwaltspostfach: Es ist noch schlimmer. Aber es wird besser. . In: Legal Tribune Online, 28.01.2018 , https://www.lto.de/persistent/a_id/26731/ (abgerufen am: 26.05.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 28.01.2018 11:00, Kowalsky

    Hübsch.
    Alles wird gut!
    Wurde ein Datum für die Wiederinbetriebnahme genannt? Ein Zeitfenster?
    Wie sollen die Java-Sicherheitslücken geschlossen werden? Verwendung einer anderen Programmietsprache?

    Auf diesen Kommentar antworten
    • 28.01.2018 19:51, Jörn Erbguth

      Alles "ist" gut, sagt nur Atos und das glaubt selbst die BRAK nicht mehr. Einen Termin gibt es nicht und bevor das neue Gutachten nicht da ist, wird nichts entschieden.

  • 28.01.2018 11:27, Rechtsanwalt Gunther Marko

    "Bullshit made in Germany":

    http://www.youtube.com/watch?v=p56aVppK2W4&feature=youtu.be

    Auf diesen Kommentar antworten
    • 28.01.2018 17:37, Carsten Dams

      Sehr guter Beitrag.

  • 28.01.2018 12:42, RA DREWS

    "Sicherheitsnivieau über dem Fax" - Hier zeigt sich m.E. ganz grundsätzlich der Denkfehler.

    Wieso brauche ich ein Sicherheitsnivieau über dem Fax? Selbst den einfachen Brief kann jeder öffnen/manipulieren / Unterschriften fälschen und das hat man über Jahrhunderte hingenommen!

    Warum genügt nicht einfach ein Scan mit Unterschrift? Beim einfachen Brief weiß auch niemand, wer diesen verschickt hat.

    Millionen unserer hart erarbeiteten Gebühren für derart Unsinniges verbrannt.
    Inzwischen gibt es Institutionen, die einen Schriftsatz nicht mehr annehmen (zB elektronisches Schutzschriftenregister).

    Das ganze hätte bereits politisch verhindert werden müssen, wenigstens aber verlässlich und professionell umgesetzt werden müssen. Dafür ist es offensichtlich zu spät.

    Nur ein sofortiger vollständiger Stopp des ERV und eine besonnene Diskussion, wo man wie hin will, kann jetzt richtig sein!
    Ob dieses misslungene beA zu retten ist, ist Zeitverschwendung. Das gehört auf dem Mühlhausen der Rechtsgeschichte.

    Auf diesen Kommentar antworten
    • 29.01.2018 12:48, RegAng

      Verwechseln Sie den ERV nicht mit dem beA. ERV meint auch digitalisierte und Abrufbare Register. Keiner will ein Grundbuchsystem oder ein Handelsregister in dem man nichts findet, außer einer Zettelwirtschaft.

    • 29.01.2018 13:14, Wolfgang Hüber

      Ob der Verfasser "Müllhaufen" oder "Münchhausen" meint, kann sein Geheimnis bleiben. Richtig wäre beides.

  • 28.01.2018 14:18, RA Stehmann

    Da mittels IT eine sehr sichere End-to-end-Verschlüsselung ohne großen Aufwand möglich ist, ist die Rechtsanwaltschaft ihrer Mandantschaft gegenüber verpflichtet, diese aus dem technischen Fortschritt erwachsene Möglichkeit auch zu nutzen. Die Verschwiegenheitspflicht gebietet es, die jeweils aktuelle Technik zur Wahrung derselben zu nutzen. Man kann sich nicht auf die "Vorväter" zu berufen, die solche Möglichkeiten noch nicht kannten.

    Auf diesen Kommentar antworten
    • 28.01.2018 16:18, Rechtsanwalt Gunther Marko

      Mit Verlaub, werter Herr Stehmann,

      Sie leben offenkundig hinter dem Mond.

      Es ist mir allerdings neu, dass es dort einen "RA" gibt, den Sie vorgeben, sein zu wollen...

      Mit ausserirdischem Gruß
      Gunther Marko, Sonntag, 28. Januar 2018
      www.ramarko.de

    • 28.01.2018 19:03, Carsten Dams

      Da hält man es aber ideologisch recht deutlich mit den Vorvätern des jetzigen staatlichen Gängelungs- und Überwachungsapparats. Mmmmhh, freie Advokatur, da war doch was... ?!

  • 28.01.2018 17:35, Carsten Dams

    BRAK und Co.: Ihr seid gewählte Interessenvertreter der Anwaltschaft. Diesen Job erfüllt ihr nicht.

    Möglichkeiten eröffnen: gut. Zwang mit installieren: schlecht.

    Der Anstand würde massenweise Rücktritte fordern. Fax gut, Post gut. Es hat ewig funktioniert. Warum jetzt dieser Unfug? Die dreieinhalb Pfennig Porto, die man spart, machen den Aufwand für Dritte jederzeit eine funktionierende IT vorhalren zu müssen nicht wett. Bisher war die IT Ausstattung Sache des einzelnen Anwalts. Sollte auch so sein. Nicht nur für die millionenschweren Dickfische in den Vorständen.

    Auf diesen Kommentar antworten
    • 28.01.2018 18:09, Wachsames Auge

      Völlig richtig, verehrter Herr Dams.
      Das ist insbesondere Sache eines jeden einzelnen Kanzlei
      betriebs, und zwar ohne Zwang.
      Das muss natürlich auch so bleiben !

      Das Problem dabei:
      Die "Dickfische" und ihre Bosse werden nicht mehr satt und der Staat und andere bösartige Leute können den Betriebsinhaber nicht so leicht überwachen...

      Fazit:
      Wachsam bleiben und weitermachen !!

    • 28.01.2018 19:39, Tilman Winkler

      Sie haben leider das Thema verfehlt: der elektronische Rechtsverkehr ist keine Erfindung der BRAK, sondern eine GESETZLICHE Pflicht.

      Mit derart fehlendem Differenzierungsvermögen findet man schnell die gewünschten Übeltäter...

    • 29.01.2018 08:09, Carsten Dams

      Das hat wenig mit Differenzierungsvermögen zu tun. Mittlerweile ist es Gesetz. Man hat aber schon davon gehört, dass manchem Gesetz einiges an Lobbyarbeit vorausgeht. An eben dieser Stelle hätten unsere Interessenvertreter bremsen oder Hurra schreien können. Man hat Hurra geschrieen.
      Da es Gesetz ist, ist es zu befolgen. Noch kann man aber sagen, wenn man ein Gesetz für unsinnigen Murks hält, wie z.B. das zugrunde liegende.

    • 29.01.2018 13:29, Wolfgang Hüber

      @Tilman Winkler: Wann hat unsere "Selbstverwaltung" und "Interessenvertretung" denn dagegen Front gemacht, dass diese "Pflicht" überhaupt normiert wurde? Wenn ich die Diskussionen richtig mitverfolgt habe, überschlugen sich unsere Interessenvertreter doch förmlich, alles so pflichtschuldigst wie nur irgend möglich abzunicken. Nur ein Dissens zwischen DAV und BRAK über die Frage, ob Kanzlei- oder Berufsträger-Postfach ist mir erinnerlich. Daran, dass die Anwaltschaft für mindestens 8 Jahre in Vorleistung gehen soll bei der Entgegennahme elektronischer Nachrichten - die von den meisten Gerichten in den meisten Ländern noch gar nicht versandt werden können - hätte es durchaus einiges zu beanstanden gegeben.

      Ist es nicht eher ein Stück aus dem Tollhaus, dass sich 165000 Anwälte die elektronische Erreichbarkeit dekretieren lassen, die ohne funktionierende elektronische Aktenführung weitgehend ins Leere läuft? Übrigens ist die Verfassungsbeschwerde eines Kollegen anscheinend nur daran gescheitert, dass er diese für einen Selbstläufer gehalten und nicht lege artis begründet hat - in der unbegründeten Hoffnung, dass das BVerfG sich ohne Not selbst die Gedanken macht, welche ihn anscheinend umgetrieben haben.

    • 29.01.2018 13:52, Tilman Winkler

      Es gibt keinen Dissenz zum Thema Kanzleipostfach. Das wollen beide!

      Wo wir 8 Jahre in Vorleistung gehen sollen, ist mir ein Rätsel. Die Justiz empfängt flächendeckend über die Gerichtsbarkeiten elektronische Nachrichten. Dass man dort noch ungeübt ist, diese auch ordentlich zu verarbeiten, sei zugestanden. Der Flächendeckende elektronische Rechtsverkehr auch in Senderichtung soll aktuell in BW noch immer zum Jahr 2020 kommen. Daran glaube ich nicht, aber an 2021 schon!

      Selbstverständlich ist das alles wesentlich sinnvoller mit elektronischer Aktenführung. Aber sollen die 165.000 Kolleginnen und Kollegen dazu gezwungen werden? Wer diesen Wechsel nicht von sich aus vollzieht, profitiert eben nicht umfassend.

  • 28.01.2018 18:32, Mitch McDeere

    Klar kann man an einem Abend nicht alles abarbeiten. Vergessen werden sollte aber auch nicht, dass diese beA-Software - völlig unabhängig von den Sicherheitsproblemen - an gewaltigen performance-Schwächen leidet und in einen normalen Kanzlei-Alltag eigentlich gar nicht sinnvoll integrierbar ist (unterstützt der neue Client eigentlich Windows10?).

    Der jetzige Vorstand der BRAK wird aber, solange er nicht zurücktritt, immer die bisherige Lösung im Kern verteidigen müssen. Wenn man realistisch ist, würde nur ein solcher Rücktritt den Weg frei machen, hier noch einmal neu anzusetzen und in absehbarer Zeit eine funktionierende Software zu entwickeln.

    Auf diesen Kommentar antworten
    • 28.01.2018 18:58, beA-Veteran

      Die BRAK hat gar keinen keinen Vorstand. Wie sollte der also zurücktreten? Erst schlau machen - dann fordern!

    • 28.01.2018 19:26, Mitch McDeere

      @bea-Veteran

      OK, ist ein Argument, muss ich zugeben ;-)

    • 28.01.2018 19:47, beA - Bestatter

      @ "beA - Veteran":
      Lol - schon wieder einer von diesen Konsorten mit dem erhobenen Zeigefinger...

  • 28.01.2018 18:33, Rainer Breitrück, Rechtsanwalt

    Ich bezweifele ja, dass wir überhaupt 3 1/2 Pfennig Porto sparen. Alles was vom Gericht oder von Kollegen über beA gesendet wird, werden wir auf unsere Kosten ausdrucken und per Post an die Mandanten schicken müssen. Wenn wir eine Klage gegen einen (noch) nicht anwaltlich vertretenen Beklagten über beA einreichen, wird das Gericht Klage, Anlagen und Abschriften ausdrucken und an die Gegenseite brav per Post versenden müssen. Wer wird dann wohl die Kopierkosten tragen müssen ? Und jetzt komme mir niemand damit, dass man das ja alles auf den Mandanten umlegen kann. Auf die Diskussionen mit Mandanten, Rechtsschutzversicherungen und vor allem mit Rechtspflegern in PKH-Sachen über die Angemessenheit von Kopierkosten freue ich mich jetzt schon riesig. Im Endeffekt werden wir durch beA gar nichts sparen.

    Auf diesen Kommentar antworten
    • 28.01.2018 19:14, Richter

      Es werden von den Gerichten keine Kopierkosten für Papier-Doppel an den (anwaltlich nicht vertretenen) Gegner nach elektronischer Einreichung erhoben:

      Nr. 9000 KV GKG: Pauschale für die Herstellung und Überlassung von Dokumenten:
      1.
      Ausfertigungen, Kopien und Ausdrucke ..., die
      ...
      b)
      angefertigt worden sind, weil die Partei oder ein Beteiligter es unterlassen hat, die ##erforderliche## Zahl von Mehrfertigungen beizufügen; ...

      Bei elektronischen Eingängen ist dies aber für den Einreicher nicht erforderlich:
      § 133 Abs. 1 ZPO:
      (1) Die Parteien sollen den Schriftsätzen, die sie bei dem Gericht einreichen, die für die Zustellung erforderliche Zahl von Abschriften der Schriftsätze und deren Anlagen beifügen. Das gilt ##nicht für elektronisch übermittelte Dokumente## sowie ...

    • 28.01.2018 19:16, beA-Veteran

      Da muss man dann als RA/RAin die eigene Kanzleistruktur betrachten und in Erwägung ziehen, selbst mit einem Dokumentenmanagementsystem zu arbeiten. Da kann man den Mandanten zB online Zugriff auf deren Akte gewähren.
      Und der berittene Bote bleibt mit seiner Mandantenpost an diesem Tag zu Hause.

    • 29.01.2018 08:05, HolladieWaldfee

      Also die WebAkte gibt es jetzt seit ca. 10 Jahren. Wenn Sie immer noch alles per Post an Ihren Mandanten schicken, dann berechnen Sie das ja wohl. Oder Sie nutzen eben die WebAkte oder ein eigenes System. Wer das nicht macht, der sollte kein Unternehmen (Kanzlei) führen, denn wirtschaftliches Denken ist ihm wohl nicht vergönnt.

    • 29.01.2018 10:13, Lehrer Lämpel

      @"HolladieWaldfee":
      Klugscheisserin.

  • 28.01.2018 19:30, bergischer löwe

    "Die Rechtsanwaltskammer warnt nun ihre Mitglieder offiziell vor ihrer eigenen Software."
    ... aber erst als dem ungläubigen Thomas auf einem Testsystem die Verbindung mit dem lokalen Server demonstriert wurde. Ohh, mein Gott in wessen Händen befindet wir uns.

    Auf diesen Kommentar antworten
  • 28.01.2018 20:25, de-mo-krat

    Was sind denn das für Schwachstellen des EGVP, die in dem Artikel erwähnt, aber nicht erläutert werden?

    Auf diesen Kommentar antworten
    • 28.01.2018 20:51, Jörn Erbguth

      Das sind im Wesentlichen Schwächen, die zu (D)DoS-Attacken missbraucht werden könnten. Zudem sollte man sich genau ansehen, von wem Nachrichten kommen, die man im EGVP erhält.

    • 28.01.2018 21:25, de-mo-krat

      Danke.

  • 28.01.2018 22:09, RA Berger

    Liebe Kollegen, lieber beA Veteran,

    bei den Österreichern funktioniert der elektronische Rechtsverkehr bereits seit Jahren. Hätte man hier nicht eine B-Lizenz erwerben können?
    Ich finde das unglaublich, dass 36 Mio. EURO aus dem Fenster geworfen wurden. Kein mittelständischen Unternehmen kann und sich so etwas leisten. Outlook für Rechtsanwälte hatte ich mir bedeutend einfacher vorgestellt.

    Freundlich kollegiale Grüße

    Matthias Berger

    Auf diesen Kommentar antworten
    • 28.01.2018 22:29, Mitch McDeere

      Sehr interessant ist übrigens auch der Fall Dänemark.

      Dort hat man mit einem gut durchdachten System in sehr kurzer Zeit (etwa drei Jahre) die komplette Umstellung hinbekommen.

    • 31.01.2018 12:22, beA Veteran

      Kennen Sie denn das österreichische System? Bildet es die Kompenenten ab, die der Gesetzgeber in Deutschland vorgegeben hat? Ich sehe mich zu einer Äußerung außerstande. Kann man ein anderes System, das möglicherweise anderen Anforderungen zu genügen hat, einfach der deutschen Anwaltschaft überstülpen? Die Forderung ist zwar schnell formuliert, deren Richtigkeit stelle ich aber in Frage!

  • 28.01.2018 22:47, RA Olaf

    ach liebe Kollegen, Beführworter und Schlechtredner des aufgezwungenen beA wie sieht es § 43a Abs. 2 Satz 1 BRAO ab Timecode 10:40 aus?
    https://youtu.be/Od5WAah-ktk

    Auf diesen Kommentar antworten
    • 29.01.2018 09:06, Neunmalklug

      Die Information hat sich überholt; das ist in dieser Form nicht korrekt. Um Herrn Drenger in Schutz zu nehmen: Das konnte er zu dem Zeitpunkt, als das aufgezeichnet wurde, nicht wissen. Das System ist tatsächlich anders, deutlich komplizierter aufgebaut. Das macht es aber letztinstanzlich nicht wirklich besser; es ist keine Ende zu Ende Verschlüsselung

    • 29.01.2018 09:25, Neunmalklug

      Wie wurde so schön bereits im Jahr 2013 bei einem ccc-Vortrag zum Thema DE-Mail, in dem aufgezeigt wurde, dass die DE-Mail absolut kein Stück besser oder sicherer ist als eine 0815-Mail, DE-Mail jedoch per Gesetz als sicher definiert wurde, gesagt: "Es gibt kein technisches Problem, für das es nicht eine juristische Lösung gäbe"

  • 29.01.2018 14:25, Neunmalklug

    Neuer und sehr gut zusammenfassender Bericht auf golem:
    https://www.golem.de/news/bea-so-geht-es-mit-dem-anwaltspostfach-weiter-1801-132430.html

    Auf diesen Kommentar antworten
  • 29.01.2018 14:55, Rainer Breitrück,+Rechtsanwalt

    @holladiewaldfee: Falls Sie selbst als selbständuge Anwältin tätig sein sollten scheinen sich unsere Mandanten deutlich voneinander zu unterscheiden. Ich habe Personen darunter - halten Sie sich fest was es so in der Welt jenseits von Latte Macchiato mit laktosefreier Sojamilch so alles gibt - die haben kein Internet !!!(So sagen die mir das auch). Es gibt auch Arbeitgeber unter meinen Mandanten, die bestehen auf Papierkommunikation. Und ich habe Mandanten, die aus hier nicht zu erörternden Umständen ausschließlich das vertrauliche Wort schätzen. Was mach ich Ihrer Meinung nach mit denen ? Und Ihre tolle web-Akte versagt überall dort, wo kein WLAN funktioniert. Also in der Regel im Geruchtssaal. By the way: Ihre Web-Akte ist sicher ? Wer das wirklich glaubt hat keine technikaffinen Kinder zuhause.

    Auf diesen Kommentar antworten
  • 29.01.2018 16:16, Zansara

    Der beA Support IT Service Desk hat sich heute bei mir zur zuletzt empfohlenen Deinstallation beA Client Security unter MacOS
    mit folgener " Lösungsbeschreibung" gemeldet:
    Bewegen Sie die beAClientSecurity.app-per Drag-and Drop- aus dem Ordner" Programme"in den Papierkorb(am Ende des Docks)und wählen Sie "Finder">"Papierkorb leeren"

    Ich war überrascht über die Kürze des Ratschlags, soll doch die Deinstallationsanleitung für die beA Client Security von Weihnachten 22 Seiten lang gewesen sein...

    Auf diesen Kommentar antworten
    • 31.01.2018 12:13, beA Veteran

      22 Seiten lang war die Anleitung für die Nachinstalltation des (schädlichen) Zertifikats. Vor Weihnachten ging es nicht um das Deinstallieren des Clients. Da reden wir also von zwei paar Schuhen!

  • 29.01.2018 23:50, RA Heyland

    Dem Verfasser sei für seine informative und sachliche Darstellung des "beAthon" gedankt. Jedenfalls weiss ich jetzt mehr über das, was bei der Veranstaltung erzählt wurde, als in den anderen Verlautbarungen stand. Aber optimistisch sehe ich die Zukunft für das beA à la BRAK nicht:

    Wer die Technik des beA in der erdachten Form betreibt, ist TK-Unternehmer mit allen Konsequenzen. Es geht hier doch nicht um ein nur zwischen Anwälten laufendes ITK-System, sondern um einen zentralen Baustein des ganzen ERV. Die BRAK setzt in diesem Zusammenhang selbst ITK ein.

    Ende zu Ende-Verschlüsselung finde ich auch gut. Aber das beA bietet das nach den Angaben der Experten nicht und die für diese Teillösung verwendete Technik ist angreifbar, weil sie zentral über dafür geschaffene Hardware mit fehlerhafter Software läuft. Das lässt sich nicht einfach mit Nachbesserungen bei der Software und ein paar Tests mit SV-Gutachten lösen, die man über die Aufgabenstellung und Gutachterauswahl ein wenig steuern kann. Der bisher beauftragte Dienstleister hat sich bisher schon nicht mit diesen Themen befasst, laut verkündet, er brauche sich damit nicht zu befassen, weil er alles richtig gemacht hat - was passiert da wohl, wenn man ihn mit diesen Möglichkeiten weiterwerkeln lässt?

    Auf diesen Kommentar antworten
  • 30.01.2018 11:39, bergischer löwe

    @HolladieWaldfee:
    weltfremde Klugscheisserei

    Auf diesen Kommentar antworten
  • 30.01.2018 12:57, Hans Schmitt

    @HolladieWaldfee:
    finde deinen Beitrag gut . . . . nicht traurig sein . . . .

    Auf diesen Kommentar antworten
    • 30.01.2018 19:28, Volkswirt

      Gleichfalls Klugscheisser.

  • 01.02.2018 22:49, Mazi

    Jetzt ist offen bekannt geworden zu welchen Leistungen die Judikative nebst Zulieferern im Stande ist.

    Es sollte zu denken geben, weshalb die Leistung einerseits so und andererseits besser sein soll.

    Auf diesen Kommentar antworten
  • 05.02.2018 12:49, Enrico Weigelt,+metux+IT+consult

    > 28.01.2018 11:00, Kowalsky
    > Wurde ein Datum für die Wiederinbetriebnahme genannt? Ein Zeitfenster?

    Das wäre zum aktuellen Zeitpunkt komplett unseriös: beA ist konzeptionell derart kaputt, daß ein kompletter Neubau not-wendig ist.

    > Wie sollen die Java-Sicherheitslücken geschlossen werden? Verwendung einer
    > anderen Programmietsprache?

    Das würde nur ein paar Probleme lösen, die vielen anderen bleiben davon unberührt.
    Es beginnt schon mit dem groben Unfug, das als Web-Anwendung zu bauen: damit wird jegliche Ende-zu-Ende-Verschlüsselung komplett besiegt (völlig unabhängig vom HSM). Wer den Webserver kontrolliert, der kontrolliert direkt den Client im Browser und kann somit bereits entschlüsselte Nachrichten abgreifen.

    Auf diesen Kommentar antworten
  • 05.02.2018 13:01, Enrico Weigelt,+metux+IT+consult

    > 28.01.2018 12:42, RA DREWS
    > Wieso brauche ich ein Sicherheitsnivieau über dem Fax? Selbst den einfachen
    > Brief kann jeder öffnen/manipulieren / Unterschriften fälschen und das hat man
    > über Jahrhunderte hingenommen!

    Der gravierende Unterschied ist hier aber: mit beA+Co kann man das vollautomatisch, von jedem beliebigem Ort (sogar vom Weltraum aus - die ISS hängt ja auch am Internet) aus tun. Und zwar ohne Spuren zu hinterlassen - eine forensische Prüfung (zB. Schrifgutachten) ist dann nicht mehr möglich !

    > Warum genügt nicht einfach ein Scan mit Unterschrift? Beim einfachen Brief
    > weiß auch niemand, wer diesen verschickt hat.

    Die Echtheit ist dann nicht mehr prüfbar. Dann kann man auch gleich die Unterschrift weglassen und "maschinell beglaubigt" drunter schreiben. Beides erfüllt die Schriftformerfordernis nicht.

    > Millionen unserer hart erarbeiteten Gebühren für derart Unsinniges verbrannt.

    Das ist leider richtig. Ist aber nicht prinzipbedingt, sondern liegt an der Beauftragung eines grundsätzlich ungeeigneten Dienstleisters (Konzerne sind systemisch nicht zu hoher Qualität fähig - bereits soziologisch begründet) und der Geheimhaltung.
    Ein OpenSource-Projekt könnte das Problem mit einem Bruchteil des Budgets lösen. (unter Verwendung von Jahrzehnte lang erprobter Technologien)

    > Nur ein sofortiger vollständiger Stopp des ERV und eine besonnene Diskussion,
    > wo man wie hin will, kann jetzt richtig sein!

    Zumindest ein Stopp des beA und eine gründliche - öffentliche (!) - Aufarbeitung des gesamten EGVP-Komplett. Alles muß auf den Tisch.

    > Ob dieses misslungene beA zu retten ist, ist Zeitverschwendung. Das gehört auf
    > dem Mühlhausen der Rechtsgeschichte.

    Ja. Eine sichere elektronische Kommunikation ist durchaus gut möglich (und anschließend können wir auch viele Dinge automatisieren). Aber dazu bedarf es einer komplett anderen Konzeption.

    Schon die Idee, das als Web-Anwendung zu realisieren, kann ich nur als absurd bezeichnen - damit hängt alle Sicherheit beim Web-Server am seidenen Faden.

    Auf diesen Kommentar antworten
    • 05.02.2018 13:13, Jörn Erbguth

      05.02.2018 13:01, Enrico Weigelt,+metux+IT+consult zum Vergleich mit dem Fax:
      "Der gravierende Unterschied ist hier aber: mit beA+Co kann man das vollautomatisch, von jedem beliebigem Ort (sogar vom Weltraum aus - die ISS hängt ja auch am Internet) aus tun. Und zwar ohne Spuren zu hinterlassen - eine forensische Prüfung (zB. Schrifgutachten) ist dann nicht mehr möglich !"
      Fragen Sie mal beim Verfassungsschutz nach, wie die das mit der Überwachung machen. Das geht dort auch per Mausklick und auch ohne Spuren zu hinterlassen. Zum Verteilerkasten muss da niemand mehr gehen. Die Telekommunikationsunternehmen sind sogar gesetzlich verpflichtet, dies zu ermöglichen (§ 110 TKG). Geprüft werden diese Systeme mit eingebauter Überwachung dann von Firmen wie Secunet - die Firma, die aktuell das beA überprüft.

  • 05.02.2018 13:10, Enrico Weigelt,+metux+IT+consult

    Als Mandant würde ich eine Web-Akte keinesfalls akzeptieren.
    Ich hab selbst genug Dokumenten-Management-Systeme aufgebaut, um die Gefahrenquellen zu kennen.

    Bei solch sensible Dingen mit zugleich offenem/unbestimmten Benutzerkreis (die Dinger müssen dann direkt im offenen Netz hängen - schließlich kann man nicht jeden Mandanten erst vorher in das -
    - üblicherweise garnicht vorhandene - gut gewartete Kanzlei-Netz/-VPN einklinken) muß man *SEHR* genau aufpassen, daß da nicht irgendwann eine große Katastrophe kommt.

    Überhaupt Mandanten-Daten in die Klaut zu legen halte ich für grob fahrlässig.

    Auf diesen Kommentar antworten
    • 17.02.2018 20:00, Mazi

      Das ist richtig!

      Ich habe Erfahrung mit der Verwaltungsakte der Verwaltungs-berufsgenossenschaft 6. Dabei habe ich Akteneinsicht in 4 Verwaltungsakte. Keine der Verwaltungsakte ist mit der anderen identisch.

      Nach Vorgabe es BMI kontrollieren Gerichte und Aufsichtsbehörden rechtsstaatliche Verwaltungsentscheidungen anhand dieser Akte, die das bisherige wesentliche sachbezogene Geschehen dokumentiert.

      Nach Angaben des BMI werden Manipulationen disziplinarrechtlich, arbeitsrechtlich und strafrechtlich konsequent verfolgt.

      Sie sprechen den Sachverhalt an, dass Dokumentenmanagentsysteme nachträglich zeitlich vorsortieren und Glauben machen wollen, dass diese Dokumete dem Verwaltungsentscheid zugrunde gelegen hätten.

      RUCHTE


      Richter an den Sozialgerichten geben in der Folge, vor die Rechtsstaatlichkeit von Verwaltungsentscheidungen von Berufsgenossenschaften geprüft zu haben, ohne eine Verwaltungsakte, die der Verwaltungsentscheidung zugrunde gelegen haben soll, vorliegen zu haben.

      Rechtsstaat ist, wie Sie glaubhaft darlegen, anders.

      Der Fall ist nicht nur beim Bundessozialgericht, dem Bundesversicherungsamt, sondern auch im Petitionsausschuss des Bundestages bekannt.

      Mein Standpunkt ist, dass DMS in der Lage ist eine strafbare Handlung zu vertuschen, ist es nach Anwendung von Gesetz und Recht (Artikel 20 Abs. 3 GG) untersagt und für die richterliche Kontrolle der Rechtsstaatlichkeit der Verwaltungsentscheidung ungeeignet.

      Eine Vorschrift, die nicht kontrolliert wird, hat keine Existenzberechtigung.

      Solange gegen Entscheidungen der Berufsgenossenschaften Klage erhoben werden darf, obliegt den Richtern nach Paragr. 103 SGB die Pflicht den Sachverhalt von Amts wegen aufzuklären.

      Dir Richter machen sich nach Paragr. 339 StGB schuldig und benachteiligen der Kläger in unzumutbarer Weise.

      Es geht also nicht um die Überlastung der Gerichte, sondern um die strafrechtliche Verfolgung der Justiz zur Durchsetzung der verfassungsrechtlichen Ordnung.

      Herr Weigelt es geht mir nicht darum Ihnen einen Vorwurf zu machen, sondern ich will Ihnen lediglich bekannt machen, mit wem Sie auf der Gegenseite zu tun haben.

      Dagegen ist das hiesige Thema aufgrund der strafrechtlichen Relevanz ein nahezu unbeutender Fisch, bestätigt aber die Unzuverlässigeit Ihrer Auftraggeber.

      Meine Angaben sind nachprüfbar und können bei Bedarf vorgelegt werden.

      Rechtsstaat ist an Grundsätze genunden und anders.

  • 05.02.2018 13:19, Enrico Weigelt,+metux+IT+consult

    Daß die Intermediäre leicht zu DDOSen sind, ist altbekannt. War mir auch schon 2013 bei meiner Studie für die Notare aufgefallen - wollte man aber nicht hören.

    Überhaupt skaliert OSCI sehr schlecht. Anders als bei SMTP kann man da nicht einfach beliebig viele Mailserver parallel an verschiedenen Orten hinstellen (was auch Ausfallsicherheit bringt). Man muß den monolithischen Intermediär unter der Haube auf verschiedene Server aufsplitten - das wirklich nicht trivial. Der erste grobe Designfehler ist schon, daß ein- und ausgehend derselbe Intermediär vorgesehen ist ...

    Da wurden 50 Jahre Erfahrung bei eMail komplett in den Wind geschlagen, nur weil man unbedingt was eigenes proprietäres machen wollte, obwohl die nötigen Technologien alle schon seit Äonen vorhanden und erprobt sind.

    Auf diesen Kommentar antworten
  • 06.02.2018 03:16, Enrico Weigelt,+metux+IT+consult

    > 05.02.2018 13:13, Jörn Erbguth
    > Fragen Sie mal beim Verfassungsschutz nach, wie die das mit der
    > Überwachung machen. Das geht dort auch per Mausklick und auch ohne
    > Spuren zu hinterlassen.

    Ja, bei Fax und Telefon. Aber nicht bei der Briefpost. Dürfte auch einer der Gründe sein, warum man sich schwer tut, das Fax allein als schriftformwahrend anzuerkennen.

    > Geprüft werden diese Systeme mit eingebauter Überwachung dann von Firmen
    > wie Secunet - die Firma, die aktuell das beA überprüft.

    Das läßt hoffen, daß es noch genug Bugs in dem TKÜ-Gemüse gibt, um das bei Bedarf kaputt zu machen.

    Auf diesen Kommentar antworten
  • 06.02.2018 03:52, Jörn Erbguth

    Die Adressangaben von Briefpost werden gescannt und können dann gegen entsprechende Listen abgeglichen werden, um Post für bestimmte Personen zu überwachen. Das ist technisch bereits umgesetzt. Natürlich müssen Sie auf den Brief ans Gericht keinen Absender draufschreiben und Sie können die Briefzustellung auch persönlich übernehmen. Da gibt es sicher noch "Lücken" in der Überwachung.
    Frei von sicherheitskritischen Bugs dürfte wohl kein System sein. Das ist, denke ich, aber nicht das richtige Kriterium. Wichtig ist, mit einem guten Sicherheitsdesign zu beginnen, dieses professionell umzusetzen, das System zu testen - am besten auch öffentlich, sowie auf Probleme zügig und ohne Beschönigung zu reagieren. Öffentlichkeit reduziert die Kosten der Fehler. Werden Fehler durch Offenlegung des Systems früher gefunden, sind ihre Auswirkungen geringer. Geheimniskrämerei verzögert dagegen das Finden der Fehler und erhöht damit den durch die Fehler entstehende Schaden.
    Beim beA hat offensichtlich die Qualitätssicherung versagt. Hier wurden Fehler gemacht, die kein professionelles Softwarehaus in sicherheitskritischer Software gemacht oder bei einer Überprüfung übersehen hätte. Zudem gab es bereits Performanceprobleme, als sich nicht einmal die Hälfte der Anwälte angemeldet hatten und kaum Post verschickt wurde. Über Lasttests hätte das vorab festgestellt werden können. Auch die Frage, warum hier die Umschlüsselung via HSM gewählt wurde, ist offen. Die BRAK gibt an, dass 5,5 Mio € an "weiteren Aufwendungen" aufgewendet worden sind. Vermutlich wurde damit u.a. auch die Diskussion über verschiedene Lösungsarchitekturen bezahlt. Es wäre gut, wenn die BRAK die Anwaltschaft an diesen Überlegungen teilhaben ließe. Damit könnten wir erfahren, warum die BRAK sich auf Client-Seite für eine Browser-Lösung mit Anbindung der Client-Security über einen lokalen Web-Server entschieden hat und warum auf Serverseite die technisch aufwändige Lösung der Umschlüsselung über HSM präferiert wurde.

    Auf diesen Kommentar antworten
  • 06.02.2018 07:17, Enrico Weigelt,+metux+IT+consult

    > 06.02.2018 03:52, Jörn Erbguth
    > Die Adressangaben von Briefpost werden gescannt und können dann gegen
    > entsprechende Listen abgeglichen werden, um Post für bestimmte Personen zu
    > überwachen. Das ist technisch bereits umgesetzt.

    Ja, aber das bedarf immernoch eines erheblichen technischen Aufwands, das flächendeckend zu tun. Und das durchleuchten läßt sich leicht unterbinden - dann muß der Brief sauber aufgemacht und anschließend wieder verschlossen werden (was ohne Spuren zu hinterlassen recht mühselig ist).

    Bei der elektronischen Überwachung läuft das *vollautomatisch* - in großer Masse - das kostet fast nichts.

    > Frei von sicherheitskritischen Bugs dürfte wohl kein System sein.

    Doch, das ist durchaus machbar. Man muß nur sehr sorgfältig arbeiten.

    > Das ist, denke ich, aber nicht das richtige Kriterium.

    Doch, das ist genau das primäre Kriterium. Das beginnt schon mit dem richtigen Grundkonzept. Das beA hingegehen ist schon ganz grundlegend konzeptionell völlig kaputt - da ist nichts zu retten.

    > Wichtig ist, mit einem guten Sicherheitsdesign zu beginnen, dieses professionell
    > umzusetzen, das System zu testen - am besten auch öffentlich, sowie auf
    > Probleme zügig und ohne Beschönigung zu reagieren.

    Genau das hat man ja beim beA absolut nicht getan. Das ist komplett Pfusch.

    > Beim beA hat offensichtlich die Qualitätssicherung versagt.

    Sieht eher danach aus, daß es überhaupt keine tatsächliche Qualitätssicherung gab - ist bei solchen Konzernen aber auch völlig normal.

    > Hier wurden Fehler gemacht, die kein professionelles Softwarehaus in
    > sicherheitskritischer Software gemacht oder bei einer Überprüfung übersehen
    > hätte.

    Ich kenne genügend Softwarehäuser, die ähnlichen Mumpitz machen. Je größer um so schlimmer. Und da gehts zuweilen auch gleich mal um Menschenleben.

    > Auch die Frage, warum hier die Umschlüsselung via HSM gewählt wurde, ist
    > offen.

    Denen ist nichts besseres eingefallen. Hab ich schon 2013 so erlebt.
    Außerdem ist sowas immer gut, um den Kunden zu knebeln.

    Auf diesen Kommentar antworten
    • 16.02.2018 17:00, Mazi

      Wir sind uns hoffentlich einig, dass die arbeitsteilige Produktion immer dann sinnvoll ist, wenn der Initiator böses im Schilde hat.

      Sie beschreiben sehr kompetent, was zu erfolgen hat. Aber niemand will dies offensichtlich.

      In einem Fall erinnere ich mich, dass in der Verwaltungsakte eines Beklagten ein Ausgangsschreiben eines Gericht hinterlegt ist, dass laut deren Gerichtsakte nie versandt wurde. Umgekehrt gibt das Gericht vor einen Schriftsatz mit der Bitte um Auskunft versandt habe, dieser aber bei der Beklagten nie angekommen sei.

      Sie werden möglicherweise entgegen halten, dass letzteres ein einfacher Fall ist, und bei ausstehender Rückantwort eines Beklagten die Richter dessen Antwort anmahnen. Gefehlt! Die Richter haben auch dies nicht gemacht.

      Ich komme zurück zur arbeitsteiligen Produktion. Liegen die Dokumente elektronische vor, ist es zwar mühsam, aber relativ einfach das Fehlverhalten der Richter aufzudecken. Aber in wessen Sinn liegt die Transparenz? Auf jeden Fall nicht im Sinne dessen, der verschleiern will.

      M.E. ist der hier gelieferte "Rohrkrepierer" initiiert.

      Die Arbeitsabläufe werden bei arbeitsteiligen Vorgehen für einen einzelnen Mitarbeiter unübersichtlich und nicht nachvollziehbar. Jetzt muss man nur noch Zeitdruck in den Prozess geben und die Resultate sind wie gewünscht.

      Sie beschreiben korrekt was zu tun ist, wenn Betrug in größerem Ausmaß erfolgen soll. Es entsteht die Situation, dass niemand Schuld hat und die Schuld nicht konkret zugeordnet werden kann. Wäre der Arbeitsprozess in einer einzigen Hand, hätte die Staatsanwalt leichtes Spiel. Aber eben das soll verhindert werden. Es ist schwierig den Schuldigen auszumachen und vorher erkanntes Unrecht wird mangels Nachweisbarkeit legalisiert.

      Das "Ziel" ist erreicht.

      Gestört haben nur einige pfiffige ITler, die nicht bereit waren Betrug so einfach mitzumachen. Respekt! Ich bin gespannt, was wir an Sanktionen hören.

      Rechtsstaat ist anders!

  • 16.02.2018 12:17, Mazi

    Werfen Sie doch einfach mal die Frage nach der Verantwortlichkeit auf und beantworten diese?

    Bisher habe ich noch nicht erfahren können, wer für dieses Desaster verantwortlich ist.

    Es ist allgemein bekannt, dass der, der die Zuständigkeit hat auch die Verantwortlichkeit hat. In diesem Fall sollte es unproblematisch sein den festzustellen, der zuständig ist. Im Zweifel ist es der, der den Auftrag an das IT-Unternehmen unterzeichnet hat.

    Möglicherweise wird schnell bekannt, dass der Unterzeichner noch nie mit solchen Sachverhalten vertraut war oder die entsprechende Kenntnis hatte und seinen Überwachungspflichten nicht nachgekommen ist.

    Solange die Behörden zwar zuständig, aber nicht verantwortlich sind, braucht sich niemand Gedanken darüber zu machen, dass der nächste Fall bereits in der Tür ist oder in der Vergangenheit eine Vielzahl solcher Fälle vertuscht wurden.

    M.E. sind Zuständigkeit und Verantwortlichkeit zu klären und zu handeln.

    Bei dieser dann ausgelösten Hektik ist nicht zu vergessen, dass im Zweifel die Verantwortlichen Vorgesetzte hatten, die ihrerseits ihrer Überwachungspflicht nicht nachgekommen sind.

    Nur wenn entschieden durchgegriffen wird ist davon auszugehen, dass die Behörden die entsprechenden Positionen mit qualifiziertem Personal besetzen.

    Solange die Parlamente nicht die Durchsetzung ihrer Vorschriften überprüfen ist davon auszugehen, dass die Positionen weiterhin mit unfähigen Dienststellenleitern besetzt werden.

    Dieser Fall legt lediglich das fehlerhafte systematische Prinzip offen und ist nicht auf diesen Fall beschränkt.

    Auf diesen Kommentar antworten
  • 16.02.2018 12:46, Jörn Erbguth

    Juristen sind eher die ersten und nicht die letzten, die nach der Verantwortlichkeit fragen. Von daher sind Sie mit Ihrer Frage nicht allein. Als IT-ler weiß ich aber auch, dass die Frage, wer für den Schaden verantwortlich ist, Projekte eher blockiert als voranbringt. Zudem hat es einen Wechsel bei vielen Verantwortlichen gegeben. Was aktuell aus meiner Sicht zählt ist die Frage, was warum schief gelaufen ist, damit es in Zukunft besser gemacht werden kann. Verantwortliche, die heute an anderen Projekten arbeiten, zu bennen und ggf. sogar zu belangen ist da aus meiner Sicht nicht unwichtig aber eher sekundär.
    Eine andere Frage ist, ob wir Zertifizierungen bei groben Fehlern widerrufen sollten? ATOS ist vom BSI noch bis Ende 2019 als IT-Sicherheitsdienstleister zertifiziert. Da stellt sich schon die Frage, welchen Wert eine solche Zertifizierung hat, wenn selbst grobes Fehlverhalten nicht zu einem Widerruf der Zertifizierung führt.

    Auf diesen Kommentar antworten
    • 16.02.2018 13:20, Mazi

      Die Frage ist m.E. berechtigt.

      Wenn es eine Vorschrift gibt, die aber nicht überwacht wird, dann braucht man die Vorschrift auch nicht. Dann ist wenigstens klar, weshalb der Prozess daneben läuft.

      Sie können auch die Frage umgekehrt stellen: Wenn im öffentlichen Dienst, im Beamtentum niemand zur Verantwortung gezogen wird, dann brauchen wir auch keine Vorschriften die Verantwortlichen zur Rechenschaft zu ziehen.

      Wenn niemand verantwortlich ist, sich aber für zuständig erklärt, dann wäre es konsequent den Auftrag von beA abzulehnen. Das hat nichts mit dem bisher ausführenden Unternehmen zu tun, sondern es stellt schlicht eine Überschätzung des annehmenden Unternehmen dar, mit derart qualifizierten "Leuten" verantwortlich zusammenzuarbeiten.

      Es wäre sicherlich unfair alles an diesem Fall aufzuhängen. An zu vielen Ecken ist deutlich, dass der Staat weder die Exekutive noch die Judikative im Griff hat. Der Legislativen ist der Vorwurf zu machen, dass sie die Achtung der eigenen Gesetze nicht prüft.

      In der Konsequenz zieht sich die Verantwortungslosigkeit - und damit die Absprache der Zuständigkeit meinerseits - wie ein roter Faden durch die gesamte staatliche Bürokratie.

      Es möge niemand auf die AfD mit dem Finger zeigen. Die Hauptwerber für die AfD und den Unmut der Bürger sind die amtieren Parteien. Ohne einen harten Durchgriff auf allen Ebenen wird unser Rechtsstaat zusehends demontiert.

      Rechtsstaat ist anders!
      Zuständigkeit und Verantwortlichkeit müssen in Personalunion sein. Sonst ist Chaos angesagt.

Neuer Kommentar
TopJOBS
Rechts­an­walt (m/w/d) für den Be­reich Im­mo­bi­li­en­recht (gern auch mit In­ter­es­se für Li­ti­ga­ti­on in die­sem Be­reich)

SammlerUsinger, Ber­lin

Rechts­an­wäl­tin/Rechts­an­walt im Be­reich Ar­beits­recht

REDEKER SELLNER DAHS, Bonn

Rechts­an­wäl­te w/m Schieds­ge­richts­bar­keit | Pro­zess­füh­rung

Heuking Kühn Lüer Wojtek, Düs­sel­dorf

Re­fe­rent(in) für Ar­beits- und So­zial­recht

Verband der Metall- und Elektro-Unternehmen Hessen Bezirksgruppe Offenbach und Osthessen e.V., Of­fen­bach am Main

Rechts­an­walt (m/w) Cor­po­ra­te/M&A

Luther Rechtsanwaltsgesellschaft mbH, Köln

As­so­cia­te (w/m) Ver­ga­be­recht, Com­pe­ti­ti­on, EU & Tra­de, (min­des­tens 2-3 Jah­re Be­ruf­s­er­fah­rung)

Taylor Wessing, Düs­sel­dorf und 2 wei­te­re

As­so­cia­te (m/w) für den Be­reich Real Es­ta­te

fieldfisher, Ham­burg

Rechts­an­walt (m/w) - Ban­king & Fi­nan­ce

Watson Farley & Williams LLP, Ham­burg und 2 wei­te­re

Rechts­an­walt (m/w) für den Fach­be­reich Um­welt- und Pla­nungs­recht

Linklaters, Ber­lin

Voll­ju­ris­ten (m/w/d) mit ar­beits­recht­li­chem Schwer­­punkt als Se­min­ar­ma­na­ger (m/w/d)

ifb KG, See­hau­sen a. Staf­fel­see

RECHTS­AN­WÄL­TE (M/W/D) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht

Clifford Chance, Düs­sel­dorf

As­so­cia­te (m/w) für den Be­reich Cor­po­ra­te, M&A

fieldfisher, Düs­sel­dorf

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­wäl­te (m/w) Cor­po­ra­te

Noerr LLP, Ber­lin und 7 wei­te­re

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

Rechts­an­wäl­te w/m im Be­reich Ar­beits- und Ge­sell­schafts­recht

Heuking Kühn Lüer Wojtek, Chemnitz

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­wäl­tin / Rechts­an­walt

Fiedler Cryns-Moll Jüngel FCMJ, Köln

Di­rec­tor Le­gal & Bu­si­ness Af­fairs

Goodlive AG, Ber­lin

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­walt (m/w) IP/IT (IT-Recht, Da­ten­schutz, ge­werb­li­cher Rechts­schutz), mit/oh­ne Be­ruf­s­er­fah­rung

Luther Rechtsanwaltsgesellschaft mbH, Köln und 1 wei­te­re

Rechts­an­walt (m/w) Li­ti­ga­ti­on

Luther Rechtsanwaltsgesellschaft mbH, Müns­ter

Wirt­schafts­ju­rist (m/w)

EQOS Energie, Bi­be­r­ach an der Riß und 2 wei­te­re

Rechts­an­wäl­te (m/w) | Part­ner/Of Coun­sel (m/w) | Steu­er­be­ra­ter (m/w)

MEYER-KÖRING Rechtsanwälte | Steuerberater, Bonn

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Mün­chen