BRAK warnt nach beAthon: Anwälte sollen beA-Client sofort deinstallieren
© timkaekler - stock.adobe.com
Die Bunderechtsanwaltskammer (BRAK) fordert Anwälte auf, den beA-Client sofort zu deinstallieren oder zu deaktivieren. Das ist das erste Ergebnis des sogenannten beAthon, der am Freitag in Berlin stattfand.
Markus Drenger von Chaos Computer Club erklärte auf dem beAthon, dass der beA-Client von einer "Java-Deserialisierungslücke" betroffen sei. Über sie könnten bösartige Webseiten Code ausführen und einen Rechner übernehmen. Die Lücke ist unabhängig von den bisher bekannten Problemen.
Anwälte sollen die aktuelle Version der beA-Client-Security deinstallieren oder mindestens deaktivieren und aus dem Autostart entfernen.
Es gab aber auch positive Nachrichten: Die anwesenden IT-Experten schätzten die von Atos jetzt vorgestellte Lösung aufgrund der Beschreibung als grundsätzlich geeignet ein. Getestet wurde sie vor Ort allerdings nicht. Sie wird von einem unabhängigen Gutachter gründlich geprüft werden, auch anhand der Hinweise, die am Freitag erarbeitet wurden.
"Bullshit made in Germany" :
RECHTSANWALT GUNTHER MARKOhttps://www.youtube.com/watch?v=p56aVppK2W4&feature=youtu.be
Danke für den Tipp!
Fand ich super!
Also jetzt komme ich mittlerweile auch nicht mehr hinterher:
Anwalt DAm 24.01.2018 verschickt die BRAK folgenden Wortlaut: "An ihr war Ende Dezember 2017 ein Sicherheitsrisiko gemeldet worden, und die
BRAK arbeitet daran, es zu beheben und von unabhängiger Seite testen zu lassen. Aber lassen wir
mal die Kirche im Dorf: Das übrige beA-System lief seit November 2016. Und zwar ohne dass
irgendwelche Sicherheitsprobleme dabei aufgetreten wären."
Am 26.01.2018 heißt es plötzlich: "beA-Client sofort deinstallieren, da unsicher."
Liebe BRAK, was ist denn da jetzt los?
Als Einzelanwalt beauftrage ich für den ganzen Chaos mit der IT einen Techniker. Mittlerweile häufen sich da aber die Kosten. Wenn das so weitergeht, bin ich bei mittlerweile einem vierstelligen Betrag nur für das dämliche (sorry!) beA, um es überhaupt zu installieren ohne es bisher nutzen zu können!
Das kann doch nicht sein!
machen Sie Druck bei ihrer Kammer, insbesondere dem Kammerpräsidenten, der Teil des Organs der BRAK ist. Fordern Sie Konsequenzen !
Absolut freches Rundschreiben. Unter aller Sau.
Heute habe ich eine Rechnung der Zertifizierungsstelle erhalten für Leistung 9/17 - 9//18! Ich habe diese Rechnung zunächst für ein fake gehalten. Ich werde sie nicht bezahlen.
Langsam wird absurd. Ich möchte gar nicht wissen, was man mir für dieses wundervolle Projekt bislang abgebucht hat, aber mir scheint, dass dabei das Äquivalenzinteresse zumindest marginal gestört ist.
M.D.Gute Güte, Sie sind Anwalt?
Termine nach Vereinbarung.
Mal im Ernst, für viele werden da schon durch Installation und Deinstallation abrechenbare IT-Kosten entstanden sein. Und gegebenenfalls noch eine Prüfung, ob das System kontaminiert wurde.
Mitch McDeereMir ist schon klar, dass Gerichte das natürlich an irgendeiner Stelle abbügeln würden, weils die BRAK ist. Aber theoretisch, und mal nach BGB, müssten da schon Ansprüche bestehen.
Ich arbeite als IT-Berater unter anderem für Anwälte. Ich kann Ihnen versichern, dass ich in diesem Kontext schon einige signifikante Rechnungen ausstellen musste.
Ich habe dieser Tage die Rechnung meiner RAK über den Kammerbeitrag 2018 in Höhe von 285,00 Euro fällig zum 1.3.2018 erhalten.
ZansaraDie Rechnung für die Installation des beA im Dezember 2017 meines IT Administrators beläuft sich auf 132,51 Euro.
Übermorgen habe ich einen weiteren Termin zur von der BRAK nun geforderten Deinstallation . Ich lasse mir dann sofort dafür die Rechnung ausstellen. Übersende dann beide Rechnungen zur Erstattung meiner Kosten unter Fristsetzung an die RAK und an die BRAK . Wenn nicht bezahlt wird, rechne ich am 01.03.2018 gegen den geforderten Kammerbeitrag auf und überweise nur noch den Restbetrag.
Diejenigen 100 000 Anwälte (!) , die das beA noch nicht installiert hatten,können sich ins Fäustchen lachen!!!
Also mich hat das ganze Installation und Deinstallation, außer Zeit, nichts gekostet. Mache ich alles selbst. Heute Bea deinstalliert, waren keine 5 Minuten. Beim Kollegen mit Win7 ging es genauso schnell. Keine Ahnung warum man da über 100 Euro ausgeben muss.
"Außer Zeit". Wenn man nichts zu tun hat, dann hat man eben Zeit. Das kann bei anderen Kanzleien schon anders aussehen - zumal man die IT dort eben von dem Fachmann betreuen lässt.
@Stranger: Wenn Sie auf einem Produktivsystem mal eben so Software installieren und deinstallieren - dann mögen Sie das so machen. Andere Kanzleien haben IT-Richtlinien (bspw. wg. ISO-Zertifizierung etc.). Da muss das ein Fachmann machen, das sieht das risk management so vor. Idealerweise wird zuvor die Funktion und Auswirkung auf andere installierte Software und das System geprüft, indem es in einer Testumgebung erst einmal ausgeführt wird.
Aber gut, in der Wohnzimmerkanzlei mag das u. U. anders sein.
@ullrich: Es handelt sich um einen schlichten Desktoprechner bzw. mehrere, wie es viele Einzelanwälte nutzen. Selbstredend ist dies nicht vergleichbar mit Server und Client Systemen, von dessen Vorhandensein ich bei Kosten von gut 130 € bei Kommentator Zansara aber auch nicht ausgehe. @RA T.: "Außer Zeit" Es selbst zu machen kostete in diesem Fall weniger Zeit als andere Alternativen und dies hat nichts damit zu tun, ob man nichts anderes zu tun hat. Den ITler muss man auch bestellen, Rechnung bezahlen, Rechnung buchen, e.t.c.. Da geht mehr Zeit drauf. Schönen Sonntag wünsch ich allen Kommentatoren.
Gegen Beitragsforderungen ist die Aufrechnung nicht zulässig.
Dann wird die Kammer wohl irgendwann vollstrecken. Auch nicht so nett. Oder meinen Sie, dass die Regionalkammern stillhalten werden?
Alice im FlunderlandVerehrte Alice,
Sie haben völlig Recht.
Diese Leute stecken alle unter einer Decke und sind zu ALLEM fähig.
Ich habe es selbst schon bitter erfahren dürfen.
Allerdings schlagen die sich gerade ihre eigenen Sargnägel ins Holz und sie kapieren das nicht einmal.
Der Wind hat sich gedreht.
Keine Sorge.
Man muss allerdings dranbleiben...
Beste Grüße
Gunther, Samstag, 27. Januar 2018
Das lasse ich mal auf mich zukommen. Wenigstens ist es eine Art des passiven Widerstands.
Die Fa. Secunet dürfte dabei feststellen, dass der "unkontrollierte Einsatz von Endgeräten der Nutzer" in dem Zentralsystem der BRAK ein bereits sehr gravierendes Sicherheitsproblem für alle am Kommunikationsverkehr Beteiligten darstellt.
DWWUnd da bin ich auf eine Lösung gespannt.
Die Prüfungsaufgabe für Secunet wäre dabei interessant, für eine ehrliche, an den realistischen Verhältnissen orientierte Prüfung der Sicherheit.
D.h. wenn der Auftrag nur heißt, prüft die Sicherheit der Bea-Softwarekomponenten quasi unter "excellenten Laborbedingungen", also z.B. ohne die Berücksichtigung einer möglichen von (möglicherweise vorinfizierten) Endgeräten für das gesamte System.
Denn wenn man unrealistischerweise nur "absolut sichere Computer/Tablet/Handy im Anwaltsbüro" als "Prüfungssachverhalt" festschreibt, kommt man wahrscheinlich mit fast allen Lösungen zurecht.
Aber die Sicherheit für alle anderen muss auch dann noch auf dem gesamten Weg und an allen Zwischenstationen gewährleistet sein, selbst wenn ein Anwaltsrechner-/Handy-Tablet, das mit dem System über das alle ihre Daten schicken und "versammeln" kommuniziert, korrumpiert wird.
Dann wird es genauso abgehen, wie vor den meisten Gerichten. Wider aller Vernunft und Logik Word sich ein Richterin finden, der die Sache für völlig harmlos, auf dem aktuellen Stand der Technik stehend, erklären wird. Die nächste Instanz wird dann nach einem Haar in der Suppe suchen, notfalls eins hineinlegen und abweisen. Glauben Sie mir, es wird weder bei der BRAK auch nur ein Kopf rollen, noch Atos verklagt werden oder ein Anwalt Schadenersatz bekommen. Augen zu und durch. Und wenn Sie Ihre Umlage nicht bezahlen, wird man Sie wie jeden anderen Schwerverbrecher der seine GEZ Gebühren nicht bezahlt, einlochen, während sich alle anderen Wirtschaftskriminellen, Steuerhinterzieher oder Einbrecherbanden weiter über die deutsche Justiz amüsieren dürfen.
Die Erde ist eine Scheibe.
Rainer Breitrück,+RechtsanwaltNiemand hat die Absicht eine Mauer zu bauen.
Die Vertraulichkeit der Datenübertragungen war zu jederzeit gesichert.
Ja, das ist zugegeben sehr lustig. Es ignoriert jedoch DIE Debatte unserer Zeit, nämlich die Überwachung der Telekommunikation. Jede Übertragungsform muss ein Backdoor haben, sonst wird sie von Terroristen, Verbrechern oder Agenten genutzt. Es ist für die vorbezeichneten Gruppen auch kein Problem, einen Anwalt zwischenzuschalten. Deshalb darf auch anwaltliche Kommunikation nicht sicher sein.
Die Sicherheitslücke ist mit sehr geringer Wahrscheinlichkeit auf einen Fehler von Atos zurückzuführen. Mit hoher Wahrscheinlichkeit wurde man dazu verpflichtet ein Backdoor einzubauen, entweder vom französischen Geheimdienst DGSE, oder von unserem BND. Alles andere ist sicherlich denkbar, aber höchst unwahrscheinlich. 99,9999999999999% aller Sicherheitslücken gehen auf die erzwungene Zusammenarbeit mit Sicherheitsbehörden zurück. Wer das nicht realisiert, lebt in einer Traumwelt mit Einhornstaub und rosa Sonnenbrillen.
Sicherheit und Datenschutz werden niemals gewährleistet bzw. garantiert sein. Liebe Anwälte, seht das doch endlich ein. Ich verstehe nicht, dass ihr Euren Standesorganisationen nicht schon früher Einhalt geboten habt!
Lothar BrümHinterher ist man bekanntlich immer klüger....aber erst musste was passieren, dass was passiert...
Leider!
Über diesen Artikel habe ich mich gefreut! Endlich kommt der Irrsinn zur Sprache, dass Java genutzt wurde.
RPvgl. auch schon meinen Kommentar vom 31.12.2017 16:25 zu dem Artikel https://www.lto.de/recht/juristen/b/bea-offline-technische-panne-nutzungspflicht-brak-informationspolitik/
Die Verschrottung des beA rückt näher. Darüber muss man froh sein.
Ich hatte mal Probleme bei der Bestellung der BeA Karte. Anruf bei der BNotK. Der Herr informierte mich, dass deren Shop nur funktioniert, wenn ich Java installiert habe. Ich hab ihm gesagt, dass mir so unsicheres Zeugs nicht auf die Platte kommt, worauf ins Micro nuschelte, warum nur alle Anwälte kein Java hätten. Bei den Notaren gäbe es so was nicht.
Was lernen wir daraus?
Die Notare legen auf Sicherheit weniger Wert, als die Rechtsanwälte und die BRAK ist womöglich Vertriebspartner für JAVA....
Es ist natürlich richtig, dass Java unter Sicherheitsgesichtspunkten (besonders) problematisch ist (zumal dann, wenn dead libraries verwendet werden). Gleichwohl sollte man sich darüber im Klaren sein, dass auch die anderen Programmiersprachen nicht ohne Schwachstellen sind bzw. dass die größten Schwachstellen der unfähige Programmierer und der technikgläubige aber unwissende Benutzer sind.
Entschuldigung, aber die Ausführungen der hier diskutierenden Anwälte verstehe ich nicht. Da wird überlegt, gegen die Beitragsforderung der Standesorganisationen aufzurechnen, die vermutlichen Ursachen der Sicherheitsprobleme werden erörtert und allgemein lamentiert. Dazu nur zwei Dinge: 1) Technisch wird es, egal mit welchem Aufwand und wie und von wem programmiert, keine Garantie der Sicherheit und Vertraulichkeit geben. 2) Rechtlich habt ihr keine Chance, erfolgreich gegen das Gebahren eurer Standesorganisationen vorzugehen. Welche Form des Widerstands bzw der Kritik ist da noch möglich: Webpräsenzen BRAK und RAKs sowie der Vorstands- und Präsidiumsmitglieder durchforsten, an sämtlich gefundene email Adressen Fragenkataloge, Anregungen, Kritik, Vorstandsbeschwerden schreiben (Kundige automatisieren das per Skript), sämtlich gefundene Telefonnummern kontaktieren und den Sachbearbeitern auftragen, die Anregungen weiterzuleiten, Faxe und Briefe an die Kammern schreiben, Neuwahlen und Rücktritte fordern, endlich progressiv werden und die Rückkehr zum 'analogen' Zeitalter proklamieren...
Lothar Brüm"Rechtlich habt ihr keine Chance, erfolgreich gegen das Gebahren eurer Standesorganisationen vorzugehen."
Dazu hätte ich ganz gerne einmal eine rechtliche Würdigung unter Nennung der einschlägigen Normen.
Keine Kostenlose Rechtsberatung, sorry.
Aber es handelt sich hier nicht um einen einfachen Kauf, den man wegen Mängeln rückabwickeln will.
Gibt es eigentich irgendwo eine (laufende oder geplante) Unterschriftenaktion gerichtet auf konkrete Folgen wie zB Rücktritt von Verantwortlichen? Was wäre, wenn zB 10.000 Anwälte dies unisono fordern würden
RA mit FrageDiese Liste würde alsbald bei den lokalen RAK ein erstaunliches Eigenleben führen... ;-)
Das beA - Desaster ist von mehreren Seiten zu beleuchten: 1.) Die Grundidee ist gut und richtig. Auch die Rechtsanwälte sollten in der Lage sein, mit etwas Sinn und Verstand moderne Techniken zu nutzen. Es muß nicht immer nur das 120 . Gramm - Papier und der Füllfederhalter sein; der "Fortschritt" Fax ist keiner mehr. 2.) Generell ist das gefundene System nach von mir eingeholten Informationen von Fachleuten, die bei großen und anerkannten Unternehmen der IT - Branche tätig sind, nicht verkehrt; das gilt auch für die beteiligten Unternehmen. Ob die Oberfläche etwas "netter" hätte gestaltet werden können, mag dahinstehen. Wir haben keinen Kunstwettbewerb "Schönes Büro". Aber diese Fachleute haben ebenso darauf hingewiesen, daß das System des Starts ziemlich desaströs organisiert war und man mit derartigen Schwierigkeiten zu Anfang rechnen mußte. 3.) Desaströs ist das häppchenweise Krisenmanagement. Anstelle beA nun für 2 oder 3 Monate als "Spielwiese" laufen zu lassen (man versendet sich wechselseitig Spiegelartikel und stellt Scheinzustellungen zu) hat man alles auf einen Schlag gewollt.
ernstmoritzarndtSie können selbstverständlich auf Ihre eigene Gefahr und Haftung tun und lassen, was Sie für richtig halten in Ihrem Büro, werter "ernstmoritzarndt" oder wer oder was Sie auch immer meinen, sein zu wollen.
Dasselbe beanspruche ich allerdings für meine Kanzlei mindestens genauso.
Und ich lasse mir erst recht von NIEMANDEM die freie Wahl des von mir als geeignet oder notwendig erachteten Kommunikationsweges oder gar meines höchstpersönlichen Schreibstils abschneiden !
Damit das ein für allemal klar ist !
Da dieses "beA" jedoch bereits zwangsweise für jeden Berufsträger zur Einrichtung und Nutzung vorgesehen ist, gerät die vermeintliche "Grundidee", die Sie höchst jovial und es den Bevormundern bei "BRAK" & Co. regelrecht abkopierend ansprechen , per se zum bösartigen MONSTER.
Diese "Idee" ist damit vollkommen verwerflich !
Wer das nicht kapiert, ist natürlich selber schuld.
Fazit:
Ein Fall insbesondere für den Staatsanwalt...
Herr ernstmoritzarndt:
Lothar Brüm1) Der gerne herangezogene Fax Vergleich hinkt. Möglicherweise kann ein Fax unberechtigterweise von Dritten mitgelesen werden. Eine Systemkompromittierung - wie bei fehlerhafter Software - tritt aber idR nicht ein.
2) Die mir bekannten Fachleute (einige auch bei "anerkannten" IT Unternehmen, andere nicht ;-)) beurteilen dies völlig anders. Das HSM ist anerkannte Praxis, kann aber - schon wegen der erforderlichen Kustoden - keine Sicherheitsgarantie bieten. Darüber hinaus ist derartige Software einigermaßen komplex und damit per se (ja so einfach ist es) fehleranfällig.
3) Als Krisenmanagment ist die Reaktion der brak nicht zu bezeichnen. Viele RAs hatten den alten Client monatelang auf ihren Rechnern. Genug Zeit um das System zu kompromittieren. Sie müssten jetzt eigentlich ihre EDV komplett neu einrichten. In Anbetracht dessen müsste die brak sich völlig anders verhalten