Verfassungsbeschwerde erfolglos, aber technische Probleme: Das Anwaltspostfach kann kommen - nach einer Neu-Konfiguration
© Gajus - stock.adobe.com
Der wohl letzte Versuch, das beA vor Beginn der passiven Nutzungspflicht zu stoppen, ist in Karlsruhe gescheitert. Martin W. Huff analysiert die Entscheidung. Die BRAK meldet unterdessen, dass die Nutzer ein neues Zertifikat brauchen.
Es wird ernst: Ab dem 1. Januar 2018 besteht nach der Vorschrift des § 31a Abs. 6 Bundesrechtsanwaltsordnung (BRAO) die sogenannte passive Nutzungspflicht des besonderen elektronischen Anwaltspostfaches (beA). Danach sind alle rund 166.000 deutschen Rechtsanwälte verpflichtet, die für die Nutzung erforderlichen technischen Einrichtungen vorzuhalten und über das Postfach zugehende Mitteilungen (von Gerichten oder Kollegen) zur Kenntnis zu nehmen. Nach Ansicht des Gesetzgebers stellt dieser Kommunikationsweg eine sichere Verschlüsselung da, die von den Beteiligten genutzt werden kann.
Rund um das beA hatte es erhebliche Auseinandersetzungen gegeben, erst spät waren unter erheblichem Zeitdruck hatte die verantwortliche Bundesrechtsanwaltskammer (BRAK) die technischen Möglichkeiten geschaffen, damit auch die Syndikusrechtsanwälte ihre Pflicht erfüllen können, das beA zu nutzen. Schon der Bundesgerichtshof (BGH) hatte die Klage eines Rechtsanwalts gegen die Umlage der für das beA notwendigen Kosten zurückgewiesen. Der Anwaltssenat hatte keine Bedenken gegen die Zulässigkeit der gesetzlichen Regelungen und die Umlage der Kosten auf die einzelnen Anwälte erhoben.
Nun hat auch das Bundesverfassungsgericht (BVerfG) den Weg frei gemacht für den tatsächlichen Start des beA mit seiner passiven Nutzungspflicht. Mit seinem am Freitag bekannt gewordenen Beschluss vom 20. Dezember 2017 (Az. 1 BvR 2233/17) hat die 1. Kammer des Ersten Senats des unter der Berichterstatterin Yvonne Ott die Verfassungsbeschwerde eines Anwalts als unzulässig verworfen. Während eventuelle rechtliche Stolpersteine damit aus dem Weg geräumt sind, meldet die BRAK, dass alle Nutzer ein neues Zertifikat herunterladen müssen.
Förderung des Elektronischen Rechtsverkehrs ist legitimer Zweck
Der hatte mit der Verfassungsbeschwerde und einem damit verbundenen Antrag auf Erlass einer einstweiligen Anordnung versucht, insbesondere die passive Nutzungspflicht zu stoppen. Er argumentierte, dass damit unzulässig in seine Berufsfreiheit gemäß Art. 12 Grundgesetz (GG) eingegriffen werde, das beA nicht sicher sei und zudem zu einer übermäßigen Kostenbelastung führe.
In seiner Entscheidung hat sich das Gericht, obwohl nicht nötig, inhaltlich mit dem beA befasst und dargelegt, dass die Verfassungsrichter gegen die gesetzlichen Regelungen rund um das beA keine Bedenken haben.
Bei den gesetzlichen Regelungen insbesondere des § 31 a Abs. 6 BRAO handele es sich nicht um Vorschriften zur Zulassung zur Anwaltschaft, also um Fragen der Berufsfreiheit. Vielmehr seien die Vorschriften allein eine Berufsausübungsregelung. Solche Regelungen sind zulässig, wenn vernünftige Erwägungen des Gemeinwohls sie als zweckmäßig erscheinen lassen und das Grundrecht der Berufsfreiheit nicht unverhältnismäßig eingeschränkt wird.
Warum der Schaffung des beA keine vernünftigen Erwägungen des Allgemeinwohls zugrunde liegen sollten, habe der Beschwerdeführer nicht dargelegt, so die Verfassungsrichter. Den elektronischen Rechtsverkehr zu fördern, einen rechtssicheren und schnellen Kommunikationsweg zu den Gerichten und anderen Anwälten sowie Porto- und Druckkosten zu sparen, erklären sie zu einem zulässigen Zweck.
2/2: Der Staat muss nicht auf altbekannten Wegen gehen
Seine Behauptung, das beA werde Kosten nicht reduzieren, sondern vielmehr steigern, habe der klagende Anwalt nicht substantiiert belegt. Eine konkrete Kostenaufstellung hatte er nicht vorgelegt.
Auch seine Behauptung, dass das System nicht sicher sei, habe der Beschwerdeführer nicht belegt, so die 1. Kammer des Ersten Senats. Mit den getroffenen Sicherheitsvorkehrungen habe er sich nicht auseinandergesetzt. Negative Erfahrung mit anderen elektronischen Systemen, die in der Vergangenheit von Hackern angegriffen worden sein, passten auf die Ende-zu-Ende-Verschlüsselung des Anwaltspostfachs nicht. Ein Restrisiko bestehe immer und sei, auch im überwiegenden Interesse des Gemeinwohls, hinzunehmen.
Die Richter machen in ihrem Beschluss auch noch einen berufsrechtlichen Schlenker. Sie stellen klar, dass es sich bei dem Posteingang im beA um einen ganz normalen "Posteingang" handele, den der Rechtsanwalt im Rahmen seiner Berufs- und haftungsrechtlichen Pflichten bearbeiten müsse. Eine sofortige Kenntnisnahme und auch Bearbeitung seien überhaupt nicht erforderlich.
Die Verfassungsrichter wenden sich mit ihrem Beschluss gegen viele diffuse Ängste der Rechtsanwälte in Bezug auf den modernen und dringend notwendigen neuen Kommunikationsweg. Der Staat dürfe neue Kommunikationswege schaffen, welche die Gerichte und weitere am Rechtsverkehr Beteiligte entlasten, aber nach heutigen Erkenntnissen sicherer seien offen versandte, unverschlüsselte Mails.
Auch der BGH hatte schon einmal einem Richter ins Stammbuch geschrieben, dass er verpflichtet sei, Einträge im Handelsregister elektronisch zu bearbeiten und zur Kenntnis zu nehmen. Es gibt keine Verpflichtung des Staats, nur auf altbekannten Wegen - wie dem Ausdruck auf Papier - zu gehen.
beA-Konfiguration muss geändert werden
Das beA wird also zum 1. Januar 2018 Realität. Das bedeutet nur, dass jeder Rechtsanwalt dortige Posteingänge zur Kenntnis nehmen muss. Auf der sicheren Seite ist man, wenn man auf jeden Fall die Benachrichtigungsfunktion einrichtet, mit der man per Mail auf eine beliebige Mailadresse unterrichtet wird, dass ein Posteingang vorliegt. Den kann man sich dann ansehen.
Erforderlich ist dafür noch eine Änderung der beA-Konfiguration. Per Sondernewsletter teilte die BRAK am Freitag mit, dass alle beA-Nutzer ein zusätzliches Zertifikat installieren müssen. Die BRAK sei am 21. Dezember 2017 darüber informiert worden, dass ein für die Anwendung notwendiges Zertifikat ab dem 22. Dezember nicht mehr gültig ist, heißt es zur Begründung. Eine Anleitung zur Anpassung der Konfiguration stellt die BRAK hier zur Verfügung (Anm. der Red.: Die Seite für den Download ist allerdings zum Zeitpunkt der Veröffentlichung offline, Fehlermeldung 404).
Wenn in den ersten Januar-Tagen trotz aktuell noch gemeldeter Schwierigkeiten auch die Schnittstellen der großen Anbieter von Anwaltssoftware funktionieren werden, wird sich der neue Kommunikationsweg rasch durchsetzen.
Auch übers beA: Pflicht zur Annahme von Zustellungen von Anwalt zu Anwalt
Eines ist sicher: Der von vielen Rechtsanwälten benutzte Weg der offenen E-Mail, um mit Mandanten und Kollegen zu kommunizieren, der in den vergangenen Monaten von Datenschützern immer wieder kritisiert worden war, wird durch eine sicherere Kommunikation mit Anwälten, Gerichten und rasch auch mit weiteren Behörden ersetzt werden.
Dabei geht der Rechtsanwalt bei der Nutzung dieses Weges keinerlei berufsrechtliches Risiko ein. Beim beA handelt es sich um einen vom Gesetzgeber eröffneten Weg, der auch genutzt werden darf, ohne dass Anwälte sich sorgen müssten, dass Sicherheitsprobleme – wenn sie denn auftreten sollten - ihnen negativ angerechnet werden könnten.
Ebenfalls zum 1. Januar 2018 sind alle Rechtsanwälte gemäß § 14 BRAO übrigens auch (wieder) berufsrechtlich verpflichtet, die Zustellung von Anwalt zu Anwalt entgegenzunehmen. Auch deshalb sollte man den Posteingang gut kontrollieren. Jetzt ist abzuwarten, ob das beA funktioniert. Bei den Notaren jedenfalls läuft der elektronische Rechtsverkehr bereits seit einigen Jahren sehr gut.
Rechtsanwalt Martin W. Huff ist Geschäftsführer der Rechtsanwaltskammer Köln und in der Sozietät Legerlotz Laschet Rechtsanwälte (LLR) in Köln tätig
Das Zertifikat ist allerdings nicht abgelaufen, sondern wurde gesperrt. Weil der Private Key des von T-Systems signierten Zertifikats nicht geheim war, sondern per bea-Client an alle Welt verteilt wurde.
Johannes LangDie Regeln für Zertifizierungsstellen geben vor, dass Zertifikate, die abhanden kommen, gesperrt werden müssen.
Die ganze Umsetzung des beA ist an Dilettantismus nicht zu überbieten.
Nun muss man auf einer Internetseite ein Zertifikat herunterladen, welches nicht per-se vertrauenswürdig ist. Eine Möglichkeit zu prüfen, dass das Zertifikat auch genau das richtige ist (also keine eingeschleuste Zertifikatsdatei), gibt es nicht.
De-facto ist es so: Jeder Anwalt, der das Zertifikat nun installiert, richtet sich ein Zertifikat ein, welches er nicht auf Echtheit überprüfen kann. Damit vertraut er nun die sichere Kommunikation einem Zertifikat an, welches selbst eigentlich fragwürdig ist.
Ich als Anwalt täte mich damit ja sehr schwer, insbesondere, da mein Mandant darauf vertraut, dass ich technische Sicherungsmaßnahmen ergreife, um die Kommunikation über beA auch sicher nutzen zu können.
Absolut übel. Und sowas von der BRAK.
Hallo Herr Lang,
kann man nachprüfen, ob der geheime Schlüssel in der Software ist, oder muss ich Ihnen glauben (gerne, aber...) ?
Ausdrücklichen Dank für diese klare Aussage. Ich habe die Idee des Neues Rades unseren Kunden ggü. schon 2016 verteufelt.
Frohe Weihnachten :-)
"Gut gemeint" - ist noch lange nicht "gut gemacht".
Der elektronische Rechtsverkehr mit der Justiz und innerhalb der Anwaltschaft muss kommen und zwar ganz zeitnah. Anders werden Justiz und Anwaltschaft in einer zunehmend digitalisiert kommunizierenden Gesellschaft keine Rolle mehr spielen können.
Es ist die - ihr gesetzlich zugewiesene - Aufgabe der BRAK, diese - gesetzlich angeordnete - Einführung umzusetzen. Dass dies schon seit dem 01.01.2016 nicht ohne Schwierigkeiten gelingt, halte ich bei einem Projekt dieser Größenordnung für normal.
ABER:
Bis zum Stichtag für den "Pflichtbetrieb" am 01.01.2018 waren nun zwei Jahre Zeit, um das System auf den Echtbetrieb mit - bekanntlich - mindestens 160.000 Teilnehmern vorzubereiten.
Trotzdem ist es der BRAK und der von dort beauftragten Fa. ATOS bisher offenbar nicht gelungen (oder den Verantwortlichen nicht aufgefallen), die Verteilung der für die Verschlüsselung notwendigen "private Keys" in einer rechtskonformen Weise zu realisieren.
Schon das muss das Vertrauen jedes Nutzers in das beA-System erschüttern. Auch der am 21.12.2017 von der BRAK erfundene "Notnagel" des Nachladens eines selbst erteilten Zertifikats hilft dem nicht ab. Auch damit bleibt der "private Schlüssel" öffentlich einsehbar:
https://twitter.com/reg_nerd/status/944434515140861953
Damit wird von der BRAK der letzte Rest vorhandenen Vertrauens verspielt: der bisherige (systemimmanente) Fehler wird einfach "aktualisiert" und zur Ursache auf der Website der BRAK beschönigend nur von einem "abgelaufenen" Zertifikat gesprochen.
SO geht es NICHT!
Den 160.000 verpflichteten Kollegen am - in vielen Büros - regulär letzten - Arbeitstag des Jahres 2017 mit einer 22seitigen Anleitung ein "Update" ihrer Büro-EDV auferlegen zu wollen, ist schon eine Zumutung. Dass auch dies die Ursache des Problems nicht lösen kann - wie die BRAK zwar wissen muss aber den Anwendern verschweigt - finde ich hingegen ungeheuerlich.
Bei solcher "Öffentlichkeitsarbeit" darf sich keine Behörde wundern, wenn die Betroffenenen mit IFG-Klagen "richtige" Auskünfte von ihr begehren.
Jedenfalls DAMIT ist ab dem 01.01.2018 wohl zu rechnen.
"... wird sich der neue Kommunikationsweg rasch durchsetzen."
anonklar weil ja erzwungen, nicht weil so toll, denn dann hätte man es ja nicht zwingend vorschreiben müssen.
Und das BVerfG muss sich m.E. die Frage gefallen lassen, warum für das berechtigte Interesse einer sicheren elektronischen Kommunikation ein Zwang zum beA im Speziellen nötig und gerechtfertigt sein soll. Denn durch ein solches gesetzlich vorgeschriebenes Monopol des beA kann es kein Wettbewerb um u.U. bessere (oder jedenfalls billigere) Lösungen geben.
Wie ist das eigentlich datenschutzrechtlich/compliance-mäßig? Muss ich als Anwalt nun meine Mandanten darauf hinweisen, dass ich bisher bei Verwendung des beA eine Kommunikationsschnittstelle verwendet habe, die per-se nicht sicher war.
UrsDenn dadurch, dass der Privat-Key in die Welt hinausposaunt wurde, konnte ja jeder die Kommunikation abfangen. De-facto war das beA damit unsicher.
Ich werde das Ding genau 0 Mal nutzen (M&A Anwalt), soll dafür aber 35 € im Jahr für die Basiskarte bezahlen, damit ich feststellen kann, ob jemand an mich für meine Sozietät zugestellt hat weil Anwalt XY aus dem Litigation da viel drüber bekommt und die Gegenseite sich den Spaß erlaubt, einfach an einen anderen Anwalt aus der Sozietät zuzustellen. Dann ist das noch ein 24 Monatsabo - ganz toll. Bekomme ich mein Geld zurück, wenn ich in 12 Monaten meine Zulassung abgebe und bspw. Richter werde?
GesellschaftsrechtlerDazu kommt noch die Kammerumlage von ca. 60 €.
Danke für diese tolle Idee. Achja hatte ich erwähnt, dass ich das Ding nicht ein Mal aktiv nutzen werde?
Damit ist klar:
Klausus1. Das sog. Bundesverfassungsgericht hängt da mit drin
2. Die jährlichen Schutzgeldzahlungen der 160.000 bundesdeutschen Anwälte gehen weiter
3. Das System ist jetzt bewiesenermaßen unsicher (abgelaufenes Zertifikat)
4. Beim nächsten mal Piraten wählen und das sog. elektr. Anwaltspostfach und die Hintertür zu den amerik. Geheimdiensten abwählen
5. Die RAK und BRAK abschaffen, Briefwahl nutzen
6. Stellt Kandidaten für die RAK und BRAK Wahl auf, die nicht korrupt sind und mit der IT Wirtschaft und der sog. Regierung und den sog. amerik. Geheimdiensten ins Bett gehen
Kann nicht noch jemand schnell eine neue einstweilige Verfügung an das sog. Bundesverfassungsgericht faxen und die Bedenken besser argumentativ untermauern, z.B. die Kosten detallierter darstellen
KlaususIch kenne keinen Anwalt, der mit dem sog. elektr. Anwaltspostfach glücklich ist
Also verdammt noch mal, es muß doch hier einen von 160.000 Anwälten geben, der eine gut argumentativ untermauerte Verfassungsbeschwerde zustande bringt?
Wir Anwälte müssen jetzt in dieser Stunde der staatlichen Überwachung, jährlichen nutzlosen BEA-Schutzgeldzahlungen, Not und Verzweiflung zusammenhalten!
Das beA ist eine gute Sache. Ihre Kommentare sind nicht einlassungsfähig.
@ Klausus: Ist Ihnen eigentlich schon der Widerspruch zwischen Ihrer Forderung nach Abschaffung der RAK und der Wahrnung vorbstaatlicher Kontrolle aufgefallen? Ohne die RAKs würden wir direkt durch die Justiz (sei es OLG bzw. LG oder Ministerien) kontrolliert werden. Gerade in Zeiten möglicher spontaner, sachgrundloser Geldwäschekontrollen, ist dass das größere Übel.
Hinsichtlich beA: Ich finde es im Prinzip gut, hat halt noch Kinderkrankheiten; die Art der Einführung (Zwang bei engem Zeitfenster) ist halt katastrophal.
Frohe Weihnachten allen Lesern.
Das sog. Bundesverfassungsgericht lacht sich doch einen Ast,
Klaususweil es offenbar keinen einzigen Anwalt in der BRD gibt, der eine zulässige und begründete Verfassungsbeschwerde gegen diesen elektr. Blödsinn und die jährlichen Schutzgeldzahlungen an die BRAK entwerfen kann.
Bis 31.12. ist noch Zeit, tun wir uns alle zusammen und schreiben eine wasserdichte Verfassungsbeschwerde!
Dazu sollten wir uns die Begründung durchlesen und Argumente finden, etwa
- daß bei der elektr. Steuererklärung es auch Härtefallregeln gibt,
- daß es Regionen in Deutschland ohne Internet gibt
- daß das Internet ständig ausfällt
- daß Computerviren wie Wannacry auch gefährlich sind
Vergeßt Weihnachten und Silvester, jetzt wird an der Verfassungsbeschwerde gearbeitet! 160.000 Anwälte sollten das doch hinbekommen und uns vor dem kommenden jährlichen Zahlungs- und Postfach TERROR zu schützen
BRAK = Gefährder der anwaltlichen und bürgerlichen Freiheit
Es ist doch immer wieder erstaunlich wie hartnäckig sich ausgerechnet Juristen gegen Veränderung sträuben. Wenn man lieber 50 Jahre den gleichen status quo hätte um nichts Neues lernen zu müssen, sollte nicht ein Berufsfeld wählen, dass von Veränderung lebt. Der technische Wandelnist längst überfällig. Briefe und Postkarten waren auch nie 100% sicher. Der E-Mail-Verkehr genügt kaum den besonderen Datenschutzanforderungen im Mandanten-Anwalts-Verhältnis. Das beA kann da einiges nachbessern. Statt es zu verbannen sollte man eher daran mitarbeiten es zu verbessern. Wenn es nicht sicher ist, dann macht es sicher. Nicht die anderen sind schuld und die Technik ist böse - der Nutzer ist unerfahren und ängstlich.
NachwuchsDass ein Private-Key herausposaunt wird, hat wohl kaum mit dem nutzenden Anwalt zu tun, sondern ist alleiniges Fehlverhalten der BRAK.
Wieso will die BRAK ein selbsterstelltes Zertifikat in den globalen Zertifikatspeicher schreiben [1]? Damit nimmt sich die BRAK heraus, für einen nicht im Vorhinein auf ihre Mitglieder beschränkten Kreis von Dritten zwischen dem Computernutzer und dem Dritten eine Vertrauensstellung etablieren zu können.
Beispiel: Die BRAK kann auf Veranlassung eines Bedarfsträgers ein Zertifikat für https://www.bing.de erstellen. Der Bedarfsträger kann dann unter Verwendung dieses Zertifikats einen so genannten Man-In-The-Middle-Angriff [2] gegen alle Systeme, auf welchen das erstgenannte Zertifikat im Zertifikatspeicher abgelegt wurde fahren, ohne dass dies auf den betroffenen Systemen für den Laien erkennbar wäre.
Weil dieses Vorgehen die Integrität der Systeme schwächt, kann die Installation des erstgenannten Zertifikats im systemweiten Zertifikatspeicher nicht verlangt werden.
[1] Anleitung aus dem vorliegenden Artikel: https://www.bea-brak.de/content/Anleitung_zur_Anpassung_der_beA_Konfiguration.pdf
[2] https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
Ich verschlüssele mit PGP und /MIME und versende per Email. Sensible Sachen liegen mehrfach verschlüsselt auf Server zum Abruf durch Mandant. Was soll dieser ganze BEA Müll. Die Daten lassen sich nicht mal ohne Bruch der Software weiterverarbeiten.
Sie haben offenkundig NICHTS verstanden, werte-/werter "Nachwuchs oder wer oder was auch immer Sie sein möchten !
Es geht natürlich um die verwerfliche zwangsweise einseitige Beschneidung der freien Wahl des eigenen Kommunikationsweges, basta !
Das allein schon widerpricht der freien Ausübung des Anwaltsberufes in seinen Grundfesten, völlig ungeachtet aller materiellen guten Argumente, die dieses System zu recht in den Schatten stellen !
Wenn Sie das aber nicht kapieren oder nicht kapieren wollen oder nicht kapieren dürfen, weil es Ihnen möglicherweise jemand verbietet, ist das selbstverständlich Ihr eigenes Problem !
Das Ganze war, ist und bleibt schlicht ungeheuerlich.
Und dass das vermeintliche "Bundesverfassungsgericht" hier auch noch mitspielt, ist lediglich bezeichnend. Dieses Gericht ist offenkundig Teil dieser verwerflichen Machenschaften oder zumindest mit ihnen verwerflich "verflochten".
Deshalb werden auch die besten "Argumente" nichts nützen, sich bei den Entscheidungsträgern dort weiter "beschweren" oder beschweren lassen zu wollen.
DAS GIBT DOCH SEHR ZU BEDENKEN !
Ich selbst jedenfalls kann nur hoffen, dass dieses "System" IRGENDWIE vollständig zu Fall kommt und das gesamte Kammer (un-) wesen im Übrigen gleichfalls !
Und das schon sehr bald, versteht sich.
Die ersten Anzeichen (nicht nur) wegen dieses erbärmlichen "Zertifikats" sind gottseidank erkennbar.
Frohe Weihnachten und ein gutes neues Jahr all' denjenigen, die es verdient haben.
Gunther Marko, Samstag, 23. Dezember 2017
www.ramarko.de
Gibt es bei beA die Möglichkeit zum Einrichten einer Meldung, dass man Post erhalten hat? Wenn nicht, wird es tonnenweise Missbrauch geben.
M.D.Gefunden: S. 53 in der Hilfedatei.
Ja gibt es. Spannend bleibt nur ob die Benachrichtigung auch tatsächlich funktioniert.
Ich für meinen Teil werde vorsorglich mein beA-Postfach täglich prüfen.
D. h. wenn ich dem Kollegen per BeA schreibe, dass es keine Wandlung mehr gibt, wird der das gar nicht mitbekommen? ;)
SWSo toll ich die Idee von BeA finde, so schlecht ist die Einführung organisiert. :(
Das Fachblatt c't hat einen Artikel zum aktuellen Desaster:
Ano Nymhttps://www.heise.de/newsticker/meldung/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach-3927314.html
<blockquote>Zur eiligen Installation des neuen Zertifikates veröffentlichte die Kammer eine Anleitung. Sie enthält die Empfehlung, die dringlichen Installationswarnungen von Microsofts Explorer und Mozillas Firefox zu ignorieren. Besonders harsch fällt diese Warnung für Firefox aus: "Seriöse Banken, Geschäfte und andere öffentliche Seiten werden Sie nicht bitten, derartiges zu tun." Entsprechend verunsichert dürfte sich jetzt mancher Anwalt die Frage stellen, ob es sich bei der Bundesrechtsanwaltskammer um eine seriöse Vereinigung handelt. (Detlef Borchers) / (anw) </blockquote>
Man darf gespannt sein, wann der erste Virus im System den fortschrittlichen Notaren die Farbe aus dem wohlgenährten Gesicht weichen lässt.
MWarum auch nicht der Digitalisierung Tür und Tor öffnen; mit solch unwichtigen Dingen wie Grundbuch und Handelsregister können wir es doch wagen, das digitale Experiment. Wer dagegen ist, ist ein ewig Gestriger! Was soll schon passieren, außer dass sich bald Bauer Theo sein Feld brüderlich mit Bauer Willi teilen muss?
Und im Gesundheitswesen ist doch auch noch nichts passiert. Und bei wannacry war doch jedem ausgewiesenen Experten klar, dass unsere Systeme sicher sind - nur der Engländer musste bangen um die Funktionsfähigkeit seiner Intensivstationen.
Also warten wir drauf, bis unser gesellschaftliches Fundament gehackt wird. Ist doch eh spießig, Rechtssicherheit.
Doppelt schlimm, weil der beA-Client im Prinzip offen am Port hängt. Sprich, jeder kann sehen, ob da gerade ein Anwalt surft.
Edward SnowdenAlso nicht wundern, wenn demnächst vermehrt Werbung für Roben aufschlägt... ;-)
Gut und schön, aber über das neue Zertifikat, das man sich da downloaden soll, wird doch nur die Kommunikation mit dem beA-Server gecheckt.
Mitch McDeereWie wird denn verhindert, dass jemand über den bealocalhost.de und das kontaminierte Zertifikat sonstigen Java-Unfug auf einem Anwaltsrechner treibt, wenn der sich das jetzt schon installiert hat? Zumal die Lücke ja jetzt bekannt ist.
Ich hatte schon Portscans aus dem Siemens Netzwerk, welches ATOS nutzt. Auf Nachfrage bei ATOS was das soll und Hinweis auf die Strafbarkeit (die Scans tauchten an meiner 2. Hardwarefirewall auf, d.h. der oder die haben die erste Hardwarefirewall schon umgangen, gab's als Antwort, dass man zu solchen Fragen keine Stellung nehme. Ich hatte der BRAK auch schon mehrfach u.a. im Frühjahr 2017 mitgeteilt, dass Datenverkehr des BEA (nachfolgend zutreffend BSE genannt) USA umgeleitet wird ( u.a. LEVEL3). Als Antwort kommt nur, es läge an meiner sonstigen Software. Der Datenverkehr könne nicht vom BSE stammen. Auf meine Nachfrage, dass ich das BSE gekapselt haben laufen lassen, gibt's keine Antwort. Vor 1 1/2 Jahren hatte ich denen schon mitgeteilt, dass der BSE Client, den man sich zum Start von der BSE Webseite runterladen soll, kein Zertifikat hat und such meine ProfihardwareFirewall weigert, dass Ding durchzulassen, keine Reaktion. Anwälte installieren sich also etwas, von dem sie bucht wissen, ob es auf den Servern der BRAK nicht schon kompromittiert wurde. Auf diese Weise könnten hunderttausende Kanzleinetzwerke bereits mit Trojaner bestückt worden sein, um der NSA ein avschnocheln zu ermöglichen. Ich habe der BRAK mehrfach mitgeteilt, dass sie wenigsten einen HashwerT in Umlauf bringen sollen, damit der Anwalt nach dem Download des BSE Client prüfen kann, ob der kompromittiert wurde. Keine Antwort.
HansDas IT Können auf höchstem Niveau und die Entscheidung des BVERFG lässt erahnen, wie es dort um die IT Kompetenz bestellt ist.
Offenkundig bei weitem nicht nur um die "IT-Kompetenz"...
Beim IT-Know How in der BRAK scheint mir tatsächlich das Problem zu liegen. Das man ATOS 74 Mio EUR zahlt und die dafür einen solche Haufen Müll abliefern lässt und offenbar den sehr berechtigten Nachfragen zu technischen und sicherheitsrelevanten Details weder nachgeht noch auf diese Antwortet, spricht für sich...
...und dann noch die zweimalige Eingabe der PIN-Nummer....ganz besonders sicher und absolut vertrauenswürdig....(Ernsthaft, gibt es hierfür eine plausible Erklärung?)
Uhu...einfach nur Blamabel
Wer das neue Zertifikat installiert gefährdet seine Kanzlei IT Sicherheit:
HansIm Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
Unbedingt Lesen:
https://www.google.de/amp/s/www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.amp.html
Da waren Vollprofis am Werk.
Am besten wäre es, dass BEA als Kommunikationsplattform am neuen HauptstadtFlughafen BER und bei Stuttgart21 einzusetzen. Dann würde die Inbetriebnahme erst nach meinem Renteneintritt stattfinden und ich müsste mir den Murks nicht mehr antun.
Da stehen doch verantwortliche Personen dahinter, denen die Kontrolle und Organisation des Bea übertragen ist und die hier ganz offensichtlich ihre Pflichten gegenüber 165.000 Anwälten vernachlässigt haben müssen.
DWWHier ist schnellstmögliche Aufklärung von Nöten. Die Verantwortlichen in Unternehmen und auch bei der Kammer müssen offensichtlich dringend zur Rechenschaft gezogen und rechtzeitig vor der nächsten Schlamperei ausgetauscht werden. Außerdem muss das System Bea endlich mit der erforderlichen Sorgfalt und Verantwortung transparent auf weitere "Zeitbomben" gründlich überprüft werden, woran es bislang - aus welchen Gründen auch immer - offensichtlich mangelte; siehe die aktuelle Presse. Es gibt wohl deutlichen Anlaß dazu.
In dem System ist doch offenbar sogar mächtig der Wurm drin.
Ich darf zudem in diesem Zusammenhang bemerken, dass immerhin von über 165.000 Anwälten nicht nur deutliche Zwangsabgaben in Summe von jährlich hoher mehrstelliger Millionenhöhe verlangt wurden, sondern obendrein auch noch unnötig solche Alarmeinsätze abverlangt werden, die offenbar auf Schlamperei und/oder Inkompetenz von höchstwahrscheinlich schuldhaft Verantwortlichen basieren, die man hoffenlich nicht einfach weiter rumwerkeln läßt.
Wenn man das mal kurz anhand von Arbeitsstunden der Betroffenen hochrechnet, dann kommt man auf ganz ansehnliche Stundenhonorare als Schadensersatz, wobei sich natürlich fragt, ob ca. 165.000 Anwälte sich das einfach jetzt und in Zukunft bieten lassen wollen und somit auch die dahinter stehende Mentalität weiter fördern möchten.
Ganz zu Schweigen davon, dass man 165.000 Anwaltsrechner durch solche Fehler in der aufgezwungenen Zentralverwaltung ihrer Daten einfach monatelang Angriffen aussetzt, als wären es Gamer in einem Multiplayernetzwerk, und dann so tut, als es wäre nur ein kurzes "Routineupdate" fällig, anstatt einen notwendigen dringenden Warnhinweis zu geben.
dem vorredner ist uneingeschränkt zuzustimmen: die anwaltschaft (zu der auch ich mich zähle) ist in dieser sache in den letzten beiden tagen dreist belogen worden. auch der hinweis auf "wartungsabreiten" auf der beA-seite ist genau genommen ein skandal. ich bin immernoch fassungslos.
tim c. wernerspiegel, monitor und redaktionsnetzwerk deutschland, bitte übernehmen sie!
die nutzung des beA kommt für mich nicht in frage, die gerichte, mit welchen ich regelmäßig zu tun habe (68 sozialgerichte, 14 landessozialgerichte und das bundessozialgericht) werde ich zwischen den jahren entsprechend in kenntnis setzen.
ps: ich bin gestern am späten abend von meinem kanzei-technker per e-mail auf diesen "vorgang" aufmerksam gemacht worden, dies mit den folgenden worten:
"Das sind ja ganz schöne Pfeifen, die das verantworten, was Sie da da demnächst nutzen müssen."
Strafanzeige gegen BRAK, Atos (war früher mal Siemens) und Zertifizierungsstelle der BNotK erstatten, vielleicht über die Onlinewache der berliner Polizei
RA HoffmannBei manchen Kommentaren / Kommentatoren fragt man sich echt, ob es sich noch um "Organe der Rechtspflege" handelt..
Frankfurter BubGrundsätzlich ist die elektronische Kommunikation begrüßenswert, alles andere ist Gejammere aus alter Zeit. Voraussetzung ist allerdings, dass diese (relativ, z. B. gegenüber der physischen Post) sicher und einfach zu handhaben ist, hier hat Atos und die BRAK/BNotK anscheinend übelst schlechte und dilettantische Arbeit geleistet - für ein Heidengeld, btw. Konsequenzen wird dies natürlich wieder keine haben, die Verantwortungen werden so lange hin und her geschoben, bis keiner verantwortlich ist.
Selbstverständlich ist der elektronische Rechtsverkehr zu begrüssen, aber die BRAK hat den Auftrag an Atos freihändig vergeben und die haben sich an einem französischen Modell orientiert anstatt mal auf bewährtes zB in Österreich, dort gibt es den ERV schon seit einem Jahrzehnt zu orientieren. Honi soit qui mal y pense ..
RA HoffmannDie Umsetzung ist bislang furchtbar. Ich würde gerne einmal wissen, ob die hier mitwirkenden Atos-Mitarbeiter einfach inkompetent sind oder ob diese Atos-Mitarbeiter schwachsinnige Design-Vorgaben technisch inkompetenter BRAK-Mitarbeiter einhalten mussten.
.Wenn alles so läuft, wie ich mir das vorstelle, werde ich den „beA Security Client“ oder so (der Name der Software ist jedenfalls absolut schwachsinnig, hinsichtlich der bisherigen Sicherheitslücken für die Kanzlei-IT verweise ich auf https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html) auf absehbare Zeit nur einmal nutzen: nämlich um ein Softwarezertifikat zu erstellen, welches ich für die Kanzleisoftware brauche. Wenn die Kanzleisoftware dann tatsächlich direkt auf das beA zugreifen könnte (so wie es sein sollte), wäre alles gut - dann freue ich mich über die massiven Erleichterungen, die das beA mit sich bringt.
Der ganze Aufwand wäre aus meiner Sicht (als gehobener IT-Laie) aber überflüssig gewesen. Statt mit staatlicher Macht unbedingt ein neues proprietäres System etablieren zu müssen, hätte man auch auf verbreitete offene Software setzen können; z. B. hätte man GnuPG-verschlüsselte E-Mails unter bestimmten Umständen zum elektronischen Rechtsverkehr zulassen können (nach Registrierung an einem Schlüsselserver oder unter Nutzung eines von der BRAK betriebenen E-Mail-Servers). Dann wäre die Implementierung in bestehende Systeme viel einfacher gewesen, außerdem wären die Entwicklungskosten viel geringer gewesen. Aber dafür hätten bei der BRAK eben Entscheider sein müssen, die überhaupt verstehen, worüber sie entscheiden. Vergibt man einen Auftrag an einen IT-Dienstleister, schlägt dieser natürlich ein neues proprietäres System vor, an dessen Erstellung und Wartung man regelmäßig gut verdienen kann.
So ist es. PGP und S/MIME zusammen mit ohnehin vorhandenem Email-Programm und ggf. zentral betriebener Schlüsselserver (für den öffentlichen Teil des Schlüssels von Anwälten, Gerichten, Notaren usw.) lassen sich professionell für 100 Euro montlich betreiben. Dazu noch ein wenig Support zur Einrichtung von PGP uns S/MIME und fertig ist sichere elektronische Kommunikation. Wenn das Zertifikat unbedingt qualifiziert sein muss, hätte sich die Arbeit von BRAK und BNOTK allein darauf beschränken können, den Erstellungsprozess eines PGP Schlüsselpaares zu begleiten. Der ganze Aufwand hätte dann sicher nicht mal 100k einmalig ausgemacht. Alle Zertifikate wären bis zu Widerruf bzw. Ausscheiden des Anwalts gültig. Mithin gäbe es auch keine jährlich anfallenden Verlängerungsgebühren.
So ist es, war auch mein erster Gedanke. Die haben sich eine hundertmal so teure Lösung aufschwatzen lassen, wie notwendig gewesen wäre.
Nur so lässt sich auch die umständliche Lösung über den lokal virtualisierten Server erklären. Wahrscheinlich auch die extreme Funktions-Armut und das optisch schlechte Design des beA. Das will man alles als "Features" kostenpflichtig nachliefern.
Ich habe das BeA jetzt ca. 2 Monate genutzt. Mein vorläufiges Fazit:
HeinzMüllerEigentlich wäre eine Umstellung auf ein System wie das BeA schon ganz ok. Ich habe durchaus festgestellt, dass viele Dinge schneller und einfacher laufen (Vorausgesetzt, man hat vorher seine gesamte Kanzlei auf papierlosen Betrieb umgestellt!!!). ABER:
- Es ist unfassbar, wie man für dieses System bislang bereits ca. 75 Mio EUR unserer Kammerbeiträge verbraten konnte. So komplex, wie das oft dargestellt wird, ist das System wahrlich nun auch wieder nicht.
- Die Umsetzung durch ATOS ist armselig und dilettantisch.
- Der Betrieb durch ATOS übertrifft die Umsetzung noch einmal negativ! Serverausfälle, die unfassbare Panne mit den Zertifikaten, die ein völliges Unverständnis grundsätzlicher Sicherheitsthemen offenbart, das Abschalten des gesamten Systems für ca. eine Woche, weil einem überhaupt nichts mehr einfällt - sowas grenzt schon fast an BER.
- Mir ist wirklich schleierhaft, wie solche Projekte bei unseren teuer finanzierten Kammern betrieben werden. Gibt es da niemanden, der sich traut einen kompetenten Dienstleister zu beauftragen? Muss es denn immer der teuerste sein, weil niemand was falsch machen will und keiner eine Ahnung hat? Ich habe wirklich den Eindruck, bei den Kammern ist man zu sehr damit beschäftigt, den arbeitenden Kollegen durch absurde Fortbildungsverpflichtungen, Nichtanerkennung von Fortbildungsstunden, Fachanwaltszulassungsschikanen usw. das Leben schwer zu machen, statt sich darum zu kümmern, die arbeitende Anwaltschaft zu unterstützen...
Meine Verantwortungsrecherche für Bea führte mich heute zur BRAK und dort zum Ausschuss für elektronischen Rechtsverkehr, mit geradezu grauenvoll kuriosen Ergebnissen, wie ich gleich schildere.
DWWhttp://www.brak.de/die-brak/organisation/ausschuesse/ausschuss-elektronischer-rechtsverkehr/
Bin gespannt, wer nun die Verantwortung für das aktuelle Desaster genauso vollmundig übernehmen, möchte, wie man es jahrelang "durchgepeitscht" hat.
Das Internet vergisst bekanntlich nicht so leicht; siehe u.a. das Zitat über den Vorsitzenden des Ausschusses und "sein bea" unter https://bea-abc.de/blog/tag/christoph-sandkuehler/
"Das besondere elektronische Anwaltspostfach wird immer konkreter. Beim EDV-Gerichtstag in Saarbrücken am 25. September 2015 gewährt Rechtsanwalt Christoph Sandkühler, Vorsitzender des Ausschusses Elektronischer Rechtsverkehr, Augenschein in sein beA und wird eine Nachricht versenden."
Der Inhalt der auf den Kompetenzvorsitzenden eingetragenen Internetdomain spricht in diesem Zusammenhang wohl völlig für sich und die geballte Sachkompetenz in Sachen Internet: www.sandkuehler.info
;'-)
Noch mehr spricht für sich, die Äußerung des BEA-Kompetenzvorsitzenden in diesem Zusammenhang Ende des letzten Monats unter
https://www.juve.de/nachrichten/namenundnachrichten/2017/11/anwaltspostfach-kaum-einer-ist-fit-fuer-den-start
Zitat: „Wir werden abhängig von den Rückmeldungen aus der Praxis sicherlich noch Dinge ändern“, sagt Christoph Sandkühler, Vorsitzender des BRAK-Ausschusses Elektronischer Rechtsverkehr."
Das wird ja immer schöner. Die Qualitätskontrolle wird also auf "die Kunden" verlagert?
Man könnte meinen: Ca. 165.000 Anwälte und ihre sämtliche Mandanten und ihre Mandatsgeheimisse in allen Akten, die auf den Kanzleirechnern gespeichert sind oder mit Gerichten im Schriftverkehr ausgetauscht werden, sind augenscheinlich so eine Art "großer Sandkasten" mit "Versuchskaninchen".
Wir sind in besten Händen bei Euch und "Eurem Bea" - wie wir aktuell sehen, um mit dieser Crew in einen durchorganisierte Super-Datenkatastrophen-Obergau zu fahren.
Ich möchte mal sehen, wie komisch einige prominente politische Zeitgenossen (wahrscheinlich erstmalig überhaupt) reagieren werden, die sich allzu willig vor den gesetzgeberischen Karren spannen ließen, wenn ihre Verfahrensakten (z.B. aus Scheidungsverfahren etc.), plötzlich geleakt werden?!
Mir graut vor dem Bea-Dings; das schwarze Gerät auf dem Schreibtisch jagd mir mittlerweile schon Schauer über den Rücken - zum Glück bin ich nicht verantwortlich, sondern musste es gesetzlich tun.
Danke dafür, Ausschuss der BRAK; also das mit der Verantwortungswegnahme hast Du wenigstens für alle Anwälte noch gerade kompetent und erfahren hinbekommen, die Du mittlerweile 2 Jahre mit Bea vor Dir "hergetrieben" hast.
Der Ausschuss über den elektronischen Rechtsverkehr ist ja gender-mäßig echt korrekt besetzt ;-)
Haben Sie erwartet, dass per Zufall am Ende der Ausbildung gefundene Prädikatsjuristen was anderes hinbekommen. Die Inkompetenz bei den Kammern ist doch vergleichbar mit den Zuständen an Gerichten, wo Richter über Dinge zu entscheiden haben, von denen sie keinen blassen Schimmer haben....Von den Jungakademikern ohne Lebenserfahrung mal ganz zu schweigen.
HansSo wie ich das sehe, müsste man einen Patch nachliefern, der lokal ein eigenes Zertifikat generiert.
Mitch McDeereSowas lässt sich schon schnell programmieren, so dass es unter Labor-Bedingungen auch funktioniert. Die Betonung liegt allerdings auf "Labor-Bedingungen". Praktisch würde das zur Unbenutzbarkeit des beA für viele Wochen führen.
Aber man hätte jedenfalls de-jure ein funktionstüchtiges beA. Der Rest der Verantwortung liegt dann beim Anwalt. Zumal nicht damit zu rechnen ist, dass die Gerichte der BRAK hier an den Karren fahren.
Das Vertrauen in das System ist trotzdem dahin. Wer weiß, welche Hintertüren da noch eingebaut sind. Ich will dieses NSA/BND Überwachungstool jedenfalls nicht mehr haben.
Der Witz ist ja, dass das zweite BRAK-Zertifikat eigentlich eine ganz klassische, bekannte Hacker-Methode ist. Daher auch die überall aufploppenden Browser-Warnungen, die man laut BRAK bitte ignorieren sollte. :-)
Nun ja, mittlerweile ist das Ding ja erstmal offline.
Das BVerfG schützt uns nicht davor, von unserer Berufsorganisation verraten und verkauft zu werden.
RA-in B.Um jegliches Missverständnis bei zukünftigen Aufforderungen der BRAK, Zertifikate händisch zu erstellen und in das eigene IT-System unter Missachtung sämtlicher auftauchender Warnhinweise zu implementieren, zu vermeiden, schlage ich - wegen Dringlichkeit - vor allen anderen Dingen vor, dass die BRAK zwangsweise in BTK (Bundestrojanerkammer) umbenannt wird.
HGOWir erleben eine Neuinszenierung von "Des Kaisers neuen Kleider"...der Kaiser ist nackt (vor dem Bundestrojaner) und mit ihm ca. 165.500 Zwangsvasallen -- Es lebe der "freie" Beruf!
bayerischer löwe[...als ein Kind sagt, der Kaiser habe gar keine Kleider an, diese Aussage sich in der Menge verbreitete und dies zuletzt das ganze Volk rief. Der Kaiser erkannte, dass das Volk recht zu haben schien, entschied sich aber, "auszuhalten" und er und der Hofstaat setzen die Parade fort (Hans Christian Anderson).] Ist es nicht eine komische Oper?
Wie erleben eine Neuinszenierung von "Des Kaiser neuen Kleider" als komische Oper: der Kaiser ist nackt (auch vor dem Bundestrojaner) und mit ihm 165.500 Zwangsvasallen - es lebe der "freie" Beruf! ("Aber er hat ja nichts an!" sagte endlich ein kleines Kind. ´Herr Gott, hört des Unschuldigen Stimme!´ sagte der Vater; und der Eine zischelte dem Anderen zu, was das Kind gesagt hatte. "Aber er hat ja nichts an!" rief zuletzt das ganze Volk. Das ergriff den Kaiser, denn es schien ihm, sie hätten recht; aber er dachte bei sich:" Nun muss ich die Prozession aushalten." Und die Kammerherren gingen noch straffer und trugen die Schleppe, die gar nicht da war. (Hans Christian Andersen)
bayerischer löwe