Reaktionen auf BRAK-Erklärung nach der beA-Sondersitzung: "Sch­licht falsch oder zumin­dest irre­füh­rend"

von Pia Lorenz und Christian Dülpers

10.01.2018

Die Reaktionen auf die Pläne der BRAK zum Re-Start des beA fallen bestenfalls gemischt aus. Während der DAV sie als ersten Schritt in die richtige Richtung sieht, gibt es von technischer Seite massive Kritik an den Aussagen der BRAK.

Am Tag nach der Sonder-Präsidentenkonferenz der Bundesrechtsanwaltskammer (BRAK) zum besonderen elektronischen Anwaltspostfach (beA) hat die digitalaffine Rechtsszene ein neues Lieblingswort: #beAthon. So nennt die für die Umsetzung des Anwaltspostfachs verantwortliche BRAK ihren am Dienstagabend bekannt gegebenen Plan, verschiedene, auch institutionell nicht gebundene kritische Experten in den Prozess zur Klärung sicherheitsrelevanter Fragen einzubinden.

Es war eines der Ergebnisse der Sitzung der regionalen Kammerpräsidenten, die am Dienstag bis in die Abenstunden dauerte: Seit dem heutigen Mittwoch stehta das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) wieder zur Verfügung, das mit dem beA kurz vor Weihnachten bis auf Weiteres abgeschaltet worden war. Auch Bestellungen von beA-Karten über das Portal der Bundesnotarkammer (BNotK) sollen nach Angaben der BRAK heute wieder möglich sein. Außerdem bestätigte die BRAK ihre zuvor gemachte Zusage, das derzeit offline gestellte System durch einen externen, unabhängigen Experten begutachten zu lassen, der vom Bundesamt für Sicherheit der Informationstechnik (BSI) empfohlenen werden soll. Die Ergebnisse sollen öffentlich gemacht werden. Bei der Entwicklung und Wieder-Inbetriebnahme solle Sicherheit vor Schnelligkeit gehen.

Diese Pläne begrüßte am Mittwoch der Präsident des Deutschen Anwaltvereins (DAV) gegenüber LTO als ersten Schritt in die richtige Richtung. Ansonsten fallen die Reaktionen auf die inhaltlich eher dünne Erklärung nach der kurzfristig anberaumten Krisensitzung vom Dienstag aber bestenfalls durchwachsen aus. Vor allem Technik-Experten erklären im Netz gleich mehrere Aussagen, die BRAK-Präsident Ekkehart Schäfer auch am Dienstagabend wiederholte, für sachlich falsch.

Das beA war am Tag vor Weihnachten offline geschaltet worden, nachdem die verantwortliche BRAK zunächst eine Sicherheitslücke entdeckt und im Anschluss daran bei dem Versuch, diese zu beseitigen, mit einem unsicheren Zertifikat noch eine weitere Sicherheitslücke hinzugefügt hatte. Am Tag nach Weihnachten erklärte die BRAK, das System zunächst nicht wieder in Betrieb zu nehmen. Seitdem mehren sich die Berichte über weitere Sicherheitslücken, ein Termin für die Wieder-Inbetriebnahme scheint in weite Ferne zu rücken.

DAV-Präsident: Auch den Sicherheitsaudit-Report öffentlich zugänglich machen

Für den Präsidenten des Deutschen Anwaltvereins zeigt die Mitteilung der BRAK vom Dienstag, "dass es in Sachen beA jetzt zumindest in die richtige Richtung geht". Nur mit externen, unabhängigen Fachleuten, deren Einschaltung der DAV schon seit Langem fordert, könne das Vertrauen in die Sicherheit des Systems wieder hergestellt werden, so Ulrich Schellenberg gegenüber LTO.

Ausreichend sei eine einmalige Hinzuziehung eines Experten aber nicht: "Wir haben schon früher eine regelmäßige Auditierung und Zertifizierung  vorgeschlagen, wie sie andernorts üblich ist". Er wiederholte die DAV-Forderung, das Projekt beA langfristig von einem Fachbeirat unterstützen zu lassen.

Dass das Ergebnis der Begutachtung veröffentlich werden soll, begrüßte der Rechtsanwalt und Notar und schlug gegenüber LTO auch gleich vor, das Sicherheitsaudit aus dem Jahr 2015 der Öffentlichkeit zugänglich zu machen: "Diese Transparenz sollte der Standard sein!"

Die BRAK hatte sich nach nicht dementierten Berichten im Jahr 2017* trotz Anfragen des Chaos-Computer-Club-Mitglieds (CCC-Mitglied) Markus Drenger - der kurz vor Weihnachten 2017 auch auf die Sicherheitsdefizite des Systems aufmerksam machte – geweigert, einen Sicherheitsaudit-Report der Firma SEC Consult aus dem Jahr 2015* herauszugeben. Das Argument: es handele sich um Betriebsgeheimnisse des Dienstleisters Atos. Dazu passt, dass die BRAK sich bis Mitte 2017 selbst für nicht an das Informationsfreiheitsgesetz (IFG) gebunden hielt. Noch Anfang des Jahres 2017 hatte sie – letztlich erfolglos – versucht, gesetzlich festschreiben zu lassen, dass sie keine Auskünfte nach dem IFG erteilen muss. Anders entschied im Juni 2017 das OVG Berlin-Brandenburg: Die BRAK unterliege umfassend der Informationspflicht nach dem Gesetz.

IT-Rechtlerin: BRAK-Aussagen schlicht falsch oder zumindest irreführend

Zu den "kritischen Experten", die sich in den vergangenen Tagen an der Diskussion um das beA beteiligten, kann man auch Nina Diercks zählen. Die Rechtsanwältin und beim unabhängigegen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich)* hat sich in einem detaillierten offenen Brief an die BRAK gewandt.

Dass BRAK-Präsident Schäfer auch nach den Erkenntnissen der vergangenen Wochen am Dienstagabend an einigen Aussagen festgehalten hat, kann sie kaum nachvollziehen. Schäfer hatte noch einmal betont: "Die Datensicherheit im beA-System war und ist jederzeit gegeben. Kein Dokument, das über das beA versendet wurde, war öffentlich, die Kommunikation war und ist stets vertraulich." Für Diercks ist "der erste Satz schlicht falsch und der zweite Satz ist wenigstens irreführend".

Schließlich geht es nicht darum, ob das System bereits korrumpiert wurde, sondern darum, ob Sicherheitslücken bestehen, die Angriffe befürchten lassen, erklärte die Anwältin gegenüber LTO. Die IT-Sicherheit des Systems stehe in Frage und damit, ob dieses nach dem Stand der Technik bestmöglich geschützt worden sei. "Das ist zu verneinen, wenn etwa Java-Bibliotheken, also Hilfsmodule zur Programmierung, genutzt werden, die seit 2015 nicht mehr gepflegt werden und die bekannte Sicherheitslücken aufweisen". Und das ist nur eines von zahlreichen Sicherheitsproblemen, die zwischenzeitlich bekannt sind.

Auf Anfrage von LTO wies Diercks weiter darauf hin, dass CCC-Mitglied "Drenger und seine Mitstreiter bislang – um ein analoges Bild zu wählen – den Wagen nur von außen betrachtet haben und erkennen konnten, dass Rücklichter nicht funktionieren und die Radaufhängung in einem bedenklichen Zustand ist. Es gab noch gar keine Möglichkeit, unter die Motorhaube zu sehen". Sie hält es für mehr als wahrscheinlich, dass es im System nicht besser aussieht. "Bei diesem Zustand des beA kann jedenfalls nicht davon gesprochen werden, dass es 'jederzeit sicher war und ist'". Derartige Aussagen, die sich in den technischen Erläuterungen der BRAK zu beA zuhauf fänden, hält sie für "grundsätzlich verstörend": IT-Systeme seien nie absolut sicher vor Manipulationen. Sie könnten nur bestmöglich nach dem Stand der Technik geschützt werden.

Die IT-Rechtlerin hofft weiter auf Antworten auf all ihre offenen Fragen, die neben der Technik auch die Verträge mit dem Dienstleister Atos betreffen. Auf Anfrage von LTO zum "beAthon"-Angebot der BRAK erklärte sie: "Grundsätzlich stehe ich natürlich als kritische Expertin zur Verfügung – sowie ich meine Expertise auch jedem anderen bei Bedarf zur Verfügung stelle."

IT-Berater: "Totalschaden und nicht mehr zu retten"

Einer der kritischen Experten, die sich in den vergangenen Wochen zu Wort meldeten, ist auch Enrico Weigelt. Und auch für ihn sind einige Aussagen, an denen die BRAK weiterhin festhält, schlicht nicht nachvollziehbar. Die wiederholte Auffassung, dass nur eine proprietäre Lösung alle Anforderungen des elektronischen Rechtsverkehrs erfüllen könne, hält der Entwickler und IT-Berater für "Unfug". Er schlägt vor, auf das Standard-Mailprotokoll SMTP aufzusetzen und notwendige Funktionen wie eine Zustellungsverfolgung zu ergänzen.

Mit Blick darauf, dass die BRAK stets behauptet hatte, das beA sei Ende-zu-Ende-verschlüsselt, sagte er, wenn die BRAK an einer umfassenden Vertreter-Funktion festhalte, dann könne sie keine Ende-zu-Ende-Verschlüsselung bekommen: "Das ist ein Zielkonflikt. Entweder eine Mail ist vertraulich oder sie ist es eben nicht."

Der Entwickler und IT-Berater war an der Entwicklung des elektronischen Notarpostfachs (BeN) beteiligt. Weigelt arbeitete damals für einen Dienstleister der Bundesnotarkammer. Die Anforderungen seien sehr ähnlich gewesen, sagte er gegenüber LTO. "Und ein Teil der Probleme, an denen das beA heute leidet, lagen schon damals auf dem Tisch." Es habe dann Lösungsvorschläge gegeben.

So habe sein Konzept vorgesehen, dass die privaten Schlüssel der Anwender nicht zentral verteilt werden, sondern auf dem lokalen Rechner generiert werden. Statt einer Web-Anwendung, die derzeit als mit einer Ende-zu-Ende-Verschlüsselung schlicht inkompatibel kritisiert wird, sah Weigerts Konzept einen lokalen Mail-Client vor. Später arbeitete Weigelt für andere Arbeitgeber an ähnlichen Projekten, unter anderem Webmail-Anwendungen für große Provider.

Für ihn ist "das beA ein Totalschaden und nicht mehr zu retten." Wenn man es reparieren wolle, müsse man 6 bis 12 Monate einplanen. Ebenso lange würde es dauern, das Postfachsystem neu zu bauen - "aber mit guten Leuten, die etwas vom Fach verstehen." 

Voraussetzung wäre seines Erachtens der Einsatz freier Software. Diese habe außerdem den Vorteil, dass die Sicherheit des beA dann laufend von der Community geprüft werden könne und Probleme frühzeitig erkannt würden.

Geringe tatsächliche Änderungen am 11. Januar, 9:30h.

Zitiervorschlag

Pia Lorenz und Christian Dülpers, Reaktionen auf BRAK-Erklärung nach der beA-Sondersitzung: "Schlicht falsch oder zumindest irreführend" . In: Legal Tribune Online, 10.01.2018 , https://www.lto.de/persistent/a_id/26405/ (abgerufen am: 18.07.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 10.01.2018 18:52, Berufsskeptiker

    Es ist bedauerlich, dass unsere Gerichte hier trotz offensichtlicher Unkenntnis Entscheidungen getroffen haben, die an der Realität vorbeigehen. Dies betrifft einerseits die Entscheidungen zu den Anträgen des Kollegen Dr. Werner und andererseits die des BVerfG. Durch die Kollegen, die allesamt keine Technikverweigerer sind, wurde auf die technischen und Sicherheitsprobleme hingewiesen. Doch statt ihnen aufmerksam zuzuhören, wurden sie diffamiert als „Aluhutträger“ und „Ewiggestrige“. Schade eigentlich. But that‘s Life

    Auf diesen Kommentar antworten
    • 11.01.2018 00:40, Graf van Googel

      Deutsche Gerichte machen das doch immer so.... Keine Ahnung von der Sache, aber so tun als ob und dann irgendwie entscheiden.... So arbeiten Dilettanten.

    • 11.01.2018 07:15, Stony

      Was hat es mit "deutschen Gerichten" zu tun, wenn die Bundes-Vertretung der Anwaltskammern als unabhängige Selbstverwaltung der Anwälte aus "eigener Machtvollkommenheit" meint, das Rad neu erfinden zu müssen, und dazu eine Firma ohne übliche Ausschreibung und mit vermutlich eher nebulösen Vorgaben beauftragt, und diese augenscheinlich grandios scheitert? Und so nebenbei fühlen sich die Herrschaften auch nicht an Recht und Gesetz gebunden!?

    • 11.01.2018 07:19, bergischer löwe

      Das trifft nicht den Kern. Heute muss man sagen, dass auch die Anwaltschaft, also die Kollegen Dr. Werner za nicht das technische Wissen hatten, was am beA falsch lief. Gerichte prüfen letztendlich nur, was - einigermassen nachvollziehbar - behauptet wird.
      Ich bin mir aber sicher, dass nun aufgrund der offengelegten Fehler genügend Klagen erhoben wedren.

    • 12.01.2018 17:29, Horst

      Nun, ich nenne dieses Verhalten Realitätsverweigerung.
      Es bestätigt meine Auffassung, daß ich mittlerweile in einer offenen Psychiatrie lebe.

    • 12.01.2018 18:45, Neunmalklug

      Zu erkennen oder zumindest nachzuvollziehen, was offensichtlich am beA nicht stimmt (also in der reinen Außenschau) ist keine Raketentechnik. Die aufgezeigten Fehler und Probleme sind offensichtlich. Die kann man auch nicht wegdiskutieren. Das Zertifikateproblem war ein essentieller Designfehler. Die nicht vorhandene Ende-zu-Ende-Verschlüsselung ein Kommunikationsproblem (man hätte einfach niemals von E2E sprechen sollen es war ja auch in der Verordnung nicht gefordert) und der Rest war schlichte Schlamperei (die dann große Sicherheitslücken gerissen hat).. Alles in allem also eigentlich nur ein echtes dickes (aber mehr oder weniger kostenintensiv lösbares) Problem. Das sehr viel größere Problem ist das immsense Misstrauen, das dadurch in der Community geschürt wurde. Denn die genannten Probleme sind ja nur die, die man von außen sieht, es ist also extrem naheliegend, dass es "unter der Haube" nicht besser aussieht.
      Die derzeit offengelegten Probleme dürften auch für einen nicht Fachmann nachvollziehbar sein, aber sie sind eben grundsätzlich lösbar. Viel interessanter ist, ob die vermuteten Probleme im inneren auch so einfach feststellbar und nachvollziehbar sind.
      Aber da hat sich der DAV ja nun mit einigen Forderungen stark gemacht, schaun wir mal, ob die gemachten Zusagen eingehalten werden.

    • 12.01.2018 22:04, Enrico Weigelt,+metux+IT+consult

      > 12.01.2018 18:45, Neunmalklug
      > Zu erkennen oder zumindest nachzuvollziehen, was offensichtlich am beA nicht
      > stimmt (also in der reinen Außenschau) ist keine Raketentechnik.

      Naja, man sollte trotzdem schon genau wissen, was man tut.
      IT-Sicherheit ist kein Kindergeburtstag. Man hat aber jemanden beauftragt, der sowas schon systemisch nicht kann. (die sind ja schon mit banalem IP-Routing überfordert - vorallem auch organisatorisch).

      > Das Zertifikateproblem war ein essentieller Designfehler.

      Ja, und um da zu beheben muß das "ClientSecurity" komplett neu gebaut werden.
      (vielleicht finde ich in den nächsten Tagen mal etwas Zeit, das in meinem Blog etwas ausführlicher zu erklären).

      > Die nicht vorhandene Ende-zu-Ende-Verschlüsselung ein
      > Kommunikationsproblem (man hätte einfach niemals von E2E sprechen sollen
      > es war ja auch in der Verordnung nicht gefordert)

      Nur weil's nicht normativ gefordert wurde, ist das noch lange keine Ausrede, das offentsichtliche nicht zu tun. Jetzt hat man ein wunderbares Primärziel gebastelt - single point of failure. Vertretungsregelung ist auch mit end2end-crypto möglich.

      > und der Rest war schlichte Schlamperei (die dann große Sicherheitslücken
      > gerissen hat)..

      Nicht nur Schlamperei, sondern auch systemische Inkompetenz. Wäre auch bei einem x-beliebigem anderen Konzern nicht anders geworden.

      > Alles in allem also eigentlich nur ein echtes dickes (aber mehr oder weniger
      > kostenintensiv lösbares) Problem.

      Naja, mit einem kompletten Neubau. Schon die Idee, das als Web-Anwendung zu bauen, ist aus Security-Sicht wahnwitzig. Hatte schon 2013 darauf hingewiesen.

      > Das sehr viel größere Problem ist das immsense Misstrauen, das dadurch in
      > der Community geschürt wurde.

      Das kein Problem, sondern das Mittel zur Heilung.
      Möglicherweise war erst eine solche Katastrophe nötig, um erstmal ein Umdenken zu schaffen.

  • 10.01.2018 19:30, Rainer Breitrück, Rechtsanwalt

    Jenseits aller technischer Fragen und Verantwortlichkeiten stelle ich mir folgende Frage: Was machen wir eigentlich, wenn, sagen wir mal, 2023 die gesamte juristische Kommunikation in Deutschland über beA läuft, die Atos GmbH oder wer auch immer am 21.12.2023 routinemäßig ein update aufspielt und der Chaos Computer Club eine Sicherheitslücke in diesem update feststellt ? Schaltet die BRAK dann die gesamte juristische Kommunikation in Deutschland "bis auf Weiteres" ab ? Immerhin dauert das Chaos ja jetzt schon 18 Tage, ohne dass ein Ende abzusehen wäre.

    Auf diesen Kommentar antworten
    • 10.01.2018 20:50, Mitch McDeere

      Guter Punkt!

      Ich habe bis heute nicht verstanden, warum man das über einen einzigen Server lösen will. Warum da einen zentralen Todesstern bauen?

      Die Software muss einheitlich sein, aber die Server müssten dezentral bei den Gerichten stehen. So wäre es richtig!

    • 10.01.2018 22:53, Enrico Weigelt,+metux+IT+consult

      Solche Aufgabenstellungen lassen sich sehr gut auf viele Server verteilen und sehr ausfallsicher gestalten - das ist mit existierenden eMail-Systemen gut zu machen (war schon von Anfang an vorgesehen).

      Ebenso die dahinterliegende Address-Datenbank (LDAP hat das schon eingebaut). Aber der Umstand daß auch das Anwaltsregister mit abgeschaltet war, zeigt klar, daß man selbst diese Banalität nicht hinbekommen hat.

      Im Übrigen muß nichtmal die SW überall gleich sein (ist auch nicht immer sinnvoll, zB. bei Integration in Fachanwendungen) - lediglich die Schnittstellen/Protokolle. Und die gibt es bereits seit langem (SMTP fehlt iW. nu noch eine Zustellverfolgung).

      Ich habe bis heute nicht verstanden, wozu überhaupt OSCI erfunden wurde - das läßt sich mit SMTP + MIME (alltägliche Internet-Standards) wunderbar abbilden.

      Scheint mir alles eine endlose Arbeitsbeschaffungsmaßnahme zu sein.

    • 11.01.2018 08:32, Technokratus

      OSCI soll vor allem auch ermöglichen, dass Dateianhänge sicher zugestellt werden können. Das hapert mit SMTP durchaus, insbesondere, wenn man da auf übliche Mailsoftware zurückgreift. OSCI lässt es bspw. im Protokoll problemlos zu, Mailanhänge per FTP zu versenden (oder ähnliches). OSCI ist ja nicht nur Mail. OSCI erlaubt die Nutzung eines Intermediär, der die Nachrichten und Anhänge sicher an verschiedene Knoten (EGVP, Mail, Fax, beA, BeN) weiterleiten kann. Dadurch ja auch die zweistufige Verschlüsselung, wobei die Umsetzung beim beA eben fehlerhaft ist und auch nicht ganz den Anforderungen des OSCI-Standards entspricht, dieser sieht nämlich tatsächlich E2EE vor, wobei Ende auch die Behörde sein kann.

    • 11.01.2018 08:41, FragenÜberFragen

      @Rainer Breitrück: Haben Sie mittlerweile einen ADV-Vertrag für Ihre gmx-E-Mail-Adresse bekommen?

    • 11.01.2018 16:36, RA Gunther Marko

      Das wird ganz sicher NICHT kommen, sehr geehrter Herr Kollege !

    • 12.01.2018 05:34, Enrico Weigelt,+metux+IT+consult

      11.01.2018 08:32, Technokratus schrieb:

      > OSCI soll vor allem auch ermöglichen, dass Dateianhänge sicher zugestellt
      > werden können. Das hapert mit SMTP durchaus, insbesondere, wenn man da
      > auf übliche Mailsoftware zurückgreift.

      Selbstverständlich kann das SMTP genauso, das ging auch schon vorher mit UUCP-Mail. Und natürlich auch mit Anhängen.

      Daß es auch kaputte Mailsoftware gibt, ist unbestritten - aber die muß man ja nicht nutzen.

      > OSCI lässt es bspw. im Protokoll problemlos zu, Mailanhänge per FTP zu
      > versenden (oder ähnliches).

      Ja klar, vorallem FTP. Wer sich das ausgedacht hat, ist in Sachen IT-Security schonmal garnicht ernst zu nehmen. Auch sowas könnte man mit eMail machen,
      wird zT. auch schon gemacht.

      Das Ganze ist aber auch nur sinnvoll, wenn es sich um große Anhänge geht (die das EGVP garnicht unterstützt), die im weiteren Verlauf von verschiedenen Leuten benutzt werden.

      Hier reden wir von einem verteilten Speichersystem - wäre sicherlich für eine E-Akte sinnvoll, habe ich aber im Zusammenhang mit EGVP noch nicht gesehen,
      und ist auch ein Thema für sich.

      > OSCI ist ja nicht nur Mail.

      Genaugenommen ist es message queue für M2M (und dabei auch noch kräftig ineffizient) - der eMail-Nachbau wurde nur obendrauf gesetzt.

      > OSCI erlaubt die Nutzung eines Intermediär, der die Nachrichten und Anhänge
      > sicher an verschiedene Knoten (EGVP, Mail, Fax, beA, BeN) weiterleiten kann.

      Geht auch gut mit eMail - machen wir schon seit den 80ern. Allemöglichen Mailsysteme wurden da schon angebunden (ein Grund warum sendmail-config so generisch ist), Fax, Print-Spools + Frankiermaschine, Fernschreiber, BTX + Mintel, SMS, usw, usw, usw. Als Schüler haben wir sogar mal Glenda's altes MAIL (das wohl älteste elektronische Mailsystem nach dem Fernschreiber) und das alte MBP angebunden.

      Auch M2M ist mit eMail gut machbar und wird auch vielfältig gemacht. Bis vor einigen Jahren liefen zB. Domain-Registrierungen über Mailbots. Ich hab selbst auch schon Datenbank-Replikation via Mailbots umgesetzt.

      Ergo: auch die Fachverfahren/EDI (zB. Gerichtsregister, Mahnantrag, SV-Meldung, etc) ließen sich sehr gut via eMail abwickeln.

      > Dadurch ja auch die zweistufige Verschlüsselung, wobei die Umsetzung beim
      > beA eben fehlerhaft ist und auch nicht ganz den Anforderungen des OSCI-
      > Standards entspricht, dieser sieht nämlich tatsächlich E2EE vor, wobei Ende
      > auch die Behörde sein kann.

      e2e-Verschlüsselung haben wir bei eMail seit Ewigkeiten: PGP / GPG / SMIME.
      Hab sowas selbst mal in den 90ern als Schulprojekt implementiert (mit kompletter PKI).
      Zusätzliche Transportverschlüsselung ist mit TLS ja nun auch banal. Auch mit Key-Authentifizierung, uvm.

    • 12.01.2018 08:34, Carlo

      @Enrico Weigelt: Bei dem ganzen Lobgepreise für die E-Mail stellt sich natürlich die Frage, warum auf dem freien Markt (wo das ja alles so wunderbar umzusetzen ist) es tatsächlich keine leistungsfähige E-Mail-Umsetzung gibt. Ich meine: Wo gibt es denn eine Transportverschlüsselung? Die wenigsten Anbieter setzen das um. Wer erlaubt denn PGP in Webmail (Umsetzung w. sec-key dahingestellt)? Wo hat man denn eine Sendungsnachverfolgung etc. pp..

      Die IT setzt das ja nicht einmal selbst um. Ist doch klar, dass der Staat dann für sich ein eigenes System aufsetzt.

    • 12.01.2018 09:22, MM

      @Enrico
      Wenn dem bisherigen Ansatz weiter gefolgt wird, dann reden wir hier von einem eher geschlossenen System (RA zu RA und RA zu Justiz). Sinnfrei oder nicht, aber der freie Markt muss auf deutlich mehr Teilnehmer Rücksicht nehmen.

      Transportverschlüsselung, bspw. über STARTTLS bieten mittlerweile viele Mailserver, meist jedoch in der Konfiguration may, daher optional.

      mailbox.org und posteo zeigen doch, dass es machbar ist
      / sein muss und wie oben gesagt, hier ist die Teilnehmerzahl begrenzt, was einiges mehr an sonst zu aufwändigen Security-Features ermöglicht, wenn man nicht auf die breite Masse Rücksicht nehmen muss und jeder Teilnehmer bekannt und damit ansprechbar ist.

    • 12.01.2018 09:56, Carlos

      Also die meisten IT-Systemhäuser die ich beruflich kennengelernt habe, sind nicht einmal per verschlüsselter Mail zu erreichen. Das meiste geht per normale Mail oder Telefon.

      Wenn die Techies es nicht einmal selbst nutzen/anbieten, dann muss die Justiz sich eben ihr eigenes System bauen.

      Wieso gibt es bspw. auf dem iPhone keinen E-Mail-Client, der von sich aus PGP kann? Wieso ist PGP in Mailclients (die von ITlern entwickelt werden) nicht Standard? Wieso sind die ganzen Hoster nicht in der Lage, eine SSL-Verbindung über LE einzurichten, wieso bieten die keine Transportverschlüsselung für den Mailserver an?

      Dass zwei kleine Anbieter Nischenkunden bedienen, mag ja sein. Aber das bedeutet ja eben auch genau: Da nutzt die Justiz lieber ein eigenes System.

    • 12.01.2018 18:45, Enrico Weigelt,+metux+IT+consult

      12.01.2018 08:34, Carlo

      > @Enrico Weigelt: Bei dem ganzen Lobgepreise für die E-Mail stellt sich
      > natürlich die Frage, warum auf dem freien Markt (wo das ja alles so wunderbar
      > umzusetzen ist) es tatsächlich keine leistungsfähige E-Mail-Umsetzung gibt.

      GPG + co gibts seit Ewigkeiten. Kann man nutzen.
      Ja, das bedarf auch ein wenig Einarbeitung - sonst nutzt das nämlich nix.

      Daß die Hersteller der 0815-Clients das vielleicht nicht hinbekommen, hat vielfältige Gründe. Nicht zuletzt daß sie da wenig Bedarf sehen. Oder sie bauen dann irgendwelches proprietäres Snakeoil.

      > Ich meine: Wo gibt es denn eine Transportverschlüsselung?

      Bei jedem seriösen Anbieter. TLS ist ja nun kein Hexenwerk.
      Hier gehts aber um End-2-End-Verschlüsselung.

      > Wer erlaubt denn PGP in Webmail (Umsetzung w. sec-key dahingestellt)?

      Ist auch völlig sinnlos. Webmail und end2end-crypto verträgt sich nicht.
      Kann man gern versuchen und sich eine blutige Nase holen.

      Ich hatte schon 2013 mein bestes getan, um die Angriffsflächen zu minimieren,
      aber der große Schwachpunkt ist immerrnoch der Webserver bzw. der Browser
      (zB. XSS, etc). Ein Faß ohne Boden.

      Überhaupt erschließt sich mir der Sinn von Webmail nicht wirklich. Zwar gibts
      zuweilen hübschere Webclients als so mancher nativer Client, aber man könnte
      ja zur Abwechslung mal einen ordentlichen Client entwickeln. Ist auch garnicht so schwer. Gib mir vernünftige Anforderungen bzw. klare Usecases und ein passendes Budget, dann mach ich das. Prinzipiell kann ich das auch ganz alleine.

      > Wo hat man denn eine Sendungsnachverfolgung etc. pp..

      Hab ich selbt schon vor Jahren im Zimbra eingebaut. Geht natürlich nur innerhalb des Clusters. Ansonsten bräuchte es noch ein bissl Erweiterung im SMTP, muß halt von beteiligten Servern unterstützt werden. Irgendwo hab ich sicher noch ein rfc-draft dazu rumliegen (habs damals nur nicht publiziert).

      Macht natürlich ganz generell nur in geschlossenen Umgebungen Sinn. Für ein komplett offenes System müßte man dann komplett anders denken - da gehts gleich Richtung Blockchain etc (analog zu crypto contracts). Aber den Schuh müssen wir uns für Anwendungen wie beA garnicht erst anziehen. Eine geschlossene Umgebung reicht.

      > Die IT setzt das ja nicht einmal selbst um.

      Die IT hat das doch alles schon längst umgesetzt - seit 20 Jahren kalter Kaffe.
      Aber nur wenige Organisationen nutzen das wirklich. Nicht zuletzt weil da auch einiges organisatorisches dranhängt, aber auch bei den Entscheidern kaum Bedarf gesehen wird - die kaufen lieber irgendwelches Snakeoil.

      > Ist doch klar, dass der Staat dann für sich ein eigenes System aufsetzt.

      Da ist der Grund eine Mischung an völliger Unkenntnis, Denkverweigerung und Sumpf. Genau wie bei Konzernen. Soziologisches Problem, kein technisches.

    • 12.01.2018 18:58, Enrico Weigelt,+metux+IT+consult

      > Wenn dem bisherigen Ansatz weiter gefolgt wird, dann reden wir hier von einem
      > eher geschlossenen System (RA zu RA und RA zu Justiz).

      Ja klar. Mehr ist nicht benötigt und würde nur unnötig weitere Probleme aufreißen.

      Zustellverfolgung setzt zB. vorraus, daß der Zusteller wirklich zuverlässig ist. Das bekommt ja nichtmal die Post hin, die gern mal Briefe und Pakete in den Müll wirft (ja, das erzählen mir die Postler selbst). Da brauchen wir jemanden, der besonderen öffentlichen Glauben genießt - und diesem auch tatsächlich gerecht wird (was de-Mail nicht schafft). Vom Spam-Problem will ich mal garnicht anfangen.

      In einer geschlossenen Umgebung, die durch einen Hoheitsträger betrieben wird, ist das machbar - in einer offenen nicht.

      > Transportverschlüsselung, bspw. über STARTTLS bieten mittlerweile viele
      > Mailserver, meist jedoch in der Konfiguration may, daher optional.

      Das ist doch kalter Kaffe - wer das heute immernoch nicht macht, ist schlicht kein seriöser Anbieter. Und darum gehts durch eigentlich nicht - das schützt nur vor Abgreifen der Metadaten (wir haben das früher über verschachtelte gpg-container gelöst - ging dann auch gut mit uucp).

    • 12.01.2018 19:14, Enrico Weigelt,+metux+IT+consult

      > 12.01.2018 09:56, Carlos
      > Also die meisten IT-Systemhäuser die ich beruflich kennengelernt habe, sind
      > nicht einmal per verschlüsselter Mail zu erreichen. Das meiste geht per normale
      > Mail oder Telefon.

      Die meisten Systemhäuser - bzw. was sich so nennt - würde ich auch nicht bei hi-security fragen. Wer mit irgendwelchem Snakeoil ums Eck kommt, den kann ich nicht ernst nehmen.

      > Wenn die Techies es nicht einmal selbst nutzen/anbieten, dann muss die Justiz > sich eben ihr eigenes System bauen.

      Die Technik gibt es - seit 20 Jahren. Wird nur wenig genutzt, weil wenig nachgefragt.

      > Wieso gibt es bspw. auf dem iPhone keinen E-Mail-Client, der von sich aus
      > PGP kann?

      Frag Apple. Vielleicht wollen sie ja irgendwann mal ihr eigenes Snakeoil einbauen.
      Ohnehin sind solche Blackboxes bzgl. IT-Security überhaupt nicht ernst zu nehmen.

      > Wieso ist PGP in Mailclients (die von ITlern entwickelt werden) nicht Standard?

      Frag die User. Die Technik gibt es.

      > Wieso sind die ganzen Hoster nicht in der Lage, eine SSL-Verbindung über LE
      > einzurichten, wieso bieten die keine Transportverschlüsselung für den >
      > Mailserver an?

      Weil die schlicht kein kompetentes Personal an den richtigen Stellen haben ?
      Da muß man halt nochmal kräftig nachtreten. Wird mit der DSGVO spannend
      (wenn dann vielleicht auch mal paar kleine Admins hinter Gittern landen)

      Übrgends: 1+1/UI hat durchgängig TLS, auch im internen Netz. Das ist zur Abwechslung mal ein ISP mit echten Profis (kenne den Laden von innen).

      > Dass zwei kleine Anbieter Nischenkunden bedienen, mag ja sein. Aber das >
      > bedeutet ja eben auch genau: Da nutzt die Justiz lieber ein eigenes System.

      Die Justitz hat sich etwas komplett eigenes basteln lassen, von Leuten, die noch nichtmal wissen wie SMTP funktioniert (hab die Leute schon persönlich erlebt), und von IT-Security haben sie schonmal gar keine Ahnung. Von Operating auch nicht. Die Pinseln lieber Kubikmeter papier mit realitätsferen Diagrammen voll.
      (ist aber in der Medizintechnik auch nicht anders - da wirds wohl noch eine Menge Tote geben).

      Es wäre sinnvoller gewesen, auf die Experten zu hören (wenn sie schonmal da sind, und dann noch nichtmal die Rechnung bezahlt wird). Dann hätte das Ganze schon vor 5 Jahren gestanden, keine dauernden Lastprobleme und wäre auch nicht explodiert.

      Wie schon gesagt: organisatorisches / soziologisches Problem, kein technisches.
      Ich kann ja techisch allesmögliche leisten, notfalls sogar Gesetzesvorschläge schreiben, aber Aufstellungsarbeit und Psychotherapie sind weit ab von meinem Kompetenzbereich.

      --mtx

    • 16.01.2018 13:32, Großkanzleianwalt

      "Das bekommt ja nichtmal die Post hin, die gern mal Briefe und Pakete in den Müll wirft"

      Herr Weigelt, haben Sie als Unternehmer im Kommunikationsbereich gerade über den Geschäftsbetrieb eines anderen Unternehmens im Kommunikationsbereich geschrieben, dass dieser Kommunikationsdaten bewusst vernichtet?

      Ich gebe Ihnen einen kostenlosen Rechtsrat: Lassen Sie Ihre schriftlichen Äußerungen zuvor von einem Rechtsanwalt prüfen, bevor Sie so etwas raushauen!

    • 16.01.2018 14:30, Neunmalklug

      Manchmal kochen die Emotionen halt dermaßen hoch (gerade hier beim Thema beA), dass die eine oder andere unbedachte Bemerkung fällt, das sollte man imho nicht so hoch aufhängen.

    • 16.01.2018 15:48, Großkanzleianwalt

      Könnte die Deutsche Post DHL Group durchaus anders sehen, wenn Sie hier mal drüberschaut.

      Es stellt sich ja durchaus die Frage, ob die Aussage von Hr. Weigelt richtig ist und die Dt. Post nun Postsendung bewusst vernichtet.

    • 16.01.2018 15:59, Großkanzleianwalt

      "Es wäre sinnvoller gewesen, auf die Experten zu hören (wenn sie schonmal da sind, und dann noch nichtmal die Rechnung bezahlt wird)"

      Welche Rechnung hat die BRAK denn nicht bezahlt? Haben Sie eine Rechnungsnummer, dann lasse ich das mal prüfen. Ansonsten sollten Sie tatsächlich mal mit Ihren Äußerungen vorsichtig sein.

    • 16.01.2018 16:02, Neunmalklug

      Ohne ihn persönlich zu kennen, bin ich mir doch sehr sicher, dass Herr Weigelt nicht meint, dass die Post irgend welche Sendungen mit Absicht vernichtet. Genauso wenig ist der der Ansicht, dass die BRAK das beA mit Absicht gegen die Wand gefahren hat. Bei der Post arbeiten immens viele Menschen, und da ist quasi zwangsläufig der eine oder andere dabei, der/die aus irgend gearteten Gesamtumständen mal ein paar Sachen im Kanal verschwinden lässt. Das ist einfach menschlich und wirft kein schlechtes Licht auf die Post (da arbeiten ja nun mal keine Roboter, und entsprechend ist jede Form menschlichen Fehlverhaltens denkbar). Das hätte, wenn es denn aufträte sicherlich nichts mit dem Konzern zu tun. Die dahinter steckende Frage lautet doch "wie weit ist der Verantwortliche für einen Vorfall - im weitesten Sinne - verantwortlich zu machen, den er selbst nicht verursacht hat, den er nicht einmal absehen konnte. Bei der Post wird man im Falle eines Falles sicherlich nicht den Personaler - der den Briefträger eingestellt hat - verantwortlich machen (können). Ob man bei der BRAK jemanden verantwortlich machen kann, weil der jemand - aus irgend geartetem Grunde - Entscheidungen getroffen oder zumindest mitgetragen hat, die er nicht hätte treffen können, kann ich nicht beantworten. Die Erkenntnis eigenen Unvermögens (ich kann das nicht entscheiden, hole mir also Fachleute) ist ja schon mal eine Leistung, die nicht jedem gegeben ist.

    • 16.01.2018 16:24, Großkanzleianwalt

      Die Formulierung von Hr. Weigelt ist aber sehr eindeutig hinsichtlich der Post; er beruft sich ja auch auf Insider.

      Gleichsam ist seine Formulierung hinsichtlich der Nichtbezahlung der Rechnungen seitens der BRAK.

      Keine Ahnung, wie sie vom Wortlaut her da eine andere Deutung vornehmen können. Frage mich daher eher, ob sie dem Kommentar von Hr. Weigelt nicht doch näher stehen.

    • 16.01.2018 16:30, Carlos

      "> 12.01.2018 09:56, Carlos
      > Also die meisten IT-Systemhäuser die ich beruflich kennengelernt habe, sind
      > nicht einmal per verschlüsselter Mail zu erreichen. Das meiste geht per normale
      > Mail oder Telefon.

      Die meisten Systemhäuser - bzw. was sich so nennt - würde ich auch nicht bei hi-security fragen. Wer mit irgendwelchem Snakeoil ums Eck kommt, den kann ich nicht ernst nehmen."

      Sie selbst sind ja über die ganzen Seiten wie Freelancermap/Xing etc auch nicht per PGP zu erreichen. Und auf den üblichen Keyservern liegt auch kein Key.

      Mal davon abgesehen würden viel mehr Verschlüsselung ja auch nutzen, wenn es die Voreinstellung wäre. Aber das scheuen IT-ler wie der Teufel das Weihwasser. (Sieht man ja auch an Ihnen).

    • 16.01.2018 16:47, Neunmalklug

      @Großkanzleianwalt: Ihre Unterstellung in Bezug auf meine Person können Sie bitte gerne für sich behalten. Ich bin von der Wahrnehmung und Meinung sicherlich dichter dran an Herrn Weigelt als an den Menschen, die versuchen das Ganze schön zureden. Ich lehne mich nur nicht so weit aus dem Fenster in Bezug auf die Kompetenz der IT-Beteiligten - schlicht weil ich es nicht beurteilen kann, da ich die Leute alle nicht kenne. Dass die BRAK die Zahlung der Rechnungen eingestellt hat, kann man übrigens ganz offiziell überall nachlesen. Und ob die Post oder eine Einzelperson "etwas versenkt" ist nun wirklich Wortklauberei, ändert nichts an der Grundeststellung, dass überall - teilweise extrem blöde - Fehler passieren.

    • 16.01.2018 17:43, Großkanzleianwalt

      @Neunmalklug:

      Bleiben Sie doch mal beim Sachverhalt!

      "Es wäre sinnvoller gewesen, auf die Experten zu hören (wenn sie schonmal da sind, und dann noch nichtmal die Rechnung bezahlt wird)."

      Um die Rechnung geht es, nicht um die Rechnungen von Atos.

    • 16.01.2018 18:15, Neunmalklug

      Was und wen Herr Weigelt tatsächlich meint, kann man unter der Zornesröte imho gar nicht erkennen. Ab und an rutscht nämlich auch die eine oder andere technische Ungenauigkeit raus.
      Aber zur Nichtbezahlung:
      Betrachten wir mal ganz einfach die Kanzleisoftwarehersteller. Die haben geballte Kenntnis zur Verfügung gestellt, das mußte die BRAK nicht bezahlen, und da ist auch kein Geld geflossen. Allerdings hat sie deren Ratschläge ja auch nicht angenommen. Ich denke ganz einfach, dass Herr Weigelt etwas unbedacht formuliert. Andere sind da vorsichtiger oder behalten die eine oder andere Meinung sogar für sich. Bei näherer Betrachtung finde ich die Wüterich-Argumentation von Herrn Weigelt nur dahingehend bedauerlich, als sie doch dazu führt, dass sehr verhärtete Fronten aufgebaut werden. Wenn ich zu einem anderen sage, dass er ein Idiot ist, dann ist es später halt schwer, mich wieder mit ihm an einen Tisch zu setzen. Genau genommen wird dadurch das gesamte Pulver im Vorfeld verschossen. "Der andere" weiß halt sehr genau, was auf ihn zukommt und kann sich darauf einstellen. Zielführender dürfte es wohl sein, von hinten zu denken, also ausgehend davon was man erreichen will rückwärts zu überlegen, welche Verzweigungen es gibt, die dann jeweils verhindern, dass man das Ziel erreicht. Das scheint aber wohl nicht seine Art zu sein.

    • 16.01.2018 18:25, Großkanzleianwalt

      Völlig richtig, deswegen ja auch mein kostenloser Rechtsrat zuvor.

  • 10.01.2018 19:33, Neunmalklug

    In der Gesamtdiskussion werden mit schönster Regelmäßigkeit die Kritiker unter den Anwälten (die sehr wohl betonen, dass sie an einem elektronischen Versandsystem deutlich interessiert sind) als ewig Gestrige diffamiert. Gegen Atomkraft zu sein heißt eben auch nicht, dass man ein Technologiefeind ist. Vielmehr ist es so, dass die Kundigen ein vernünftiges und zukunftsträchtiges System haben möchten. Nichts ist tödlicher, als ein System aufzusetzen, bei dem nach einiger Zeit bekannt wird, dass es keine Zukunftsfähigkeit besitzt. Das bedeutet vor allem, dass grundlegende Designfehler unbedingt vermieden werden müssen, weil man die im Nachgang so gut wie gar nicht mehr ausgebügelt bekommt. Einen Schnellschuss abzulehnen, bedeutet eben nicht, dass man Feind einer Lösung ist. Man könnte das Argument in überspannter Form sogar umdrehen. Derjenige, der ein unüberlegtes System propagiert - und in Betrieb nimmt - ist der tatsächliche Feind einer Lösung, denn wenn das dann Eingeführte nicht akzeptiert wird oder scheitert kann er sich mit wohligem Gefühl zurück lehnen und von sich behaupten "er hätte es ja versucht", wohl wissend, dass er auf länger absehbare Zeit vom System verschont bleiben wird, weil das Scheitern so kardinal war, dass man es gar nicht mehr so ohne weiteres erneut versucht.
    Die nahezu perfekte Methode, eine zukunftsträchtige Technologie für längere Zeit zu verhindern ist die, sie von (sagen wir einmal) nicht passender Kompetenz realisieren zu lassen. Das Ergebnis ist dann kein Fortschritt, sondern ein Rückschritt. Ich finde es nur so ärgerlich, dass sich die Geschichte - auch in der bundesdeutschen Justiz - so regelmäßig wiederholt, genau wie man immer wieder auf's gleiche die entsprechenden - gutmeinden - Kritiker übergeht. Ich glaube, dass es Einstein war, der sagte "Eine Definition von Irrsinn ist es, immer wieder das Gleiche zu tun und auf ein anderes Ergebnis zu hoffen". In diesem Sinne bin ich persönlich allerdings definitiv ein Irrer (warum renne ich immer wieder gegen Wände an?)

    Auf diesen Kommentar antworten
    • 12.01.2018 17:37, Horst

      Hervorragende Gedanken, vielen Dank!

      Da ich das beA ablehne, befürworte ich die unverzügliche Freischaltung.

      Dann Feuer frei, Herr Wenger!

    • 12.01.2018 19:05, Jörn Erbguth

      @Horst:
      Die Snowden-Veröffentlichungen kenne ich gut. Faxen Sie trotzdem? Faxe sind unsicher und werden von Geheimdiensten mitgelesen. Briefpost wird auch von Geheimdiensten geöffnet. Da ist allerdings die Massenüberwachung aufwändiger.
      Bei Post von und zum Gericht, wird den staatlichen Diensten sowieso nichts wirklich verborgen bleiben - sie brauchen nur bei Gericht nachzusehen. Aktuell muss man beim beA dem HSM vertrauen. D.h. man kann nicht sicher sein, dass die Dienste nicht an das HSM rankommen. Wer Post an Kollegen hat, die die Dienste wirklich nicht sehen sollen - ich denke mal an Fälle wie den NSU - der sollte diese Post also auf anderem sicheren Weg übermitteln bzw. zusätzlich verschlüsseln. Das ist aber auch ohne beA so.

      Wir sollten daher zwei Fragen trennen:
      a) Was muss sich beim beA (und dem Projektmanagement) ändern, dass Sicherheit und Effizienz nicht schlechter als bei Fax und Briefpost sind? Dann kann das beA in Betrieb gehen. Wir müssen (und sollten) mit dem Stand dann trotzdem nicht zufrieden sein. Aber wir können schon mal damit arbeiten und es dann verbessern.
      b) Wie sollen digitalisierter Prozess und Anwaltskommunikation aussehen, damit diese ein Optimum aus Effizienz und Sicherheit bringen?

      PS: Wer eine Übersicht der Beiträge zum beA sehen möchte, findet diese hier http://bea.erbguth.net

    • 12.01.2018 22:11, Enrico Weigelt,+metux+IT+consult

      > Briefpost wird auch von Geheimdiensten geöffnet. Da ist allerdings die
      > Massenüberwachung aufwändiger.

      Sehr aufwändig und teuer, das halbwegs unbemerkt hinzubekommen.
      In der digitalen Welt geht sowas vollautomatisch.

      > Wir sollten daher zwei Fragen trennen:
      > a) Was muss sich beim beA (und dem Projektmanagement) ändern, dass
      > Sicherheit und Effizienz nicht schlechter als bei Fax und Briefpost sind?

      Wegwerfen und von Experten neu bauen lassen. Die Experten findet man aber ganz sicher nicht bei Großkonzernen.

      Und natürlich alles komplett transparent - freie Software.

      > b) Wie sollen digitalisierter Prozess und Anwaltskommunikation aussehen,
      > damit diese ein Optimum aus Effizienz und Sicherheit bringen?

      Komplexes Thema - hab da schon einige Konzepte im Schrank. Können wir gern später ausführlicher diskutieren.

  • 10.01.2018 21:01, Jörn Erbguth

    Wir sollten uns nichts vormachen. Es gibt diese ewig gestrigen Anwältinnen und Anwälte. Diejenigen, die nun meinen, dass der Versand per Fax und nachgehend per Post doch prima funktioniere und beibehalten werden solle.
    Gerade die Existenz dieser Ewiggestrigen machen es leicht, die Kritikerinnen und Kritiker insgesamt so bezeichnen.
    Manchmal kommt mir die Diskussion über das beA vor, wie wenn wir überlegen, wie wir per speziell abgesicherter e-Mail mit unserer Bank e-Banking betreiben könnten. Natürlich geht das - aber es wird klar, dass ein interaktives System, was deutlich mehr als nur e-filing kann, einige Vorteile hat. Umgekehrt hätte - wie im Beitrag angesprochen - auch die Integration in Standard e-Mail Software - wie z.B. Outlook - Vorteile. Die Kombination von eigenem Web-Client bei gleichzeitiger Beschränkung auf Nachrichtenfunktion kombiniert jedoch eher die Beschränkungen beider Verfahren. So als ob wir beim e-Banking uns einloggen müssten, aber nicht den aktuellen Kontostand sehen könnten, sondern nur Überweisungen abschicken und jede Woche einen Kontoauszug erhalten würden.
    Einen wirklichen Pluspunkt hat das beA bislang kaum zur Geltung bringen können. Das beA besitzt eine Schnittstelle, mit der Anwaltssoftware Post abrufen und versenden kann. Damit können eingehende Nachrichten automatisch vorverarbeitet werden. Sie werden dabei den elektronisch geführten Fallakten automatisch zugeordnet. Termine können automatisch eingetragen werden und - je nach Mandantenwunsch - die eingehende Post direkt dem Mandanten z.B. per S-MIME oder PGP-verschlüsselter Mail in Kopie zugeschickt werden. Leider wurde diese Schnittstelle aber erst Mitte 2017 zur Verfügung gestellt, so dass entsprechende Software noch keine große Verbreitung gefunden hat.

    Auf diesen Kommentar antworten
    • 10.01.2018 21:32, Neunmalklug

      Und vor allem funktioniert die Anbindung gar nicht mal so richtig gut, weil z.B. manchmal bestimmte Nachrichten aus dem Postfach einfach nicht übermittelt werden. Da steht man dann schön doof da, wenn man sich drauf verläßt, das die Software alles abgeholt hat. Ist ein dokumentierter und ungelöster Bug.
      Zudem konnte noch kein Hersteller gegen das Echtsystem testen, da das Toolkit nur mit dem Schulungsserver verbindet. Damit weiß eigentlich niemand, ob das in Realität überhaupt funktioniert. Selbstverständlich war es den Entwicklern auch verboten echte Last-Tests oder Hacking-Versuche zur Prüfung durchzuführen.

    • 11.01.2018 16:35, RA Gunther Marko

      Sie haben offenbar nichts verstanden, werter Herr Jörn Erbguth !

      Es geht im Kern überhaupt erst einmal darum, dass ich mir (und offenbar sehr viele andere vernünftige Kollegen gleichermassen) für meinen Kanzleibetrieb nicht die freie Wahl des Kommunikationsweges abschneiden lasse, wie geschehen.
      Das steht noch immer im Raum steht und ist natürlich in erster Linie zu beseitigen !

      Übrigens:
      Ihre Verächtlichmachung angeblich "ewig gestrig Denkender" dürfen Sie sich getrost an den Hut stecken.
      Allerdings ist dies mindestens eine nicht hinnehmbare Kollektivbeleidigung !

      Empfehlung (in aller Güte, versteht sich):
      VORSICHT, werter Mann !

      Mit vorzüglichster Hochachtung
      Gunther Marko, Donnerstag, 11. Januar 2018

    • 11.01.2018 22:13, Jörn Erbguth

      Sehr geehrter Herr Gunther Marko,
      kein Anwalt kann sich heute den Kommunikationsweg aussuchen. Alle müssen per Briefpost erreichbar sein. Die wenigsten Anwälte können sich zudem den Luxus leisten, ihren Mandanten vorzuschreiben, wie sie erreichbar sein wollen, sondern müssen sich den Gepflogenheiten anpassen.
      Digitalisierungsverweigerer legen in der digitalen Welt andere Maßstäbe an, als sie in der analogen Welt akzeptieren.
      Dies bedeutet nicht, dass man das beA nicht kritisieren kann. Aber zu fordern, dass in der digitalen Welt Kommunikationskanäle nicht vorgeschrieben werden können sollen, klingt schon sehr weltfremd. Oder fordern Sie genauso, dass sie die Briefpost abwählen können und zukünftig nur noch per Brieftaube beliefert werden wollen? Schließlich müssen Sie dann nicht an der Haustür einen Briefkasten vorhalten, sondern die Brieftaube kommt direkt auf die Fensterbank Ihrer Kanzlei?
      Ich habe davon gesprochen, dass einzelne ewiggestrige Anwälte als Legitimation dafür herhalten, dass alle Kritiker dieser Gruppe zugeordnet werden. Eine Kollektivbeleidigung kann ich da beim besten Willen nicht erkennen. Eher habe ich die Kritiker_innen gegen eine kollektive Abwertung (Beileidigung würde ich das nicht nennen) in Schutz genommen.

    • 12.01.2018 08:34, Carlo

      Herr Marko sucht wahrscheinlich auch noch heute das Gerichtspostfach, was schon vor Jahren abgebaut wurde.

    • 12.01.2018 17:27, Horst

      Sehr geehrter Herr Kollege Erbguth,

      haben Sie schon mal irgendetwas von Edward Snowden gehört?
      Ist das wirklich alles an Ihnen vorbeigegangen?

      Seien Sie der Morgige! Immer ran!

      Ich sehe mir die Sache vom Rande aus an.
      Ich liebe Unterhaltung, wenn sie nicht auf meine Kosten und Risiken erfolgt.

      Gern sehe ich mir dann die Sachen im Internet an, die Sie so bearbeitet haben.

      Aber dafür müssen Sie schön zuversichtlich bleiben, was die Sicherheit der digitalen Kommunikation im Rahmen der Rechtspflege anbelangt .
      Das müssen Sie mir versprechen.
      Sonst komm ich ja nicht zu meinem Vergnügen.

  • 10.01.2018 21:32, MM

    Liebe BRAK, spart Euch die weitere Alimentierung für Atos und fordert die bezahlten, nutzlosen Beträge zurück.
    Und dann startet neu durch:

    Ich nominiere Peer Heinlein für den Aufbau eines neuen, funktionierendes beA. Dem wäre so ein verkorkster Mist nicht passiert, weil er jahrelang bewiesen hat, dass er versteht wovon er spricht.
    (https://www.heinlein-support.de)

    Auf diesen Kommentar antworten
    • 10.01.2018 22:59, Enrico Weigelt,+metux+IT+consult

      Ja, Heinlein versteht wirklich etwas von Mail-Systemen. Sollten wir auf alle Fälle mit ins Boot holen.

    • 11.01.2018 08:34, Technokratus

      Heinlein ist doch derzeit eher damit beschäftigt, das Powerpoint im Internet nutzbar zu machen. Mail ist da nicht mehr so viel, da liegen die versprochenen Features teilweise brach (daneben auch der Transparenzbericht etc.).

  • 10.01.2018 22:29, Enrico Weigelt,+metux+IT+consult

    Im Übrigen sind da einige SW-Komponenten noch von 2006, seit dem nicht mehr angefaßt.

    Auf diesen Kommentar antworten
    • 11.01.2018 00:51, Graf van+Googel

      Ich bleibe bei Outlook und GnuPG. Wenn ich was ans Gericht schicken will, hole ich mir deren öffentlichen Schlüssel von deren Webseite oder einem zentral betriebenen Schlüsselserver und wenn die mir was schicken wollen, sehen sie im bundesweiten Anwaltsverzeichnis nach. Dort haben alle Anwälte ihre öffentlichen Schlüssel eingestellt und zusätzlich noch auf dem zentralen Schlüsselserver. Der Betrieb von so einem Schlüsselserver ist für 50 Euro im Monat managed möglich. Dazu Lesebestätigung und EB als PDF dran. Fertig ist das neue BeA.

      Vertreterregelung geht so: Schickst du signierte und verschlüsselte Mail ans Gericht, das bis auf weiteres der Kollege X die Mails entgegennimmt.

      Noch Fragen?

    • 11.01.2018 02:45, Kowalsky

      Und wenn Sie vom Auto überfahren werden oder pleite sind und RAK ihnen einen Vertreter / Abwickler bestellen muss?
      Das System braucht eine backdoor. Wird natürlich niemals nicht missbraucht, versprochen!

    • 11.01.2018 07:28, MM

      @Kowalsky

      Das lässt sich für diese Fälle doch auch lösen. Private Key des RA ist zwingend bei neutralem Dritten (oder geteilt auch bei zwei oder drei oder mehr - https://de.m.wikipedia.org/wiki/Shamir’s_Secret_Sharin) zu hinterlegen. Wenn der RA vor den Bus läuft, darf der Abwickler sich den Schlüssel herausgeben lassen, voila.

    • 11.01.2018 08:35, Technokratus

      @MM: Die BNotK (die beide Schlüssel kreiert und hat) ist ja neutraler Dritter.

    • 11.01.2018 08:36, Neunmalklug

      @MM Etwas dergestaltiges setzt jedoch voraus, dass man die Vertretungsregelung rein juristisch betrachtet neu denkt. Ihr Vorschlag ist gut, aber eben nur ein - wenn auch wichtiger - Teil des Ganzen. Rein theoretisch könnte ein Teil des Schlüssels notariell hinterlegt werden, was jedoch faktisch an der wohl schieren Menge der in der Realität vorkommenden Ereignisse scheitern dürfte. Jedoch, mann muss einen solchen Gedankengang nur als Baustein konsequent zuende denken. Die die BRAK dürfte das jedoch deutlich zu innovativ sein, denn es ist eben ein grundverschiedenener Denkansatz.

    • 11.01.2018 17:54, Graf van+Googel

      Und er kostet so gut wie nichts. Wenn früher der Anwalt überfahren wurde, als noch Steinplatte mit Gravur.... äh Schreibmaschinen im Einsatz waren, gab's dafür doch auch Lösungen. Der Abwicklung gar Zugang zu den Büroräumen erhalten und losgelegt, d.h. wo nötig Wiedereinsetzungsanträge gestellt.

      Heute, d.h. allein durch Verwendung von PGP oder S/MIME und einem Emil Programm sieht der Abwickler, dass Post im Email-Fach ist von Gericht ABC. Mangels Kenntnis des privaten Schlüssels, kann er die nicht öffnen. Er kann aber die Email ans Gericht zurücksenden, zusammen mit seiner Legitimation, und um Neuzusendung, diesmal mit dem öffentlichen Schlüssel des Abwicklers verschlüsselt bitten. Auch hier braucht man also kein beA. Vertretungsregelung geht auch so.

      Man könnte auch jeden Anwalt verpflichten einen Vertreter gegenüber BRAK zu benennen. Im Profil jeden Anwalts wird dann auf den Vertreter verlinkt. Dort kann das Gericht dann den öffentlichen Schlüssel entnehme und verwenden.

  • 11.01.2018 08:02, bergischer löwe

    Zur strukturellen Historie:

    https://www.nomos-elibrary.de/10.5771/0023-4834-1978-4-368/die-berufstaendische-anwaltsorganisation-ordnungsfaktor-statt-demokratischer-gegenmacht-jahrgang-11-1978-heft-4

    lesenswert !

    Auf diesen Kommentar antworten
    • 11.01.2018 08:57, Herbert

      Der Artikel ist in der Tat sehr lesenswert. Insbesondere frage ich mich auch immer, warum in der Vergangenheit die RAkn und die BRAK so vorbehaltslos von der Anwaltschaft angenommen wurden.

    • 11.01.2018 10:42, bergischer Löwe

      Seite 376, vergebliche Oppositionsversuche:
      Wer einmal mit dem Wunsch, mitzuentscheiden, eine Anwaltsversammlung besucht hat, und dann die Manipulation durch den Vorstand erlebte, wird sie künftig meiden."

      Seite 377, Abschirmung der Basis von zureichender Information:
      "Ein Mittel, das zu erreichen, ist die Informationsabschirmung."

      Man beachte, dass der Artikel auf das Jahr 1978 (!) datiert. Jüngst hat sich hieran wohl erst was durch die Auseinandersetzung der Kammern mit den Syndikusanwälte geändert, als diese begannen ganze Vorstände der Kammern abzuwählen, bzw. zu ersetzen.
      Es ist Zeit in Sachen beA ähnliches zu organisieren!

  • 11.01.2018 11:46, DK

    Meine Gedanken dazu und wie ein viel einfacheres System für Ende zu Ende verschlüsselte Nachrichten incl. änderbarem Empfängerkreis funktionieren kann:

    1. Schlüsselpaare werden ausschließlich lokal generiert (auf Chipkarte oder auch durch Client) und der jeweilige geheime Schlüssel niemals an ein zentrales System oder jemand anderen kommuniziert. Es werden Zertifikate (beA CA? - da ist dann das HSM im Spiel als sicherer Speicher des Signatur-Schlüssels der CA) für die Schlüsselpaare ausgestellt.

    2. Zentral wird eine (mit dem jeweiligen geheimen Schlüssel signierte) Liste vorgehalten, welche Empfänger bei Nachrichten an den Besitzer des geheimen Schlüssels diese Nachricht ebenfalls (zusätzlich) erhalten "sollen". Das sind die Sekretariate, Kollegen/Vertreter,...
    Das ist der vom Empfänger "gewünschte" normale bzw. übliche (Kopie-)Empfängerkreis bei Nachrichten an ihn selbst.

    3. Client eines Senders fragt vor Versand einer Nachricht das zentrale System nach der aktuellen Liste der zusätzlichen Empfänger (je angegebenem Empfänger, das dürfen auch mehrere sein).
    Der Absender bekommt, wenn weitere Empfänger vorgesehen werden sollen, einen Hinweis, dass (und welche) weitere(n) Personen dem Empfängerkreis (erhalten Kopie der Nachricht) hinzugefügt wurden. Er kann (und darf!) aber immer und in jedem Einzelfall selbst entscheiden, welchen der zusätzlichen Empfänger er akzeptiert. Es soll ja auch Nachrichten geben, die sind so wichtig/geheim/..., dass diese wirklich nur ganz speziellen Empfängern zugestellt werden dürfen (aus Sicht des Absenders).
    Erst dann wird versendet. Ausschließlich Ende zu Ende verschlüsselt für alle vom Absender ausgewählten(!) Empfänger.

    Voraussetzungen:
    - "guter" Client (performant, state of the art (open source?) und ohne unsinnige Funktionalitäten programmiert, mit verständlicher Benutzeroberfläche)
    - aktuelle Listen (mit "Verfallsdatum" und rechtzeitiger Aufforderung (Mail an Listenbesitzer) zur erneuten Kontrolle und Signatur durch/mit Client). Auch eine leere Liste wird Pflicht wegen "Verfallsdatum" der Entscheidung.

    Diese Aufstellung der simplen "Sicherer Nachrichten Austausch Gedanken" erhebt keinen Anspruch auf Vollständigkeit und ist nicht bzgl. Anforderungen aus Gesetzen etc. geprüft. Prinzipiell ist an dieser skizzierten Lösung aber nichts wirklich neues zu finden, denke ich.

    DK, kein Jurist, aber IT/Security affin...

    Auf diesen Kommentar antworten
    • 11.01.2018 13:47, Theo

      Anmerkung zu 1.:
      Einen "CA" bedarf es nicht. Die BRAK kann einen zentralen Schlüsselserver betreiben, dort kann man seinen public key uploaden. Die BRAK signiert dann diesen Schlüssel, so dass jeder weiß, dass dieser Schlüssel valide ist und der Empfänger auch existiert (ähnlich dem "Web of Trust"). Die Software verifiziert dann die Unterschriften der public keys.

      Kleine Anmerkung zu 2.:
      Empfänger ist nie der "private Schlüssel", sondern immer der public key. Dieser ist ja auch veröffentlicht. Der private key geht keinem was an.

      Zu 3.:
      Keine schlechte Idee, jedenfalls überlegenswert.

      Aber grundsätzlich alles umsetzbar mit PGP, ohne eine komplizierte PKI aufbauen zu müssen. Zudem State of the Art und (wenn man möchte) weitestgehend OpenSource verfügbar.

    • 11.01.2018 15:44, Jörn Erbguth

      Zu 3.) Damit kann dann jeder Anwalt herausfinden, wer für eine Kanzlei berechtigt ist die Post zu lesen. Das sind personenbezogene Daten, die nicht ohne Grund herausgegeben werden sollten.
      Rechtfertigung könnte sein, dass man ja wissen will, an wen eine vertrauliche Nachricht (auch) gesendet wird, bevor der eigentliche Empfänger die Nachricht selbst liest und die Weiterverteilung einschränken kann. Das halte ich aber nicht für nicht zwingend. Denn ein Anwalt sollte sagen können, diese Nachricht geht an Kanzleimitarbeiter und wer das konkret ist, geht Externe nichts an.
      Daher sollte ein Kanzleipostfach möglich sein. Ein Kanzleipostfach wird vom Kanzleiserver abgerufen, der dann die weiteren Zugriffsberechtigungen verwaltet. Anwälte können daneben durchaus ihre persönlichen Adressen haben. Wenn sie dann dort eine Vertretungsregelung öffentlich machen wollen, können sie das tun. Wenn nicht, geben sie einfach dem Kanzleipostfach Vertretungsberechtigung.

      Ich weiß nicht, ob diese Gedanken bei der Projektkonzeption eine Rolle gespielt haben. Aber es könnte durchaus sein, dass das im Gesetz fehlende Kanzleipostfach ein Grund für die fehlende Ende-zu-Ende Verschlüsselung war.

    • 12.01.2018 05:41, Enrico Weigelt,+metux+IT+consult

      @DK: genau das hatte ich schon 2013 der BNotK vorgeschlagen.
      War offenbar viel zu einfach und offenkundig.

    • 12.01.2018 05:51, Enrico Weigelt,+metux+IT+consult

      11.01.2018 15:44, Jörn Erbguth schrieb:
      > Zu 3.) Damit kann dann jeder Anwalt herausfinden, wer für eine Kanzlei
      > berechtigt ist die Post zu lesen. Das sind personenbezogene Daten, die nicht
      > ohne Grund herausgegeben werden sollten.

      Der Keyserver muß doch keine Namen zu den Keys verraten. Allenfalls die Rolle (zB. Sekretariat).

      > Rechtfertigung könnte sein, dass man ja wissen will, an wen eine vertrauliche
      > Nachricht (auch) gesendet wird, bevor der eigentliche Empfänger die Nachricht
      > selbst liest und die Weiterverteilung einschränken kann.

      Wenn man an einen RA persönlich adressieren möchte, sollte das auf der Hand liegen.
      Im Übrigen kann jede Person auch mehrere Keys besitzen.

      Bei rotierenden Rollen, zB. "Richter vom Dienst", könnte da auch eine Keycard weiter gegeben werden.

      > Daher sollte ein Kanzleipostfach möglich sein. Ein Kanzleipostfach wird vom
      > Kanzleiserver abgerufen, der dann die weiteren Zugriffsberechtigungen
      > verwaltet.

      Auch eine Möglichkeit - zumindest für größere Kanzleien.

      > Ich weiß nicht, ob diese Gedanken bei der Projektkonzeption eine Rolle gespielt haben.

      Unwahrscheinlich. Immerhin hat man die Sozietäten auch ignoriert.

      > Aber es könnte durchaus sein, dass das im Gesetz fehlende Kanzleipostfach
      > ein Grund für die fehlende Ende-zu-Ende Verschlüsselung war.

      Das braucht es nicht extra im Gesetz. Die BRAK hätte auch selbst daran denken und es im Konzept berücksichtigen können.

    • 12.01.2018 08:37, Carlo

      @Enrico Weigelt:

      "Das braucht es nicht extra im Gesetz. Die BRAK hätte auch selbst daran denken und es im Konzept berücksichtigen können."

      Doch genau das braucht es, entweder ein Gesetz oder eine RVO. Die BRAK soll/muss die Vorgaben umsetzen. Deswegen stellt sich ja auch die Frage nach der Ermächtigungsgrundlage für das Aufbrechen der E2EE.

      So ein gewisses Grundsystem der "Rule of law" (Vorrang und Vorbehalt des Gesetzes) haben wir dann ja doch noch in Deutschland.

  • 11.01.2018 13:31, WissMit

    Der offene Brief von Frau RAin Nina Diercks strotzt vor Rechtschreibfehlern, der Inhalt ist aber durchaus lesenswert.

    Auf diesen Kommentar antworten
    • 11.01.2018 14:41, Nina Diercks

      Jup. Siehe dazu gehöriger Blogbeitrag. ;) Bei Gelegenheit wird der nochmal korrigiert. Aber... ich glaub, die korrigierte Version interessiert dann niemanden mehr so dringend... ;)

    • 13.01.2018 14:15, RA Gunther Marko

      Machen Sie es doch gefälligst erst einmal besser, werte/-er "WissMit" oder wer oder was Sie auch immer sein mögen oder sein wollen !

  • 11.01.2018 13:38, Freie Anwaltschaft - Freie Software

    Die Forderung nach freier Software für die freie Anwaltschaft ist absolut berechtigt. Die Free Software Foundation Europe (FSFE) fordert dies ebenfalls und genießt das weltweite Vertrauen eben der Software-Community, die solche Sicherheitslücken regelmäßig aufdeckt. Wir Rechtsanwältinnen /Rechtsanwälte sollten dringend nun mit entsprechendem Druck auf die örtlichen Rechtsanwaltskammern reagieren und damit bei der BRAK für eine Offenlegung der eingesetzten Software hinwirken. Die FSFE lädt RAe ein, sich deswegen an sie zu wenden: https://fsfe.org/news/2018/news-20180111-01.de.html

    Auf diesen Kommentar antworten
    • 11.01.2018 16:38, Freie Anwaltschaft - freie Wahl des Kommunikationsweges !

      Noch Fragen !?

  • 11.01.2018 20:05, Neunmalklug

    Mal so in den Raum gestellt:
    Wie sieht das mit der Speicherung der ganzen Informationen bei der BRAK im Spannungsverhältnis der Vorratsdatenspeicherung überhaupt aus?
    Die ist ja im höchsten Maße strittig. Gewissermaßen werden bei der BRAK sozusagen von Amts wegen Vorratsdaten in gigantischen Größenordnungen gespeichert, die an sich ein sehr gutes Profiling der Anwälte ermöglichen.

    Auf diesen Kommentar antworten
    • 12.01.2018 09:58, Carlos

      Naja, das Profiling ergibt ja nur, wenn ein Anwalt mit einem anderen kommuniziert bzw. wann der mit Gericht/Behörde kommuniziert. Vieles davon ist eh öffentlich.

    • 13.01.2018 12:39, Enrico Weigelt,+metux+IT+consult

      Im Ermittlungsverfahren sollte garnix öffentlich sein. In der Hauptverhandlung auch nur was als Beweis eingebracht wird.

    • 13.01.2018 13:13, Neunmalklug

      Ich denke, dass schon alleine aus den Meta-Daten (wann hat welcher Anwalt mit welchem anderen Anwalt oder Gericht kommuniziert) unglaublich gute Profile hergeleitet werden können. So als erster Gedanke fällt mir ein, dass man aus dem zeitlichen Abstand der Kommunikation zwischen Anwälten (Mail hin, Replik zurück und weiteres Ping Pong) Rückschlüsse auf den Arbeitsrythmus, die Reaktionszeiten und anderes ziehen kann. Solche Meta-Daten sind unglaublich wertvoll, man glaubt gar nicht, was man daraus alles ermitteln kann. Über einen gewissen Zeitraum hinweg kann man so ein wunderbares Profiling der Anwälte durchführen. Diese Daten wären Milliarden wert!

  • 11.01.2018 21:55, RA Heyland

    Ich werde den Eindruck nicht los, dass das beA für die Anwaltschaft ein Äquivalent zu dem Bau des neuen Berliner Großflughafens für die Flughafengesellschafter ist:
    Es beginnt schon damit, dass die BRAK ein ordentlich konzipiertes, vollständiges Lastenheft für dieses Projekt hätte erstellen und auf dieser Grundlage europaweit ausschreiben müssen. Die letzten beiden Jahre und die von anderen Kommentatoren zeigen, dass das Lastenheft sicher nicht ordentlich konzipiert und vollständig war, sondern immer noch ergänzungs- und überarbeitungsbedürftig ist.
    Die damalige Vergabeentscheidung kann auch nicht auf einer soliden Grundlage erfolgt sein - sonst hätte schon der beauftragte Dienstleister dies gleich entsprechend thematisiert. Warum sonst hat z.B. die Kölner Kammer geraume Zeit nach der Vergabe damit begonnen, ihre Rücklagen in dieses anfänglich als aufwandneutral bezeichnete Projekt zu stecken und die letzten, ziemlich heftigen Beitragserhöhungen mit dem für das beA zu treibenden Aufwand begründet?

    Ich habe schon zu Beginn der ganzen Debatte nicht verstanden, wozu die Anwaltschaft eine proprietäre Lösung des Schriftverkehrs per EDV mit Gerichten braucht. Dazu war regelmäßig - hinter vorgehaltener Hand, versteht sich - zu erfahren, dass man auf diese Weise der BRAK mit ihrem aktuellen Apparat zu einer nachhaltigen, nachvollziehbaren Existenzberechtigung verhelfen wolle. Sehr viele Anwälte sind so gut wie nicht forensisch tätig - warum muss man diese Kollegen dazu verdonnern, sich ein beA zu leisten und die Arbeitsabläufe im Büroalltag passend zu diesem umzustrukturieren?

    Es gibt schon lange andere erprobte elektronische Postzustellungsverfahren, die das können, was das beA wirklich können muss. Für uns Betroffene wäre es mit Sicherheit deutlich billiger und für die BRAK immer noch Aufgabe genug, mit solchen Anbietern Konditionen für die Anwaltschaft auszuhandeln und das System am Laufen zu halten, anstatt neben bereits vorhandenen proprietäre Lösungen zu schaffen. Als die elektronische Datenverarbeitung bei den Behörden vor ein paar Jahrzehnten aufkam, hat jeder Minister auf Anraten seiner Beamten erst einmal viel Geld damit verbrannt, dass man für den eigenen Geschäftsbereich spezielle Lösungen aufzog, die individuell wie im Verbund mit anderen System einfach nicht wie gewünscht funktionierten. Also gab man nach ein paar Jahren das eigene System zu Gunsten anderer, weiter verbreiteten und besser funktionierender Lösung anderer Anbieter auf.

    Die BRAK folgt mit ihrer Vorgehensweise zur Zeit offenbar dem Beispiel des neuen Berliner Großflughafens, indem man weiter an einer proprietären Lösung mit ihren bereits bekannten systemimmanenten Problemen und Widersprüchen herumdoktort. Auf dem freien IT-Markt gibt es genug erprobte Software, die leistet, was vom beA wirklich erwartet werden darf und aus der sich sogar ohne allzu großen Aufwand individuelle Lösungen für Anwälte herstellen lassen. Das kostet mit Sicherheit einen Bruchteil dessen, was bisher schon in das beA gesteckt wurde, noch an einmaligen und dauerhaften Kosten dazu kommt und wäre sicher der nachhaltigste Beitrag zur Wirtschaftlichkeit des Kammerwesen, der in den letzten Jahrzehnten geleistet wurde. Das jetzt abgeklemmte beA sieht sehr nach einem voll ausgestatteten Rolls Royce mit einem heftigen Software-Bug für einen Einsatzzweck aus, für den schon eine mittelmäßig motorisierte C-Klasse von Mercedes mehr als ausreichend ist, die solche Bugs bereits aus konstruktiven Gründen nicht haben kann.

    Würde ich meine IT-Infrastruktur so aufbauen und betreiben, wie es die Kammern mit dem beA tun, wäre ich wirtschaftlich schon lange am Ende. Meine Erfahrungen mit Kammern und berufsständischen Organisationen lassen mich allerdings daran zweifeln, dass der hier bisher schon erkennbar nicht mitwaltende unternehmerische Sachverstand jetzt zum Tragen kommt. Also hat das beA das Zeug dazu, zu einer ähnlichen, für alle Kollegen äußerst kostspieligen Posse wie der neue Berliner Flughafen für den Steuerzahler wird - das ist eine ziemlich unbefriedigende Perspektive.

    Auf diesen Kommentar antworten
    • 12.01.2018 08:26, Neunmalklug

      Auf die phonetischer Parallele vom beA und BER hatte ich schon vor über einem Jahr hingewiesen.
      Ob man nun das Rad neu erfindet oder auf bestehender Technologie aufsetzt ist letztlich egal (sinnvoller ist wohl das Zweite). Essentiell ist es, beim Grunddesign keine Entwurfsfehler zu machen. Wenn man alles richtig macht, dann kann ein System auch nach Jahrzehnten erweitert und angepasst werden.
      Dass es solche grundsätzlichen Designfehler im beA gibt, dürfte der Community spätestens gedünkt haben, als die BRAK sagte, dass die zusätzliche Implementierung einer Funktion, mit der die Empfangsfähigkeit für einzelne Anwälte ausgeschaltet werden kann, 500.000,- € kosten soll. Ein einzelnes weiteres Datenbankfeld und ein klein wenig Management-Code drumherum dürfte nur einen Bruchteil kosten. Wenn alleine das so irre teuer ist, dann gibt's ein Designproblem, wenn allerdings bereits an solch primitiver Stelle an so dickes Problem hochkocht, dann lässt das gewisse Rückschlüsse zu.
      Das ist natürlich alles Spekulation, da aus allem ein riesiges Geheimnis gemacht wurde. Aber das solche Spekulationen entstehen, ist vollkommen klar und gewissermaßen ebenfalls hausgemacht.

  • 12.01.2018 08:38, Carlo

    Gibt es eigentlich mal eine offizielle Aussage der BRAK oder der RAKn über die Sitzung am 09.01.2018?

    Bisher herrscht ja Totenstille, als habe die Veranstaltung nicht stattgefunden.

    Auf diesen Kommentar antworten
    • 12.01.2018 09:46, Carlos

      Nicht, dass mich jemand falsch versteht: Ich meine eine belastbare OPOs-Liste, nicht die übliche unverbindliche Pressemitteilung.

      Hat jemand eigentlich schon die Rechenschaftspflicht der BRAK in diesem Zusammenhang gerichtlich durchgefochten? Bisher gab es ja Anträge gestützt auf das IFG.

  • 12.01.2018 10:00, Bernd Rhode

    Das ist doch wohl der Hammer und kaum zu glauben: Warum stellt die BRAK das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) wieder online und warum können wieder beA-Karten (sprich: Zugänge zum System) bestellt werden, solange noch keinerlei Entscheidung über die Sicherheit des beA-Systems in der jetzigen Form getroffen worden ist? Schlimmstenfalls bestelle ich jetzt den beA-Zugang um dann später zu hören, es wird doch alles anders! Und warum werden die ID-Nummern der Anwälte wieder veröffentlicht, solange kein beA-Zugang besteht?
    Ein ganz ganz übles Spiel unserer Berufsfunktionäre!

    Auf diesen Kommentar antworten
    • 12.01.2018 18:15, Horst

      Da stimme ich Ihnen voll und ganz zu, Herr Kollege Rhode!

      Wo ist diese Gesellschaft nur hingeraten?

    • 12.01.2018 19:23, Enrico Weigelt,+metux+IT+consult

      Das übliche Spiel: Augen zu und durch. Bzw. die Methode Kohl: Aussitzen.

      Deshalb dürft Ihr RA das nicht durchgehen lassen und müßt noch viel mehr Druck ausüben. Ihr könntet zB. die Forderungen der RAK Berlin aufgreifen und nochmal jeder einzeln an den Vorstand ein Ultimatum setzen.

      Ich kann Euch gern dabei inhaltlich helfen, aber aktiv werden müßt Ihr selbst. Es ist Eure Kammer, es seid Ihr die sabotiert werden.

    • 13.01.2018 14:08, RA Gunther Marko

      Sie sagen es, sehr geehrter Herr Kollege Rhode.
      Hoffentlich bringt's auch was...

  • 12.01.2018 21:26, RA Heyland

    Die vorstehenden Kommentare zeigen auf, wie verfahren die Sache ist. Die BRAK hat einen Dienstleister damit beauftragt, etwas zu erstellen, was es an sich schon allerdings nicht in der gewünschten Zusammensetzung gibt und die dabei gestellten Anforderungen nicht durchdacht, weil die damit beauftragten Personen fachlich wie sachlich für diese Aufgabe nicht qualifiziert waren. Der so produzierte, 38 Millionen Euro teure Scherbenhaufen ist Anlass zur Wiederholung dieses Spiels mit anderen Mitwirkenden von vorne - die schon eingesammelten restlichen 15 Millionen wollen auch ausgegeben werden und dann kann man ja nochmal einen Nachschlag für den guten Zweck fordern. Schon die bereits ausgegebenen Euro-Millionen sind mehr als üppig für die Schaffung eine Software-Lösung mit einem Server, der die Zugangs-ID der ca. 160.000 Teilnehmer sicher verwalten und den dazugehörigen E-Mail-Verkehr in einem geschlossenen Personenkreis umschlagen soll.

    In der Privatwirtschaft darf sich ein Vorstand, der ein Projekt so in den Sand setzt wie die BRAK das beA, eine neue Aufgabe zu suchen und wird dann sicher vor einer Wiederholung dauerhaft bewahrt. Das betroffene Unternehmen wird sicher nicht weiter machen wie zuvor, sondern externen fachkundigen Rat hinzuziehen und prüfen, was bei dem externen Dienstleister zu holen ist, der an Problem sicher nicht ganz unschuldig ist sowie mit dem restlichen Budget das Problem schleunigst sach- und fachgerecht lösen. Die BRAK ist jedoch eine sich selbst verwaltende Aufsichtsbehörde der lokalen Kammern, die allesamt nicht wirtschaftlich denken und arbeiten - sie folgt dieser Logik somit nicht.

    Was spricht eigentlich dagegen, das EGVP an die wirklich notwendigen zusätzlichen Anforderungen anzupassen, die es für den Umgang mit Gerichten noch nicht zu erfüllen scheint, anstatt es einzustampfen? Es hat doch bisher schon geleistet, wozu man es haben wollte. Die noch verfügbaren Mittel müssten dazu eigentlich mehr als ausreichen und die dafür vorhandenen Programmierer für diese Aufgabe sachkundig genug sein.

    Die ganze Debatte über E2E, Größe und Anzahl von Anhängen, absolut sichere Übertragungen und Datenaufbewahrung ist nicht zielführend. Anwälte konnten im Gegensatz zu anderen besonderen Verschwiegenheitspflichten unterliegenden regulierten Berufen mit der Innovationen der letzten Jahre der IT nichts anfangen. Die Ursache ist ein gerade abgeschaffter, berufsrechtlich verankerter, übertrieben anspruchsvoller Datenschutz, der zu individuellen, im Ergebnis unsicheren Insellösungen gezwungen hat. Warum muss man jetzt weiter für die Kommunikation mit Gerichten von einer sich im ersten Anlauf als Millionengrab entpuppt habenden, noch zu schaffenden Insel träumen? Besser wäre es, sich von ausgewiesenen Fachleuten ein wirklich zukunftssicheres technisches Konzept als verlässliche Ausschreibungsunterlage schreiben zu lassen?

    Die Großindustrie und die Sicherheitsdienste haben für größere Nutzerkreise als es Anwälte in Deutschland gibt schon sehr lange sichere IT-Systeme, die in der Regel von IBM stammen und internetfähig sind. Es gibt keine Berichte darüber, dass diese Systeme Kriminellen zum Opfer gefallen sind oder sonst Probleme bereitet haben. Was hindert unsere Standesfürsten daran, sich mit solchen Anbietern an einen Tisch zu setzen und anschließend etwas Bezahlbares in Auftrag zu geben, das auch funktioniert?

    Auf diesen Kommentar antworten
    • 12.01.2018 22:42, Enrico Weigelt,+metux+IT+consult

      > 12.01.2018 21:26, RA Heyland
      > Die vorstehenden Kommentare zeigen auf, wie verfahren die Sache ist. Die
      > BRAK hat einen Dienstleister damit beauftragt, etwas zu erstellen, was es an
      > sich schon allerdings nicht in der gewünschten Zusammensetzung gibt und die
      > dabei gestellten Anforderungen nicht durchdacht, weil die damit beauftragten
      > Personen fachlich wie sachlich für diese Aufgabe nicht qualifiziert waren.

      Ja, wohl leider auch ein systemisches Problem. Merkwürdigerweise gehen solche Aufträger gewöhnlich an genau die Firmen, die das am allerwenigsten können.
      Die Erfahrung zeigt, daß Konzerne für solche Aufgaben komplett ungeeignet sind.

      > Der so produzierte, 38 Millionen Euro teure Scherbenhaufen ist Anlass zur
      > Wiederholung dieses Spiels mit anderen Mitwirkenden von vorne - die schon
      > eingesammelten restlichen 15 Millionen wollen auch ausgegeben werden und
      > dann kann man ja nochmal einen Nachschlag für den guten Zweck fordern.

      Die Befürchtung habe ich auch. Plausible Kandidaten wären zB. Gemalto (hat die eGK versemmelt), T-Systems (hat uA. die Maut versemmelt), Daimler-Chrysler (auch die Maut versemmelt und baut per WLAN fernsteuerbare Autos), etc, etc.

      Genau das dürft Ihr Anwälte nicht zulassen !

      Kräftig Druck ausüben und ein transparentes Opensource-Projekt starten.
      Wer ein wenig inhaltliches Futter benötigt, kann mich gern mal anrufen
      (+49-151-27565287).

      > Schon die bereits ausgegebenen Euro-Millionen sind mehr als üppig für die
      > Schaffung eine Software-Lösung mit einem Server, der die Zugangs-ID der ca.
      > 160.000 Teilnehmer sicher verwalten und den dazugehörigen E-Mail-Verkehr in
      > einem geschlossenen Personenkreis umschlagen soll.

      Ja, ich wäre mit 10% gut davon gut ausgekommen.

      Und ja: hab derartige Dinge schon gebaut.

      > In der Privatwirtschaft darf sich ein Vorstand, der ein Projekt so in den Sand
      > setzt wie die BRAK das beA, eine neue Aufgabe zu suchen und wird dann
      > sicher vor einer Wiederholung dauerhaft bewahrt.

      Schön wärs. Bei Großkonzernen ist das nicht anders.
      Ich könnte da Geschichten erzählen ...

      > Was spricht eigentlich dagegen, das EGVP an die wirklich notwendigen
      > zusätzlichen Anforderungen anzupassen, die es für den Umgang mit Gerichten
      > noch nicht zu erfüllen scheint, anstatt es einzustampfen?

      Not-invented-here-syndrome. Außerdem muß man ja irgendwie das Geld verheizen.

      Abgesehen davon würde ich aber auch nur äußerst ungern das monströse EGVP weiter betreiben - das geht mit Standard-Technologien auch viel einfacher (hatte ich ja schon häufiger erklärt).

      > Es hat doch bisher schon geleistet, wozu man es haben wollte. Die noch
      > verfügbaren Mittel müssten dazu eigentlich mehr als ausreichen und die dafür
      > vorhandenen Programmierer für diese Aufgabe sachkundig genug sein.

      Die dort vorhandenen Programmierer (vorallem aber auch die Architekten) haben sich als komplett Inkompetent erwiesen. Governikus und ATOS darf man da nie mehr ran lassen.

      > Die ganze Debatte über E2E, Größe und Anzahl von Anhängen, absolut sichere
      > Übertragungen und Datenaufbewahrung ist nicht zielführend.

      Warum nicht ? Es wäre einfach umsetztbar. Auch *mit* Vertretung (hatte ich schon 2013 aufgezeigt).

      > Anwälte konnten im Gegensatz zu anderen besonderen
      > Verschwiegenheitspflichten unterliegenden regulierten Berufen mit der
      > Innovationen der letzten Jahre der IT nichts anfangen. Die Ursache ist ein
      > gerade abgeschaffter, berufsrechtlich verankerter, übertrieben anspruchsvoller
      > Datenschutz, der zu individuellen, im Ergebnis unsicheren Insellösungen
      > gezwungen hat.

      Der Datenschutz ist mitnichten zu anspruchsvoll - im Gegenteil brauchen wir noch mehr (bitte auch endlich mal Intel-CPUs und Windows entsorgen - mit der DSGVO wird das ohnehin noch spannend).

      Dazu gehört natürlich auch ein gewisses Maß an technischer Grundbildung. Könnt Ihr auch gern bekommen, müßt nur wollen.

      > Besser wäre es, sich von ausgewiesenen Fachleuten ein wirklich
      > zukunftssicheres technisches Konzept als verlässliche
      > Ausschreibungsunterlage schreiben zu lassen?

      Ja, Fachleute. Also das Gegenteil von Konzernen oder Staatsbetrieben.

      > Die Großindustrie und die Sicherheitsdienste haben für größere Nutzerkreise
      > als es Anwälte in Deutschland gibt schon sehr lange sichere IT-Systeme, die in
      > der Regel von IBM stammen und internetfähig sind.

      IBM und IT-Security ... sorry, aber da mußte ich jetzt schallend lachen.
      Überhaupt: Großkonzern und IT-Security verträgt sich nicht. Systemisches Problem.

      > Was hindert unsere Standesfürsten daran, sich mit solchen Anbietern an einen
      > Tisch zu setzen und anschließend etwas Bezahlbares in Auftrag zu geben, das
      > auch funktioniert?

      IBM und bezahlbar ist schon ein Widerspruch in sich. Da hätte's das doppelte gekostet und trotzdem nur kaputtes Snakeoil.

      IBM ist nur zu einem gut: viel Geld kassieren und sinnloses Papier produzieren. Hauptsache immer schon alles "prozesskonform" - egal ob das Ergebnis irgendwas praktisch nutzt.

  • 12.01.2018 22:49, .

    Dass der Zugriff auf verschlüsselte Nachrichten durch Vertreter thematisch so in den Vordergrund gestellt wird, finde ich bedenklich. So entsteht nämlich der Eindruck, alle Anwälte seien lebensunfähige Deppen, die ohne Ihre Sekretärin selbst nicht fähig wären, eine Nachricht abzurufen (nach Abruf und Entschlüsselung könnte dann ja ggf. immer noch eine Weiterbearbeitung durch Mitarbeiter erfolgen).

    Was ich aber noch bedenklicher finde: ich bin mir inzwischen fast sicher, dass es bei den Anwälten einige solcher lebensunfähiger Deppen gibt. Insoweit wäre eine bewusst fehlende Vertreterregelung doch hilfreich, um Mandantenschutz durch eine dringend notwendige Marktbereinigung zu erreichen.

    Auf diesen Kommentar antworten
    • 13.01.2018 12:07, Enrico Weigelt,+metux+IT+consult

      > 12.01.2018 22:49, .
      > Dass der Zugriff auf verschlüsselte Nachrichten durch Vertreter thematisch so in
      > den Vordergrund gestellt wird, finde ich bedenklich. So entsteht nämlich der
      > Eindruck, alle Anwälte seien lebensunfähige Deppen, die ohne Ihre Sekretärin
      > selbst nicht fähig wären, eine Nachricht abzurufen (nach Abruf und
      > Entschlüsselung könnte dann ja ggf. immer noch eine Weiterbearbeitung durch
      > Mitarbeiter erfolgen).

      Eigentlich gehts eher darum, daß das Sekretariat schonmal vorverarbeitet, Termine verwaltet (dazu ja auch erstmal die Fristen feststellen muß), sich um Abrechnung kümmert, etc, ohne daß der Anwalt das selbst vorher anfassen muß - genau dafür ist es ja auch da.

      Technisch ist das auch leicht umzusetzen - ganz ohne "Umschlüsseln". Hatte ich den Notaren schon 2013 erklärt. Eigentlich kann da auch jeder selbst drauf kommen, so einfach ist das.

    • 18.01.2018 19:40, Horst

      Sehr geehrter Unbekannter,

      der Markt wird SIE bereinigen, wenn Ihre Daten unbemerkt heruntergeladen werden und sie hoffen, daß nach Zahlung eines Betrages in Bitcoins alles wieder gut wird.

      Ich wünsche es Ihnen nicht, doch man darf dies berechtigt befürchten.

      Ich räume ein, daß ich hier bei dieser IT-Technik keine Ahnung habe und manchen techiklastigen Beiträgen nur begrenzt folgen kann.

      Doch nennen Sie mir bitte wenigstens einen, nur einen, der ernsthaft behaupten möchte, daß er von der Technik Ahnung hat.

      Sehen Sie doch einfach mal in die Zeitung oder ins Intenet und fragen Sie mal ab, wieviele hochgesicherte, international tätige und milliardenschweren Unternehmen, Behörden und sogar der Bundestag bereits (unbemerkt) gehackt wurden.

      Realitätsverweigerung ist kein guter Ratgeber.

      Ich wäre doch beratungsresistent, wenn ich entsprechende Artikel nicht berücksichtigte, die von erfolgreichen Hackerangriffen auf Einrichtungen berichten, von denen man annehmen kann, daß diese von sogenannten studierten IT- Experten rund um die Uhr umsorgt werden.

      Sie haben es offensichtlich noch nicht erlebt, daß Ihre Daten auf dem Rechner von Fremden verschlüsselt wurden. Ich wünsche es Ihnen nicht.

      Ich wünsche mir nur, daß Sie dem Mitbürger, der analoge Kommunikation bevorzugt, weil er der Kommunikation über das Internet nicht vertraut, diese Freiheit lassen und ihn nicht zwingen wollen, daß er sich gefälligst digitalieren zu hat, nur weil das gerade trendy ist.

      Meine Mandanten begrüßen es sogar, daß ich mit Ihnen ausschließlich per Briefpost kommuniziere und Telefonate nur zu Terminabsprachen genutzt werden.

      Es sollte doch jedem freistehen, ob er über das Internet kommunizieren möchte oder nicht, meinen Sie nicht auch?

      Oder definieren Sie den Freiheitsbegriff anders? Und wenn ja, wie?

  • 12.01.2018 23:10, Enrico Weigelt,+metux+IT+consult

    Wie ich schon im Artikel gesagt hatte, halte ich das ganze für einen Totalschaden.
    Jetzt gilt es Widerstand, aber auch ein opensource-Projekt zu organisieren.

    Das muß aber von Euch Anwälten selbst können - wir IT'ler können Euch da nur bei der Technik helfen, und evtt. etwas organisatorische Unterstützung.

    Ihr dürft mich auch gern dazu anrufen: +49-151-27565287

    Auf diesen Kommentar antworten
    • 16.01.2018 17:44, Wutzel

      Lesen Sie sich doch mal die Nutzungsbedingungen durch. Dieser plumpe Versuch der Werbung ist schon sehr unseriös.

  • 13.01.2018 02:43, ko

    Auch wenn es sich um eklatante Fehler handelt: So offensichtlich und für jeden Laien verständlich wie von vielen behauptet, waren die Konstruktionsfehler anscheinend nicht. Gesehen hat die bis jetzt aufgedeckten Fehler bis Mitte Dezember anscheinend niemand. Keine Frage, dass da praktisch alles schief gelaufen ist.... das jetzt aber jede Nase meint sich als neunmalkluger IT-Spezialist profilieren zu wollen....

    BRAK und der Dienstleister haben es vermasselt. Viel beunruhigender finde ich, dass die im Dezember aufgedeckten Mängel offensichtlich keinem Kanzlei-IT-Partner und auch den ganzen Softwareanbietern, die sich bei der Entwicklung der Schnittstellen die Sache zumindest mal angeguckt haben sollten, nicht aufgefallen sind. Hallo DATEV.....

    Auf diesen Kommentar antworten
    • 13.01.2018 09:52, MM

      Ich glaube, dass die Sicherheitslücke nur der letzte Tropfen war, der die Stimmung endgültig hat kippen lassen. Es war vorher schon viel Unmut da, insbesondere bei den Schnittstellenentwicklern. Der Informationsfluss seitens der BRAK war grottig und der Zeitdruck tat sein Übriges. Da hatte niemand wirklich Zeit oder Lust sich mit Dingen zu beschäftigen, die abseits seines eigenen Produkts lagen.

      Der absolute Supergau war für mich nicht das zurückgenommene Zertifikat. Es war letzten Endes der unglaublich dilletantische Umgang mit der Sicherheitslücke. Erst die Empfehlung der BRAK, eiligst ein Zertifikat zu installieren ohne dass offensichtliche wahrzunehmen, lässt am Fehlen eines verständigen Projektverantwortlichen, der mit Atos auf Augenhöhe kommuniziert, keinen Zweifel mehr. Im Gegenteil zeigt es, dass die BRAK sich bar jeder Ahnung und völlig hilflos von einem Dienstleister am Nasenring durch die Arena führen lässt. Die BRAK hat als Projektverantwortliche so ziemlich alles falsch gemacht, was man falsch machen kann und dann kam der Supergau ... Das bisherige Bild und Selbstverständnis der BRAK, die latente Arroganz ihrer Mitglieder und die eingebildete Unantastbarkeit liegen in Schutt und Asche. Ich befürchte nur, dass das "lesson learned" Gehabe eher vorgeschoben als aufrichtig ist.

    • 13.01.2018 11:57, Enrico Weigelt,+metux+IT+consult

      > 13.01.2018 02:43, ko
      > Auch wenn es sich um eklatante Fehler handelt: So offensichtlich und für jeden
      > Laien verständlich wie von vielen behauptet, waren die Konstruktionsfehler
      > anscheinend nicht.

      Für Laien vielleicht nicht, aber für Profis wohl schon.

      Auf abertausenen Maschinen den gleichen private key ist einfach nur komplett dumm. Wer auf solche Ideen kommt, der hat von PKI nichtmal die geringsten Grundsätze verstanden. Das ist in etwa so kompetent wie ein Automechaniker, der den Unterschied zwischen Zündkerze und Glühkerze nicht kennt.

      Und XSS gehört zum Grundwissen eines jeden Web-Programmierers.

      Wer einen *öffentlichen* domain name auf eine loopback-Addresse zeigen läßt, der hat offenbar Sinn und Zweck des DNS nicht verstanden. Naja, daß ATOS nichts von IP-Routing versteht, ist ja nun auch keine neue Erkenntnis.

      > Gesehen hat die bis jetzt aufgedeckten Fehler bis Mitte Dezember anscheinend
      > niemand.

      Vielleicht wollte man das garnicht sehen. Entweder wurde das nicht geprüft, oder der Prüfer wahr komplett inkompetent, oder es wurde absichtlich vertuscht. Genau deshalb hat die RAK-Berlin zu Recht die Offenlegung der Prüfprotokolle gefordert - die würden das aufklären.

      > Keine Frage, dass da praktisch alles schief gelaufen ist.... das jetzt aber jede
      > Nase meint sich als neunmalkluger IT-Spezialist profilieren zu wollen....

      Also ich persönlich bin seit gut 20 Jahren im Geschäft, hab schon als Schüler eine PKI-Lösung selbst von Grund auf programmiert und auch in Lehrerfortbildungen vorgestellt. Und geschäftlich hab ich schon ähnliche Aufgabenstellungen wie das beA umgesetzt.

      Und wenn Governikus (die haben das "ClientSecurity" gebaut) schon aus meinem Konzept von 2013 die Idee mit dem lokalen Agent abkupfert (war wohl das einzige was sie aufgeschnappt haben - sonst hätten sie nämlich gewußt, daß man den Unfug mit dem HSM garnicht braucht), und dabei nicht zuende liest und alles falsch macht, was man nur falsch machen kann, dann darf ich mich auch darüber lustig machen.

      > Viel beunruhigender finde ich, dass die im Dezember aufgedeckten Mängel
      > offensichtlich keinem Kanzlei-IT-Partner und auch den ganzen
      > Softwareanbietern, die sich bei der Entwicklung der Schnittstellen die Sache
      > zumindest mal angeguckt haben sollten, nicht aufgefallen sind.

      Offenbar haben die ja die ganze Zeit über gar keine brauchbare Schnittstellen-Spezifikation bekommen. Dann ist nur verständlich, daß sie das Thema zumindest solang beiseite legen, bis vielleicht mal was brauchbares vorliegt.

    • 13.01.2018 13:26, Neunmalklug

      Einige der jetzt hochgekochten Fehler wurden bei den Treffen der BRAK mit den Kanzleisoftewareherstellern überaus deutlich von der Kanzleisoftwareherstellern bereits seit zwei Jahren zur Sprache gebracht. Das ist in den Diskussionen durchaus lautstark thematisiert worden. Die BRAK hat solche Hinweise der Hersteller allerdings vollständig verworfen (ihnen mehr oder weniger zwei Dinge zu verstehen gegeben: a) wir (BRAK) haben weder Zeit noch Geld, um uns um eure (Kanzleisoftwarehersteller) unqualifizierten Beiträge zu kümmern, b) das geht euch nichts an, Ihr habt gefälligst zu akzeptieren, was wir (BRAK) euch vorlegen, denn das ist unser Projekt und nicht Eures
      Die Kanzleisoftwarehersteller hatten erstmalig überhaupt erst im (etwa) Mai letzten Jahres ein irgendwie geartetes Toolkit, mit dem sie auf das Demo-/Schulungssystem zugreifen können.
      Eine Mithilfe der Kanzleisoftwarehersteller hat die BRAK immer überaus deutlich abgelehnt (und zwar von Anfang an, bis zum Ende).

    • 13.01.2018 14:52, Neunmalklug

      Übrigens gibt's bis zum heutigen Tage keine brauchbare Schnittstellendokumentation. Es gibt eine rund 700 Seiten dicke Auflistung von Funktionen und Prozeduren, die man benutzen kann. Allerdings eben ohne Dokumentation. Bedeutung der Parameter, Grenzen, alles Fehlanzeige

    • 14.01.2018 18:38, ko

      Zumindest dass das ursprüngliche Zertifikat (und damit letztlich die gesamte Architekt des Systems) aufgrund des privaten Schlüssels nicht den Zertifizierungsanforderungen genügt, hat wohl keiner gemerkt. Die Softwareanbieter, die Sachverständigen in div. Gerichtsverfahren....... Ein Schreiben an die Zertifizierungsstelle und die Sache wäre frühzeitig erledigt gewesen. Da hätte man sich überhaupt nicht auf eine Diskussion mit der BRAK einlassen oder einstweiligen Rechtsschutz beantragen müssen. Und wie Herr Drenger ?! gezeigt hat, konnte diese Sicherheitslücke ohne wirklichen Einblick in das System erkannt werden. Dafür brauchte es keinen beA-Nutzerzugang, keinen Schnittstellenplan oder dergleichen.

      Ich hätte jetzt die Behauptung aufgestellt das echte Sicherheitslücken erst im Dez. aufdeckt worden sind; die vorherige Diskussion auf den unterschiedlichen Ebenen drehte sich doch eher um a) grundsätzliche Vorbehalte aufgrund der gewählten Architektur des System und b) die technische Umsetzung des Vorhabens, nicht um einzelne Sicherheitslücken die das ganze System kompromittieren.

    • 14.01.2018 18:54, ko

      @Enrico Weigelt
      Bezog sich nicht auf Sie, sondern auf diejenigen die in Wirklichkeit keine Ahnung haben. Wenn ich mir die Sache mit dem privaten Schlüssel von dem Herrn Drenger erklären lasse, dann kann auch ich das nachvollziehen und herzlich über die Inkompetenz der Leute lachen. Macht mich trotz aber nicht zum Krypto-Experten.

    • 14.01.2018 18:59, Neunmalklug

      Ich denke mal, dass die Kanzleisoftwareersteller das weder interessiert hat, noch dass sie nachgesehen haben. Es gab im Vorfeld mehrmals Hinweise der Softwareleute auf div. Probleme. Als dann endlich die Schnittstelle zur Verfügung gestellt wurde (gegen Mai letzten Jahres) hatten die Hersteller absolut den Kopf voll, sich durch hunderte Seiten Pseudodokumentation durchzuwühlen. Da bestand Null Interesse, auch nur einen Blick auf den Client zu werfen, denn da war die Frustration schon viel zu groß. Ich denke, dass die Softwareleute sich dachten "Ist uns vollkommen egal, ob die auf die Nase fallen". Das ist auch insofern nachvollziehbar, als die BRAK mehrmals (falsch) behauptet hatte, wie toll alles für die Softwareersteller sei und dass nicht die BRAK es zu verantworten hätte, wenn die Softwareersteller nichts auf die Reihe kriegen (solche Aussagen machte die BRAK sogar noch, als sie die Schnittstelle noch nicht mal zur Verfügung gestellt hatte). Man kann sich denken, was die Softwareleute sich von ihren eigenen Kunden anhören mussten, wenn die Kunden ihnen vorhielten, dass sie noch nichts liefern, denn die BRAK hätte ja gesagt, dass alles in Ordnung sei.
      Lange Rede kurzer Sinn, ich denke, dass es den Softwareleuten irgendwann einfach egal war, denn wenn alle Hinweise ignoriert werden, dann läßt man den anderen (die BRAK) eben auf die Nase fallen.

  • 13.01.2018 14:59, RA Heyland

    Sehr geehrter Herr Weigelt,

    Sie haben mich missverstanden und das ist typisch für die ganze beA-Debatte. Ich bin nicht der Meinung und habe das auch so nicht geschrieben, man müsse IBM oder eine ähnliche IT-Boutique damit zu beauftragen, ein beA zu schaffen - das geht sicher schief. Allerdings hat z.B. IBM durchaus lauffähige Software für solche Zwecke und gibt es jede Menge darauf spezialisierte Anbieter, die daraus und damit etwas zaubern können, was als beA für längere Zeit durchgehen kann.

    Die öffentlichen Hände haben in den letzten Jahren viel Geld in mit Open Source-Software mitgestaltete Projekte gesteckt. Ich kenne nur einige der Ergebnisse - z.B. ELSTER, aus dem es mir auch schon ab und an mal gelungen ist, Daten herunterzuladen - und ein paar Personen, die sich mit der Entwicklung solcher Anwendungen befassen. Nichts, was dort produziert wird, ist anwenderorientiert, sondern hat den alleinigen Zweck, ein Problem des staatlichen Auftraggebers im Umgang mit seiner Klientel auf deren Kosten aus der Welt zu schaffen. Die dazu erlassenen und die ohnehin darauf anwendbaren Vorschriften müssen Sie als Anleitung dafür verstehen, wie die beauftragende Behörde ihr Vorgehen rechtfertigt. Wenn Staat beschafft, ist es egal, was es kostet und wann es wirklich das bringt, was man beschaffen sollte - wichtig ist nur, wie man die Sache darstellt, damit die Betroffenen sich nicht oder wenn, dann zu spät rühren. Genauso geht die BRAK hier vor. Sie ist eine so gut wie nicht kontrollierbare Behörde, für die nur der BMJ zählt, der anders als selbstverwaltete Anwälten als Rechtsaufsicht seine Wünsche schon eher durchsetzen kann. Öffentlichkeit findet dabei nicht statt, weil BMJ wie BRAK wie Standesvertreter genau wissen, dass sie das mehr als das - auf Kosten der Anwälte versteht sich - immer mögliche Arrangement kostet.

    Ihre sachliche Kritik leuchtet mir ein. Man müsste sie sehr sachlich formuliert in die jetzt beginnenden Gespräche einbringen und zugleich den Nachweis verlangen, wie das beA sonst anders auch der jetzt umzusetzenden BDSG-Novelle gerecht wird, bevor man daran weiter arbeitet. Es würde mich nicht im geringsten wundern, wenn Sie mit der Frage nach der BDSG-Novelle erstaunte bis entsetzte Gesichter der Verantwortlichen der Kammer und des Dienstleisters zu sehen bekommt. Das dürfte auch der einzige Hebel sein, hier noch etwas sachlich zu bewegen. Mit Polemik und Vorurteilen gegen konkurrierende IT-Anbieter schürt man nur das allgemein vorhandene Misstrauen, die etablierten Standespolitiker sind bereits auf der Flucht vor der Verantwortung, haben dabei mit ihrer Sichtweise vor allem recht und große Sorge, das man ihnen sonst an ihre Pfründen gehen wird. Das "neue" Datenschutzrecht ist der ideale Vorwand, sich aus diesen Reflexen zu lösen und so aktuell die letzte Chance einer echten Schadensbegrenzung vor dem nächsten Millionenflop.

    Auf diesen Kommentar antworten
  • 15.01.2018 07:18, Enrico Weigelt,+metux+IT+consult

    > Allerdings hat z.B. IBM durchaus lauffähige Software für solche Zwecke und gibt
    > es jede Menge darauf spezialisierte Anbieter, die daraus und damit etwas
    > zaubern können, was als beA für längere Zeit durchgehen kann.

    Muß aber auch entsprechend angepaßt und für den Anwendungsfall verbogen werden. Bei proprietärem Gemüse wird das schnell aufwändiger als eine Eigenentwicklung (die eigentlich nicht wirklich schwer ist)

    > Die öffentlichen Hände haben in den letzten Jahren viel Geld in mit Open
    > Source-Software mitgestaltete Projekte gesteckt. Ich kenne nur einige der
    > Ergebnisse - z.B. ELSTER, aus dem es mir auch schon ab und an mal
    > gelungen ist, Daten herunterzuladen - und ein paar Personen, die sich mit der
    > Entwicklung solcher Anwendungen befassen.

    Was hat ELSTER mit OpenSource zu tun ?

    > Man müsste sie sehr sachlich formuliert in die jetzt beginnenden Gespräche
    > einbringen und zugleich den Nachweis verlangen, wie das beA sonst anders
    > auch der jetzt umzusetzenden BDSG-Novelle gerecht wird, bevor man daran
    > weiter arbeitet.

    Naja, mit der DSGVO kompatibel zu machen, dürfte noch eine spannende Herausforderung sein.

    Ergo: komplett neu bauen.

    Auf diesen Kommentar antworten
  • 15.01.2018 14:37, Neunmalklug

    Das passende Video zum Thema, anderer Fachbereich, aber gleiche Thematik:
    https://www.youtube.com/watch?v=BKorP55Aqvg&feature=youtu.be

    Auf diesen Kommentar antworten
    • 15.01.2018 16:00, Berufsskeptiker

      @ Neunmalklug ;-))
      Danke für das Video, es fasst eigentlich alles zusammen, was in der BRAK bei der Planung des beA gelaufen zu sein scheint. Ich wünschte, die Herren Dilettanten würden es sich auch mal u Gemüte führen. Aber ob es hilft?

    • 17.01.2018 12:05, bergischer löwe

      Der beA Song:

      https://youtu.be/7QJ-xM1qu2o

  • 17.01.2018 14:57, RA Gunther Marko

    " einfach. digital. kaputt." - GOTTSEIDANK KAPUTT !

    https://www.heise.de/amp/meldung/Fataler-Konstruktionsfehler-im-besonderen-elektronischen-Anwaltspostfach-3944406.html?__twitter_impression=true

    Auf diesen Kommentar antworten
    • 18.01.2018 09:36, bergischer löwe

      In dem Beitrag auf heise.de vom 17.01.:
      "Drenger und Rohrbach ... hatten weder Zugriff zu Sourcen noch zum Server. ... Drenger und Rohrbach haben diesen Fehler nur zufällig gefunden, weil man den Client einfach herunterladen konnte. Die Frage ist, wie viele andere eGovernment-Lösungen ähnlich angreifbar sind und nur noch nicht entdeckt wurden. Man denke etwa an das Notariatspostfach. Wegschauen dürfte keine Lösung sein."

      Es tanzt ein Bi-Ba-Butzemann
      In unserm Haus herum, fidebum,
      Er bringt zur Nacht dem guten Kind
      Die Äpfel die im Säcklein sind.

    • 18.01.2018 15:10, RA Heyland

      Wenn ich die Kommentare richtig verstehe, dann haben wir Anwälte auf Betreiben unserer regionalen Kammern per Zwangsbeitrag 53 Millionen € für ein Projekt gezahlt, das nach Expertenmeinung schon vom Design her nicht funktionieren kann und auf jeden Fall von Auftragnehmern realisiert wird, die weder von den technischen wie den datenschutzrechtlichen Anforderungen an ihr Tun die unbedingt notwendigen Grundkenntnisse haben. Was abgeliefert wurde und uns zur Benutzung aufgezwungen werden soll, scheint bereits den aktuellen datenschutzrechtlichen Anforderungen nicht im mindestens zu entsprechen und sind auch die in diesem Jahr kommenden, lange vorher angekündigten geänderten datenschutzrechtlichen Vorgaben bisher nicht berücksichtigt worden. Ob man dieses Problem im Rahmen des sicherlich nicht zu knappen Budgets noch zu lösen gedenkt, ist unklar.

      Hätten die mit der Auftragsvergabe betrauten Mitarbeiter und Angehörige der Gremien der BRAK, die für diese Umsetzung der Auftragsvorgaben verantwortlich sind, mit der verkehrsüblichen Sorgfalt gearbeitet, wäre das wohl nicht passiert. Das riecht doch förmlich nach einer vorsätzlichen Untreue und dem organisierten Verstoß gegen strafbewehrte datenschutzrechtliche Grundanforderungen durch Personen, die insoweit besonderen Anforderungen unterliegen und deshalb dieses Projekt aufgelegt haben. Dann stellt sich die Frage, wann der erste Staatsanwalt von Amts wegen bei der BRAK wegen einer Stellungnahme anklopft und wie lange es noch dauert, bis jemand mal nachfragt, warum es dazu noch nicht gekommen ist.

      Wie auch immer - das Ganze wirft ein ausgesprochen schlechtes Licht auf die gesamte Anwaltschaft, die es in der öffentlichen Wahrnehmung und Bewertung ohnehin nicht einfach hat. Mit einem freundlichen offenen Brief des BRAK-Päsidenten an die Anwaltskollegen, einer internen Aussprache der sich direkt mit der BRAK befassenden Standesvertreter und einer halbherzigen, nur teilweise auf die Probleme eingehende Stellungnahme des DAV hierzu sowie ein paar öffentlichen Fachgesprächen in Berlin im Anschluss hieran lässt sich das jedenfalls sicher nicht reparieren. Bleibt zu hoffen, dass die nicht verkammerte Datenschutzgemeinde auch weiterhin ordentlich Zoff macht, damit dieses behäbige Kammerkonstrukt doch noch so weit aufwacht, wie es der verständige Umgang mit den eigenen Ungereimtheiten erfordert. Einfache Anwälte tuns isch damit sehr schwer - wer außer einem entsprechenden IT-Spezialisten befasst sich so intensiv mit einer ausgesprochen technischen Materie, in der eigentlich nur Informatiker zu Hause sind.

  • 17.01.2018 16:01, Enrico Weigelt,+metux+IT+consult

    Es geht weiter:

    Notarkammer nötigt zur Installation extrem unsicherer Java-Plugins !

    https://foss-erv.blogspot.de/2018/01/beaben-der-nachste-anschlag-notarkammer.html

    Auf diesen Kommentar antworten
  • 17.01.2018 20:32, Felix Deutsch

    Wie verhält sich eigentlich die OSCI basierte Lösung zu einer (hypothetischen) auf AS4/ebMS3.0 (https://en.wikipedia.org/wiki/AS4) aufgebauten?
    Die wäre auch transportagnostisch (könnte also auch SMTP verwenden) und bringt so Sachen wie Receipts auch schon mit.
    Vor allem im Hinblick auf internationale Interoperabilität wäre doch sowas dem Not-Invented-Here vorzuziehen (ja, OSCI macht auch SOAP, und letztlich sind alles 1 & 0 bits :)

    Auf diesen Kommentar antworten
  • 17.01.2018 20:52, Felix Deutsch

    >Wer einen *öffentlichen* domain name auf eine loopback-Addresse zeigen läßt, der hat offenbar Sinn und Zweck des DNS nicht verstanden.

    Das *kann* man schon machen (natürlich auf Kunden-/Installationsspezifische Subdomains), wenn der Zweck ist, individuelle certs von letsencrypt generieren zu lassen, wie das beispielsweise RavenDB macht:
    https://ravendb.net/docs/article-page/4.0/csharp/start/setup-wizard#secure-setup-with-a-lets-encrypt-certificate

    Auf diesen Kommentar antworten
  • 19.01.2018 10:31, Neunmalklug

    Moin zusammen,
    Ich habe mir mal die Präsentationsslides angesehen, die die BRAK zur Funktionsweise des Gesamtsystems (und des HSMs) erstellt hat, sowie die ersten Entwurfs-/Präsentationsslides von Governikus.
    Das was in den Slides gezeigt wird, ist konzeptionell zumindest nicht
    offensichtlich unausgegoren.
    Wenn ich mir dagegen die Ausgestaltung des Clients anschaue, stellt sich die Frage, wo die Entwickler "falsch abgebogen sind".
    Ich vermute mal, dass die, die das HSM gebaut haben (also der Hersteller
    selbst) sehr genau wussten, was sie machen und das nach dem Stand der
    Technik gebaut haben.
    Zu diesem HSM musste dann jedoch noch die gesamte Software (sowohl auf
    der Serverseite als auch auf der Clientseite) gebaut werden, und das hat
    dann meiner Meinung nach Atos selbst gemacht, die konzeptionellen Designfehler sind hier gemacht worden. Dafür spricht auch, dass die Ausgestaltung der Client-Seite nicht auf den Slides beschrieben wurde.
    Basierend auf den Slides kann man ein paar Aussagen treffen:
    1) Die Client-Problematik bleibt bestehen, das ist irreparabel
    2) Es ist keine Ende-zu-Ende-Verschlüsselung, sondern nur eine sehr
    sichere Verschlüsselung (das lässt sich nicht argumentativ wegdiskutieren)
    3) Der Absender sendet definitiv nicht an den Empfänger; der Absender
    sendet an das HSM und das wiederum sendet an den Empfänger (bzw. die
    Vertreter). Es wird zwar in den Slides von einem Empfänger-Postfach bzw. dem entsprechenden Schlüssel gesprochen, es ist jedoch aus den Slides klar ersichtlich, dass das ein Postfach innerhalb des HSMs ist und dass das HSM die entsprechenden Schlüssel selbst verwaltet. Die Kommunikation ist also niemals
    Absender->Empfänger
    sondern immer
    Absender->Intermediär (HSM)->Empfänger
    4) Das HSM ist der Man-in-the-Middle (egal wie sicher man das Ding
    betrachtet, nach reiner kryptografischer Lehre, ist das HSM der Dreh-
    und Angelpunkt, wenn man es schafft, das Ding anzugreifen, dann war's das)
    5) Das HSM ist ein Single Point of Failure, wenn das Ding ausfällt, hat
    man einen Stillstand der Rechtspflege
    6) Das HSM ist ein Nadelöhr, und zwar in jedem Fall, und abhängig davon,
    wie viel außerhalb des HSMs gemacht wird, ist das mehr oder weniger
    ausgeprägt
    7) Die gesamte Netzwerkinfrastruktur hin zum HSM ist ebenfalls ein
    Single Point of Failure (Redundanz ist nur bis zu einer gewissen Grenze
    möglich, Vollredundanz ist nicht möglich)
    8) Man macht sich damit in der Rechtspflege von einem einzelnen
    Hersteller tiefgreifend abhängig (so'n HSM kann man nicht einfach von
    'nem anderen Hersteller beziehen, sowas muss man komplett von Grund auf
    neu konstruieren und programmieren, wenn der Hersteller oder die
    Hardwarebasis wegfällt). Es gibt quasi absolut keine Hardware-Komponente
    im Computersektor, die eine so große Abhängigkeit erzeugt. Für den
    Hersteller ist das eine Rentenversicherung. Ich kenne in der gesamten
    bundesdeutschen Justiz kein vergleichbares Beispiel (vielleicht beN, EGVP?),
    wo eine dermaßen große 100%-Abhängigkeit besteht. So wie das für mich
    aussieht bedeutet ein Ausfall des HSMs (sagen wir mal aus einem irgend
    gearteten Totalschaden mit einhergehendem Wegfall der Hardware), einen
    Zusammenbruch des Gesamtsystems, da gibt es dann keine
    Alternativ-Szenarien mehr.
    9) Hat die BRAK für das HSM, den Code und die Hardware Escrow-Verträge
    abgeschlossen, um sich gegen einen Ausfall abzusichern (wäre
    super-extrem wichtig)?

    Also ganz ehrlich, vollkommen egal wie sicher das HSM ist, und
    vollkommen egal wie groß die anderen Probleme sind, ich halte es für
    absolut untragbar, dass das gesamte deutsche Rechtssystem von einem
    einzelnen Stück Technik abhängt. Das HSM hat ein dermaßen großes
    Gewaltmonopol inne, das man es (wenn es denn ein Bewusstsein hätte) als
    Anwalt wohl anbeten müsste (zumindest aber ins Abendgebet aufnehmen). Ich
    bin ja nun kein Jurist, aber ich halte es für rechtsphilosophisch
    absolut untragbar, eine solche Abhängigkeit zu erzeugen!!!
    Man muss sich das wirklich auf der Zunge zergehen lassen: "Das bundesdeutsche Rechtssysem ist von EINEM EINZELNEN STÜCK TECHNIK VOLLKOMMEN ABHÄNGIG"
    Dazu kommen natürlich noch die allseits bekannten Probleme.
    Ich finde es erstaunlich, dass Leute (BRAK), die ja nun nicht gerade als
    Technik-Affin bekannt sind, sich bewusst für so eine super-extreme
    Abhängigkeit entscheiden. Ich behaupte mal, dass der Kurs einer
    Aktiengesellschaft deutlich nachgeben würde, wenn bekannt würde, dass
    eine ganze Firma dermaßen von einem einzelnen Stück Technik abhängig ist.
    Man kann ja gerne mal eine Berechnung anstellen, was das HSM für einen
    Wert darstellt, wie folgt:
    1) Gerät fällt total aus
    2) Feststellen, welche Kommunikation auf Grund des Ausfalls ggf. nicht
    abgeholt werden kann (man muss dann wohl von min 7 Tagen, max 90 Tagen
    ausgehen)
    3) a) Kosten der Neuentwicklung eines neuen HSMs
    4) b) Kosten der Wiedereinsetzung in den vorherigen Stand für alle
    verlorene Kommunikation
    5) c) Kosten, die dadurch entstehen, dass bestimmte Vorgänge nicht
    in den vorherigen Stand versetzt werden können

    a+b+c=Wert des HSMs

    Damit dürfte der Wert des HSMs wahrscheinlich irgendwo zwischen 500 Mio
    bis 100 Milliarden liegen. Gibt's eigentlich Berechnungen für die Ausfallwahrscheinlichkeit sowie die Wahrscheinlichkeit eines Totalausfalls? Ich weiß sehr wohl, dass das HSM eine HA-Technik ist (High-Avalability), dennoch muss eine solche Berechnung für das Gesamtkonstrukt angestellt worden sein.

    Meiner Ansicht nach muss das HSM zur HRG-Klasse AEC-5 zählen (Disaster Tolerant, Funktion muss unter allen Umständen verfügbar sein).
    Das Gesamtkonstrukt um das HSM drumherum muss imho zur HRG-Klasse AEC-4 zählen.
    Ist das so?
    Ein mulmiges Gefühl bleibt jedoch.

    Kann die Rechtspflege sich sowas erlauben? In den vergangenen Jahrtausenden hat sich die Rechtspflege niemals dermaßen abhängig gemacht.

    Als wie sicher wurde Fukushima betrachtet? Dieses Konstrukt hat das Potential eines rechtsphilosophischen "Fukushima" oder "Tschernobyl". Bei beiden Systemen war die Hybris der Erbauer und Betreiber schlussendlich der Auslöser für eine Katastrophe.

    Auf diesen Kommentar antworten
  • 19.01.2018 12:07, RA Heyland

    Vielen Dank für das Nachschlagen. Ich war bei einer der Präsentationen der BRAK, die vor ein paar Jahren zu diesem Thema stattfanden und war damals schon sehr skeptisch, weil man zur Realisierung praktisch das Rad unter Verwendung bekannter Konstruktionselemente neu erfinden wollte. Solche Projekte habe ich schon öfters erlebt - sie liefen ähnlich wie hier und wurden nach einiger Zeit wenn möglich sang- und klanglos beerdigt.

    Die ITler sind sich einig, dass es für die Konstruktionsfehler des beA keine realistische technische Lösung gibt. Als Gefangene des BMJ und der Hybris will die BRAK unbeirrt auf dem bereits eingeschlagenen Weg bleiben. Kritische Online-Kommentare und Wortmeldungen bei lokalen Kammerversammlungen haben bisher lediglich abwiegelndes Verhalten erreicht, aber kein Eingeständnis, dass Umdenken und darauf aufbauend wohlüberlegtes Umsetzen gefragt ist. Das beA ist politisch gewollt und daher gerichtlich so gut wie nicht angreifbar. Dieser Schutz deckt aber nicht die persönliche Verantwortung für eine verkorkste, offenbar nicht mehr reparable Umsetzung wie hier. Wie würden Sie als von diesen Flops Betroffener vorgehen, lieber Neunmalklug?

    Auf diesen Kommentar antworten
    • 19.01.2018 13:42, Neunmalklug

      Sehr geehrter Herr Heyland,
      ich würde das alles komplett neu bauen. Zuerst einmal würde ich mir Gedanken darüber machen, wie man die Vertretungsregelung hinbekommt (z.B. durch Hinterlegung des persönlichen Schlüssels bei einem Notar) und dann entsprechend ohne Vertretung.
      In der Summe würde ich ein System bauen, dass redundant aufbaubar ist, keinen Single-Point of Failure enthält, eine echte Ende-zu-Ende-Verschlüsselung bietet. Damit ist man dann rechtssicher und IT-Technisch für die Zukunft gerüstet.
      Wenn das bedeutet, dass man an die Verordnungen ran muss, dann ist das eben so. Das muss halt im Rahmen des DAV und der Kammern ausdiskutiert werden und dann passt man die Verordnungen dergestalt an, dass sie gleichermaßen dem Ehren-/Verhaltenskodex der RAe sowie dem technisch Möglichen (s.o.) entspricht.

    • 19.01.2018 16:18, Neunmalklug

      Nachtrag:
      https://www.youtube.com/watch?v=W2l2kNQhtlQ

  • 24.01.2018 18:42, Enrico Weigelt,+metux+IT+consult

    > 16.01.2018 16:24, Großkanzleianwalt
    >
    > Gleichsam ist seine Formulierung hinsichtlich der Nichtbezahlung der
    > Rechnungen seitens der BRAK.

    Ich habe hier nicht von der BRAK gesprochen. Bitte sorgfältig lesen, die Dinge nicht durcheinander werfen und nicht zwischen den Zeilen interpretieren.

    Auf diesen Kommentar antworten
  • 24.01.2018 19:15, Enrico Weigelt,+metux+IT+consult

    > 13.01.2018 13:13, Neunmalklug
    > So als erster Gedanke fällt mir ein, dass man
    > aus dem zeitlichen Abstand der Kommunikation zwischen Anwälten (Mail hin,
    > Replik zurück und weiteres Ping Pong) Rückschlüsse auf den Arbeitsrythmus,
    > die Reaktionszeiten und anderes ziehen kann.

    Das ließe sich durch absichtlichen Junk-Traffic bekämpfen. Anhand von Mail-Headern kann der dann automatisch aussortiert werden: jeder Client sendet automatische Junk-Mails (zB. wenn gewisse Zeit nichts gesendet wurde), die mittels entsprechenden Header explizit gekennzeichnet sind und beim Empfänger automatisch aussortiert werden. Nachteil wäre aber ein Vielfaches der Last im System (und verbrauchter Bandbreite).

    Alternativ wäre auch Onion-Routing denkbar: die Mails gehen stets über eine Reihe zufällig gewählter anderer Teilnehmer (bleiben aber verschlüsselt). Macht aber auch ein Vielfaches des Traffic und erhöht die Latenz. Knifflig, das praktikabel hinzubekommen.

    Auf diesen Kommentar antworten
    • 24.01.2018 19:24, Neunmalklug

      Ist halt ein generelles Problem. In Zeiten von Big-Data-Management kann man viele Rückschlüsse aus theoretisch anonymen Informationen gewinnen, und da sind nunmal auch die Metainformationen interessant.
      Dafür finden wir hier auf die schnelle keine finale Lösung, weil's da viele Ansätze mit verschiedenen Vor- und Nachteilen gibt. Das müsste man bei passender Gelegenheit ausdiskutieren

  • 24.01.2018 20:55, Enrico Weigelt,+metux+IT+consult

    > 19.01.2018 10:31, Neunmalklug
    > Das was in den Slides gezeigt wird, ist konzeptionell zumindest nicht
    > offensichtlich unausgegoren.

    Es ist schon insofern unausgegoren, daß ein Bruch der e2ev und damit das Nadelöhr HSM grundsätzlich nicht erforderlich ist - die Vertretung läßt sich auch ohne das und mit e2e umsetzen.

    > Ich vermute mal, dass die, die das HSM gebaut haben (also der Hersteller
    > selbst) sehr genau wussten, was sie machen und das nach dem Stand der
    > Technik gebaut haben.

    Private Schlüssel öffentlich machen und sicherheitsrelevante Nameserver nichtmal mittels DNSSEC absichern, ist *NICHT* Stand der Technik. Ersteres war es schon vor 20 Jahren nicht.

    > Zu diesem HSM musste dann jedoch noch die gesamte Software (sowohl auf
    > der Serverseite als auch auf der Clientseite) gebaut werden, und das hat
    > dann meiner Meinung nach Atos selbst gemacht, die konzeptionellen
    > Designfehler sind hier gemacht worden.

    Dem Code zufolge wurde das "ClientSecurity" von BOS/Governikus gebaut.
    Das hatten die schon 2013 in einem Meeting so angedacht.

    > 1) Die Client-Problematik bleibt bestehen, das ist irreparabel

    Korrekt. Genauer: der Grundansatz Web-Anwendung ist bereits irreparabel.

    > 2) Es ist keine Ende-zu-Ende-Verschlüsselung, sondern nur eine sehr
    > sichere Verschlüsselung (das lässt sich nicht argumentativ wegdiskutieren)

    "sehr sicher" ist äußerst relativ. Da es eine Web-Anwendung ist, haben wir das schwächste Glied beim Webserver und der Web-Anwendung selbst (XSS, etc).

    > 4) Das HSM ist der Man-in-the-Middle (egal wie sicher man das Ding
    > betrachtet, nach reiner kryptografischer Lehre, ist das HSM der Dreh-
    > und Angelpunkt, wenn man es schafft, das Ding anzugreifen, dann war's das)

    Ja. Und beim Webserver ebenso.

    > 5) Das HSM ist ein Single Point of Failure, wenn das Ding ausfällt, hat
    > man einen Stillstand der Rechtspflege

    Korrekt. Hier stellt sich die dringende Frage der Ausfallsicherheit. Es müßte mehrere unabhängige HSMs an verschiedenen Standorten geben, die jeweils alle Postfach-Schlüssel haben.

    > 8) Man macht sich damit in der Rechtspflege von einem einzelnen
    > Hersteller tiefgreifend abhängig (so'n HSM kann man nicht einfach von
    > 'nem anderen Hersteller beziehen, sowas muss man komplett von Grund auf
    > neu konstruieren und programmieren, wenn der Hersteller oder die
    > Hardwarebasis wegfällt).

    Das dürfte wohl auch ein Maßgeblicher Grund sein, warum ATOS hier sein eigenes Produkt eingebaut hat. Langfristige Kundenbindung.

    > 9) Hat die BRAK für das HSM, den Code und die Hardware Escrow-Verträge
    > abgeschlossen, um sich gegen einen Ausfall abzusichern (wäre
    > super-extrem wichtig)?

    Unwahrscheinlich. Selbst wenn das HSM *wirklich* gegen jegliche Manipulation geschützt sein sollte (ich glaube daran nicht), dann nutzen auch sämtliche Pläne und Sourcecode nichts, ebensowenig ein Ersatzgerät. Bei einem Ausfall steht alles still - wenn es sich anschließend (ohne Datenverlust) retten läßt, dann war das System von vorn herein nicht sicher.

    > Also ganz ehrlich, vollkommen egal wie sicher das HSM ist, und
    > vollkommen egal wie groß die anderen Probleme sind, ich halte es für
    > absolut untragbar, dass das gesamte deutsche Rechtssystem von einem
    > einzelnen Stück Technik abhängt.

    Ja. Es hängt wirklich alles an einer kleinen magischen Box. Wenn die nicht mehr will, sind alle Anwälte abgeschnitten.

    > Gibt's eigentlich Berechnungen für die Ausfallwahrscheinlichkeit sowie die
    > Wahrscheinlichkeit eines Totalausfalls? Ich weiß sehr wohl, dass das HSM eine
    > HA-Technik ist (High-Avalability), dennoch muss eine solche Berechnung für
    > das Gesamtkonstrukt angestellt worden sein.

    Solch statistische Größen helfen leider nicht zur Lösung des Problems. Allenfalls zur Kalkulation einer adäquaten Versicherungssumme.

    > Meiner Ansicht nach muss das HSM zur HRG-Klasse AEC-5 zählen (Disaster
    > Tolerant, Funktion muss unter allen Umständen verfügbar sein).

    Nicht nur das HSM allein - die gesamte Anwendung, zumindes das RZ nebst Internet-Anbindung. Wenn es nur ein HSM gibt, dann ist auch keine redundante Verteilung auf mehrere Standorte möglich.

    > Als wie sicher wurde Fukushima betrachtet? Dieses Konstrukt hat das Potential
    > eines rechtsphilosophischen "Fukushima" oder "Tschernobyl". Bei beiden
    > Systemen war die Hybris der Erbauer und Betreiber schlussendlich der
    > Auslöser für eine Katastrophe.

    Guter Vergleich.

    Hab auch mal in meinem Blog etwas dazu geschrieben:
    https://foss-erv.blogspot.de/2018/01/bea-die-rechtspflege-in-den-fangen.html

    Spannenderweise hat sich ATOS nun dem beAthlon verweigert und seine Auftragnehmer (zB. Governikus) zu selbigem verpflichtet.
    https://foss-erv.blogspot.de/2018/01/bea-atosgovernikus-verweigert-sich-der.html

    Auf diesen Kommentar antworten
  • 24.01.2018 21:05, Enrico Weigelt,+metux+IT+consult

    > 19.01.2018 13:42, Neunmalklug
    > Sehr geehrter Herr Heyland,
    > ich würde das alles komplett neu bauen.

    Dito. Und zwar *NICHT* als Web-Anwendung. (das könnte vielleicht das beN auch noch zu Fall bringen)

    > Zuerst einmal würde ich mir Gedanken darüber machen, wie man die
    > Vertretungsregelung hinbekommt (z.B. durch Hinterlegung des persönlichen
    > Schlüssels bei einem Notar) und dann entsprechend ohne Vertretung.

    Vertretung bekommt man auch ohne Hinterlegung - mit strikter E2E-Verschlüsselung hin.
    Ja, ich müßte dazu wohl mal einen ausführlicheren Artikel schreiben ...

    > In der Summe würde ich ein System bauen, dass redundant aufbaubar ist,
    > keinen Single-Point of Failure enthält, eine echte Ende-zu-Ende-
    > Verschlüsselung bietet.

    Dito. Das ist auch möglich, und dafür brauchen wir kein zweistelliges Millionen-Budget.

    > Damit ist man dann rechtssicher und IT-Technisch für die Zukunft gerüstet.

    Naja, die Endgeräte (zB. PCs) verbleiben noch als Schwachpunkte, aber das ist ein ganz anderes Thema, da müssen wir uA. auch an die Betriebssysteme und die Hardware ran. Aber alles zu seiner Zeit.

    > Wenn das bedeutet, dass man an die Verordnungen ran muss, dann ist das
    > eben so.

    Sehe dazu aktuell keine Erfordernis. Die RAVPV fordert nur vom Anwalt selbst ausdrückliche erteilte Berechtigungen. Die Abwickler bekommen lediglich einen Log-Auszug über eingegangene Nachrichten - hier auch nur Datum und Absender. Diese Daten liegen müssen ohnehin schon zur Zustellverfolgung vorliegen. In dem Fall ist vorgesehen, daß der Abwickler die fehlenden Nachrichten neu anfordert.

    Ich würde vorschlagen, daß sich alle Mitdiskutanten hier - und auch andere Interessierte - in einem Mailverteiler versammeln (der darf gern öffentlich sein), damit wir dort ausführlicher über eine saubere Umsetzung diskutieren können.
    (leider verteilt sich das momentan alles über Kommentarspalten verschiedenster Journale)

    Auf diesen Kommentar antworten
  • 24.01.2018 21:39, Enrico Weigelt,+metux+IT+consult

    > Wie verhält sich eigentlich die OSCI basierte Lösung zu einer (hypothetischen)
    > auf AS4/ebMS3.0 (https://en.wikipedia.org/wiki/AS4) aufgebauten?
    > Die wäre auch transportagnostisch (könnte also auch SMTP verwenden) und >
    > bringt so Sachen wie Receipts auch schon mit.

    Mir ist der Sinn eines solch komplizierten Extra-Layer nicht klar. ebxml+Co ist für Maschine-zu-Machine-Kommunikation gedacht. Da sehe ich hier beim beA nichts großartiges anfallen.

    Selbst wenn irgendwann Mahnanträge darüber laufen sollen (AFAIK gibts dafür doch ein extra-System), lassen die sich auch problemlos via SMTP verschicken - sind ja letztlich nur XML-Files.

    Auf diesen Kommentar antworten
  • 24.01.2018 21:51, Enrico Weigelt,+metux+IT+consult

    > Das *kann* man schon machen (natürlich auf Kunden-/Installationsspezifische
    > Subdomains), wenn der Zweck ist, individuelle certs von letsencrypt generieren zu
    > lassen, wie das beispielsweise RavenDB macht:

    Das ist aber schon sehr mutig. Überhaupt schon die Idee, einen lokalen Agenten einfach so per http ansprechen zu lassen, ist sehr grenzwertig - wie zB. Angriffe auf Plasterouter uvm. gezeigt haben.

    Auf diesen Kommentar antworten
    • 24.01.2018 23:54, RA Heyland

      Sehr geehrter Herr Weigelt,

      ich gebe Ihnen recht - man sollte darüber strukturierter als über diverse Blogs verteilt kommunizieren. Ich muss dazu auch bekennen, dass ich die technischen Ausführungen einiger Mitdiskutanten nicht nachvollziehen kann, weil sie mit Begriffen operieren, die mir ungefähr so viel sagen wie Ihnen die Abkürzung acli aus dem Zivilrecht, Ursprungsland, die vier Freiheiten und das Cassis de Dijon-Prinzip, sozial- und gemeinwirtschaftliche Dienstleistungen oder das de-minimis-Prinzip im Gemeinschaftsrecht, um nur ein paar Beispiele zu nennen, deren Anwendung Ihnen im täglichen Leben allüberall begegnen.

    • 25.01.2018 00:10, Neunmalklug

      Ich spreche mal alle an, weil ich alle gleichzeitig meine. Es braucht für ein irgend geartetes beA (ich würde einem neuen Projekt übrigens auch einen neuen Namen geben und es nicht wie vom DAV vorgeschlagen beA+ nennen, denn der Name ist einfach verbrannt) auf der einen Seiten Juristen und auf der anderen Seite die sachverständigen "Cracks". Extrem wichtig ist aber auch der Mann bzw. die Frau in der Mitte, der/die die Sprache der einen Gruppe in die Sprache der anderen Gruppe übersetzen kann. Nur so kann sichergestellt werden, dass alle über das Gleiche reden. Der "Dolmetscher" ist in der blöden Situation, dass ihm von beiden Seiten Ungenauigkeiten vorgeworfen werden werden, aber das ist halt so.

  • 25.01.2018 11:19, Enrico Weigelt,+metux+IT+consult

    Ja, das ist in der Tat knifflig. Wobei wir ja hier primär über die Kommunikation zwischen Anwälten und Gerichten reden. Da dürfte die Schadwirkung im Vergleich zu dem was man ohnehin bei Gericht an Daten einsammeln könnte (die Angreifer wären da ja eher bei BND/Gladio etc zu suchen) nicht so dramatisch sein.

    Um Mandanten-Kommunikation gehts hier ja nicht, das ist garnicht die Aufgabenstellung.

    Auf diesen Kommentar antworten
  • 25.01.2018 11:28, Enrico Weigelt,+metux+IT+consult

    Nennen wir es doch einfach "Digitale Justizpost". Das beschreibt die Aufgabenstellung.

    Bzgl. Begriffsklärungen habe ich schon mit einem Anwalt ein kleines Büchlein in Planung "IT-Grundwissen für Anwälte". Wer sich anschließen möchte, einfach mal melden. Evtl. könnten wir das ja auch über Wikibooks etc laufen lassen.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
RECHTS­AN­WÄL­TE (M/W/D) im Be­reich Li­ti­ga­ti­on & Dis­pu­te Re­so­lu­ti­on

Clifford Chance, Mün­chen

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Be­auf­trag­ter für Ver­ga­be­ver­fah­ren / Voll­ju­rist Öf­f­ent­li­ches Recht (d/m/w)

VDI/VDE Innovation + Technik GmbH, Ber­lin

Cor­po­ra­te Coun­sel (m/f) in the field of com­mer­cial and IT law

Kulzer Deutschland, Ha­nau

Rechts­an­wäl­tin/Rechts­an­walt im Fach­be­reich Da­ten­schutz

REDEKER SELLNER DAHS, Ber­lin

VOLL­JU­RIS­TIN­NEN / VOLL­JU­RIS­TEN

Deutsches Patent- und Markenamt München, Mün­chen

Le­gal Pro­ject Ma­na­ger (m/w/d)

Clifford Chance, Düs­sel­dorf und 1 wei­te­re

RECHTS­AN­WALT (M/W/D) im Be­reich GE­SELL­SCHAFTS­RECHT / M&A

FPS Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten mbB, Düs­sel­dorf

Rechts­an­wäl­te (m/w)

DLA Piper UK LLP, Köln

Rechts­an­wäl­te w/m im Be­reich M&A | Pri­va­te Equi­ty | Ven­tu­re Ca­pi­tal

Heuking Kühn Lüer Wojtek, Stutt­gart

RECHTS­AN­WÄL­TIN / RECHTS­AN­WALT im Be­reich Pro­jects & Pu­b­lic Sec­tor, ins­be­son­de­re für öf­f­ent­li­ches Pla­nungs-, Bau- und Um­welt­recht

GSK Stockmann, Mün­chen

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial Con­tracts (Schwer­punkt: Au­to­mo­ti­ve)

Bird & Bird LLP, Frank­furt/M.

As­so­cia­tes (m/w/d) im Im­mo­bi­li­en­recht

DLA Piper UK LLP, Frank­furt/M. und 2 wei­te­re

Rechts­an­walt (m/w/d) für den Be­reich Straf­recht

Melchers Rechtsanwälte, Hei­del­berg

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w/d) mit Schwer­punkt für den Be­reich Mar­ken- und Wett­be­werbs­recht / für den Be­reich IT- und Da­ten­schutz­recht

CBH Rechtsanwälte, Köln

Rechts­an­wäl­te (m/w) Cor­po­ra­te

Noerr LLP, Ber­lin und 7 wei­te­re

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te Un­ter­neh­mens­nach­fol­ge

Hennerkes, Kirchdörfer & Lorz, Stutt­gart

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te

Kliemt.Arbeitsrecht, Düs­sel­dorf und 3 wei­te­re

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w/d) für den Be­reich Bau- und Im­mo­bi­li­en­recht, ins­be­son­de­re im ge­werb­li­chen Miet­recht

Melchers Rechtsanwälte, Hei­del­berg

Syn­di­kus­an­walt (m/w/d)

12Tree Finance GmbH, Ber­lin

Rechts­an­walt / Rechts­an­wäl­tin für Ar­beits­recht, insb. kol­lek­ti­ves Ar­beits­recht

APITZSCH SCHMIDT KLEBE, Frank­furt/M.

Mit­ar­bei­ter (m/w) Qua­li­ty & Risk Ma­na­ge­ment – Da­ten­schutz

KPMG, Ber­lin

Rechts­an­walt (m/w) im Be­reich En­er­gie- und In­fra­struk­tur­pro­jek­te und Pro­jekt­fi­nan­zie­rung

Norton Rose Fulbright LLP, Mün­chen