Autor: ra feske

… oder wie man Anwendern ein X für ein U vormacht:
Im beA ist es möglich, eine Nachricht auch ohne Anhänge zu versenden. Der Text wird einfach in das „Nachrichtenfeld“ eingegeben und darf (inzwischen) fast 12.000 Zeichen lang sein. Das entspricht etwa drei DIN A4-Seiten Text. Die Eingabe kann auch mit einem Spracherkennungsprogramm erfolgen: einfach in das Nachrichtenfeld hineindiktieren. Es ist inzwischen auch möglich, die Nachricht qualifiziert elektronisch zu signieren und so die gesetzliche Schriftform zu ersetzen.

Den Funktionsumfang des Nachrichtenfeldes hatte die BRAK erst im Jahr 2017 schrittweise erweitert. Seit Inkrafttreten der ERVV ist das Nachrichtenfeld für Sendungen an die Justiz zwar nicht mehr zu verwenden.
Für die Kommunikation unter Rechtsanwälten, Notaren und Rechtsanwaltskammern ist das Nachrichtenfeld aber immer noch eine tolle Sache.

Aber davon will die BRAK nun nichts mehr wissen. Eine durch das Gutachten der Secunet AG bekannt gewordene Sicherheitslücke
– beA-Nachrichten können anders als deren Anhänge von Unbefugten ggf. im Klartext mitgelesen werden  – wurde durch die BRAK nicht beseitigt, sondern einfach von einem A-Fehler zu einem B-Fehler herabgestuft.

Die Pressesprecherin der BRAK soll dazu erklärt haben:
„Der Schutzbedarf des begleitenden Nachrichtentextes ist hinsichtlich Vertraulichkeit aus fachlicher Sicht als deutlich geringer als der Schutzbedarf der Anhänge einzustufen. Denn die dem Mandatsgeheimnis unterliegenden Inhalte sind in den verschlüsselten Anhängen enthalten“

Das ist Unsinn und zugleich eine formvollendete Volte. Bei einem Reitturnier gäbe es dafür Höchstpunktzahl. Im digitalen Anwaltsalltag ist diese „Erklärung“ aber einfach nur beschämend.
Wofür wurde der ganze Entwicklungsaufwand betrieben (und bezahlt), wenn das Nachrichtenfeld plötzlich „gar nicht wichtig“ sein soll? Der plötzliche Sinneswandel der BRAK dazu hat wohl rein technische Ursachen. Nachzulesen bei Hanno Böck auf golem.

Ärgerlich: auch mit der aktuellen Version der Client Security ist es immer noch  nicht möglich, den Chipkartenleser am PC des Anwenders simultan für andere Anwendungen als das beA zu nutzen.
Wundern Sie sich also nicht, wenn ihr Büro plötzlich nicht mehr auf das online geführte, mit einer HBCI-Chipkarte gesicherte, Geschäftskonto zugreifen kann.  Daran ist die mangelhafte Programmierung der Client Security schuld, nicht die Bank und erst recht nicht ihre Mitarbeiter!

Lösung ( „work around“ ):

1. Schalten Sie die Client Security ab (z.B. durch Rechtsklick auf das Icon in der Taskleiste und „Beenden“).
2. Starten Sie ihre lokale Software zur Bankkontenverwaltung neu (alternativ: den USB-Anschluss des Chipkartenlesers am PC abziehen und neu einstecken).
3. Starten Sie die Cient Security erst wieder, wenn Sie wieder mit dem beA arbeiten müssen.

Dieser Mangel der Client Security ist seit 2017 bekannt und gemeldet. Wenn Sie ihre Mitarbeiter fragen, ob das für ihr Büro ein „betriebsbehindernder“ Mangel des beA ist, wird die Antwort sicher eindeutig ausfallen. Der BRAK ist das aber bisher keine Mühe wert.  Solange  sich das nicht ändert, kann ich leider kein Loblied auf das beA singen.
Der sangesfreudige Kollege Herzog erledigt seine Überweisungen aber vielleicht noch persönlich in der örtlichen Sparkassenfiliale. Dafür fehlt in meinem Büro die Zeit. Wie ist das bei Ihnen?

Die beA-Postfächer funktionieren wieder.  Aber wie genau? Was ist am System bis zum 03.09.2018 erneuert worden?  Wen diese Frage interessiert, der findet im aktuellen Artikel von Hanno Böck bei golem dazu Aufschluss.

Was nicht im Artikel steht: auch die aktive Nutzung des beA wird bald zur Pflicht, spätestens ab dem 01.01.2022. In einigen Bundesländern vielleicht auch schon früher, ab dem 01.01.2020.

Werden bis dahin, in vielleicht nur noch verbleibenden 15 Monaten, die sicherheitsrelevanten Fehler des Systems endlich beseitigt sein?

Die Frage ist nicht rhetorisch.
Die anwaltliche Verschwiegenheit, § 43 a Abs. 2 S. 1 BRAO ist nicht nur eine Grundpflicht, sondern der Eckpfeiler jeder anwaltlichen Berufs-ausübung. Die Verschwiegenheit  schützt den Mandanten gerade auch vor staatlicher Neugier.
Wie soll die aktive Nutzungspflicht des beA – im derzeitigen Zustand – mit dieser Grundpflicht vereinbar sein, wenn Absender und Empfänger einer Nachricht für die gesamte vertrauliche Kommunikation einem Dritten – einer öffentlichen Stelle – vertrauen müssen?

Von „Ende-zu-Ende“-Verschlüsselung im beA spricht die BRAK inzwischen selbst nicht mehr. Das ist wenigstens ehrlich.
Wie das aktuelle beA-System mit der anwaltlichen Verschwiegenheit in Einklang zu bringen sein soll, dazu allerdings schweigt die BRAK. Das ist entschieden zuwenig.

Mit rund achtstündiger Verspätung ist das beA nun wieder online. Heute früh um 7.20 Uhr war die Anmeldung noch nicht möglich und das Schlimmste zu befürchten. Seit etwa 8.30 Uhr ist das beA aber „wieder im Fahrplan“. Jeder Rechtsanwalt der die Erstregistrierung durchgeführt hat, kann nun wieder auf sein Postfach zugreifen und dort eingegangene Nachrichten lesen.
Neu ist die Funktion „elektronisches Empfangsbekenntnis“. Wird von einem Gericht eine Nachricht elektronisch versandt und ein EB dafür verlangt, muss dieses EB nun elektronisch vollzogen werden. Das ist nur möglich, wenn der Rechtsanwalt sich persönlich in sein beA einloggt. Eine Delegation auf das Büropersonal ist, wie in der Papierwelt, nicht möglich. Ein „Ausdruck“ des elektronischen EB ebenfalls nicht.

Am Montag soll das beA wieder zur Verfügung stehen und die (passive) Benutzung dann sofort Pflicht für alle Rechtsanwälte und Syndikusrechts-anwälte sein. Ob das klappt?
Seit der unrühmlichen „Notabschaltung“ im Dezember 2017 versucht die BRAK, die Sicherheitsmängel des Systems zu beseitigen. Die Zugriffssoftware („Client Security“) wurde (mehrfach) überarbeitet. Aktuell ist die Version vom 14.08.2018.  Auch das Programm selbst blieb nicht unangetastet, die derzeit letzte Version datiert vom 08.08.2018.

Alle Rechtsanwälte und deren Mitarbeiter müssen die neue Client Security  an ihren jeweiligen Arbeitsplätzen installieren (lassen), um auf das beA zugreifen zu können. Dafür ist aber nur sehr begrenzt Zeit.
Am Wochenende ist das gesamte System für Wartungsarbeiten offline und deswegen das Herunterladen der  „Client Security“ nicht möglich. Auch eine Erstregistrierung der eigenen beA-Karte am System, weitere Voraussetzung für den Zugang zum eigenen beA-Postfach, ist in dieser Zeit ausgeschlossen.
Alle erforderlichen Arbeiten müssen also noch heute vorgenommen werden.

Ob die Anmeldung am beA ab Montag dann wirklich wieder wie gewohnt funktioniert?
Nach mehr als achtmonatiger „beA-Pause“, kann das im Moment wohl noch nicht einmal die BRAK genau sagen.

Die beiden – wohl meistgenutzten-  Browser Chrome und Firefox waren bis zum „Notaus“ im Dezember 2017 mit der beA-client Security kompatiblel. Inzwischen sind beide Browser umfassend überarbeitet worden. Unter anderem werden in beiden Browsern Zertifikate nun anders verwaltet.

Ob die Client Security der BRAK in der Version vom 14.08.2018 das „schon“ berücksichtigt und ein Zugriff auf das beA mit beiden Browsern auch ab dem 03.09.2018  möglich ist, dazu gibt der Support der BRAK derzeit keine Auskunft.

Es bleibt also spannend …