beA – Bug: aus A wird B

… oder wie man Anwendern ein X für ein U vormacht:
Im beA ist es möglich, eine Nachricht auch ohne Anhänge zu versenden. Der Text wird einfach in das „Nachrichtenfeld“ eingegeben und darf (inzwischen) fast 12.000 Zeichen lang sein. Das entspricht etwa drei DIN A4-Seiten Text. Die Eingabe kann auch mit einem Spracherkennungsprogramm erfolgen: einfach in das Nachrichtenfeld hineindiktieren. Es ist inzwischen auch möglich, die Nachricht qualifiziert elektronisch zu signieren und so die gesetzliche Schriftform zu ersetzen.

Den Funktionsumfang des Nachrichtenfeldes hatte die BRAK erst im Jahr 2017 schrittweise erweitert. Seit Inkrafttreten der ERVV ist das Nachrichtenfeld für Sendungen an die Justiz zwar nicht mehr zu verwenden.
Für die Kommunikation unter Rechtsanwälten, Notaren und Rechtsanwaltskammern ist das Nachrichtenfeld aber immer noch eine tolle Sache.

Aber davon will die BRAK nun nichts mehr wissen. Eine durch das Gutachten der Secunet AG bekannt gewordene Sicherheitslücke
– beA-Nachrichten können anders als deren Anhänge von Unbefugten ggf. im Klartext mitgelesen werden  – wurde durch die BRAK nicht beseitigt, sondern einfach von einem A-Fehler zu einem B-Fehler herabgestuft.


Die Pressesprecherin der BRAK soll dazu erklärt haben:
„Der Schutzbedarf des begleitenden Nachrichtentextes ist hinsichtlich Vertraulichkeit aus fachlicher Sicht als deutlich geringer als der Schutzbedarf der Anhänge einzustufen. Denn die dem Mandatsgeheimnis unterliegenden Inhalte sind in den verschlüsselten Anhängen enthalten“


Das ist Unsinn und zugleich eine formvollendete Volte. Bei einem Reitturnier gäbe es dafür Höchstpunktzahl. Im digitalen Anwaltsalltag ist diese „Erklärung“ aber einfach nur beschämend.
Wofür wurde der ganze Entwicklungsaufwand betrieben (und bezahlt), wenn das Nachrichtenfeld plötzlich „gar nicht wichtig“ sein soll? Der plötzliche Sinneswandel der BRAK dazu hat wohl rein technische Ursachen. Nachzulesen bei Hanno Böck auf golem.

 

 

 

beA – Bug: Chipkartenleser

Ärgerlich: auch mit der aktuellen Version der Client Security ist es immer noch  nicht möglich, den Chipkartenleser am PC des Anwenders simultan für andere Anwendungen als das beA zu nutzen.
Wundern Sie sich also nicht, wenn ihr Büro plötzlich nicht mehr auf das online geführte, mit einer HBCI-Chipkarte gesicherte, Geschäftskonto zugreifen kann.  Daran ist die mangelhafte Programmierung der Client Security schuld, nicht die Bank und erst recht nicht ihre Mitarbeiter!


Lösung ( „work around“ ):

1. Schalten Sie die Client Security ab (z.B. durch Rechtsklick auf das Icon in der Taskleiste und „Beenden“).
2. Starten Sie ihre lokale Software zur Bankkontenverwaltung neu (alternativ: den USB-Anschluss des Chipkartenlesers am PC abziehen und neu einstecken).
3. Starten Sie die Cient Security erst wieder, wenn Sie wieder mit dem beA arbeiten müssen.


Dieser Mangel der Client Security ist seit 2017 bekannt und gemeldet. Wenn Sie ihre Mitarbeiter fragen, ob das für ihr Büro ein „betriebsbehindernder“ Mangel des beA ist, wird die Antwort sicher eindeutig ausfallen. Der BRAK ist das aber bisher keine Mühe wert.  Solange  sich das nicht ändert, kann ich leider kein Loblied auf das beA singen.
Der sangesfreudige Kollege Herzog erledigt seine Überweisungen aber vielleicht noch persönlich in der örtlichen Sparkassenfiliale. Dafür fehlt in meinem Büro die Zeit. Wie ist das bei Ihnen?

 

beA – RSA im Padding-Modus PKCS #1 1.5

Die beA-Postfächer funktionieren wieder.  Aber wie genau? Was ist am System bis zum 03.09.2018 erneuert worden?  Wen diese Frage interessiert, der findet im aktuellen Artikel von Hanno Böck bei golem dazu Aufschluss.


Was nicht im Artikel steht: auch die aktive Nutzung des beA wird bald zur Pflicht, spätestens ab dem 01.01.2022. In einigen Bundesländern vielleicht auch schon früher, ab dem 01.01.2020.


Werden bis dahin, in vielleicht nur noch verbleibenden 15 Monaten, die sicherheitsrelevanten Fehler des Systems endlich beseitigt sein?

Die Frage ist nicht rhetorisch.
Die anwaltliche Verschwiegenheit, § 43 a Abs. 2 S. 1 BRAO ist nicht nur eine Grundpflicht, sondern der Eckpfeiler jeder anwaltlichen Berufs-ausübung. Die Verschwiegenheit  schützt den Mandanten gerade auch vor staatlicher Neugier.
Wie soll die aktive Nutzungspflicht des beA – im derzeitigen Zustand – mit dieser Grundpflicht vereinbar sein, wenn Absender und Empfänger einer Nachricht für die gesamte vertrauliche Kommunikation einem Dritten – einer öffentlichen Stelle – vertrauen müssen?

Von „Ende-zu-Ende“-Verschlüsselung im beA spricht die BRAK inzwischen selbst nicht mehr. Das ist wenigstens ehrlich.
Wie das aktuelle beA-System mit der anwaltlichen Verschwiegenheit in Einklang zu bringen sein soll, dazu allerdings schweigt die BRAK. Das ist entschieden zuwenig.

 

 

beA – der Zug rollt wieder

Mit rund achtstündiger Verspätung ist das beA nun wieder online. Heute früh um 7.20 Uhr war die Anmeldung noch nicht möglich und das Schlimmste zu befürchten. Seit etwa 8.30 Uhr ist das beA aber „wieder im Fahrplan“. Jeder Rechtsanwalt der die Erstregistrierung durchgeführt hat, kann nun wieder auf sein Postfach zugreifen und dort eingegangene Nachrichten lesen.
Neu ist die Funktion „elektronisches Empfangsbekenntnis“. Wird von einem Gericht eine Nachricht elektronisch versandt und ein EB dafür verlangt, muss dieses EB nun elektronisch vollzogen werden. Das ist nur möglich, wenn der Rechtsanwalt sich persönlich in sein beA einloggt. Eine Delegation auf das Büropersonal ist, wie in der Papierwelt, nicht möglich. Ein „Ausdruck“ des elektronischen EB ebenfalls nicht.

beA – Countdown: nur noch 24 Stunden

Am Montag soll das beA wieder zur Verfügung stehen und die (passive) Benutzung dann sofort Pflicht für alle Rechtsanwälte und Syndikusrechts-anwälte sein. Ob das klappt?
Seit der unrühmlichen „Notabschaltung“ im Dezember 2017 versucht die BRAK, die Sicherheitsmängel des Systems zu beseitigen. Die Zugriffssoftware („Client Security“) wurde (mehrfach) überarbeitet. Aktuell ist die Version vom 14.08.2018.  Auch das Programm selbst blieb nicht unangetastet, die derzeit letzte Version datiert vom 08.08.2018.


Alle Rechtsanwälte und deren Mitarbeiter müssen die neue Client Security  an ihren jeweiligen Arbeitsplätzen installieren (lassen), um auf das beA zugreifen zu können. Dafür ist aber nur sehr begrenzt Zeit.
Am Wochenende ist das gesamte System für Wartungsarbeiten offline und deswegen das Herunterladen der  „Client Security“ nicht möglich. Auch eine Erstregistrierung der eigenen beA-Karte am System, weitere Voraussetzung für den Zugang zum eigenen beA-Postfach, ist in dieser Zeit ausgeschlossen.
Alle erforderlichen Arbeiten müssen also noch heute vorgenommen werden.


Ob die Anmeldung am beA ab Montag dann wirklich wieder wie gewohnt funktioniert?
Nach mehr als achtmonatiger „beA-Pause“, kann das im Moment wohl noch nicht einmal die BRAK genau sagen.

Die beiden – wohl meistgenutzten-  Browser Chrome und Firefox waren bis zum „Notaus“ im Dezember 2017 mit der beA-client Security kompatiblel. Inzwischen sind beide Browser umfassend überarbeitet worden. Unter anderem werden in beiden Browsern Zertifikate nun anders verwaltet.

Ob die Client Security der BRAK in der Version vom 14.08.2018 das „schon“ berücksichtigt und ein Zugriff auf das beA mit beiden Browsern auch ab dem 03.09.2018  möglich ist, dazu gibt der Support der BRAK derzeit keine Auskunft.

Es bleibt also spannend …

beA – Fahrplan der BRAK

Noch vor Ende des gestrigen WM-Spiels (0:2), hat die BRAK eine Pressemitteilung veröffentlicht und damit die Wiederinbetriebnahme des beA angekündigt.
Die BRAK hat es eilig.
Nach ihrem „Fahrplan“ geht das beA am 3. September (2018) wieder in Betrieb. Bestimmte Mängel werden bis dahin, andere erst im laufenden Betrieb, beseitigt. So ist der – nun hochoffizielle – Plan.

Nach derzeitigem Stand werden alle Rechtsanwälte und Syndikusrechtsanwälte sofort ab der Wiederinbetriebnahme der passiven Nutzungspflicht unterliegen. Ohne „Schonfrist“. Also ganz wie bei der Fussball-WM. Ob das gutgeht?


Die (bereits überarbeitete) „Client Security“ soll schon ab nächsten Mittwoch (04.07.2018) zum Herunterladen angeboten werden. Für die notwendige Softwareinstallation stehen vor Beginn der beA-Nutzungspflicht also immerhin zwei Monate zur Verfügung.
Wer noch keine beA-Karte beantragt oder erhalten hat, muss zur Erfüllung der Nutzungspflicht auch diese noch rechtzeitig vor dem 03.09.2018 beschaffen. Ohne die personalisierte beA-Karte des Postfachinhabers ist ein Zugriff auf das Postfach nicht möglich.

beA – Zeitplan, WM-Vorrunde und die Klage vor dem AGH Berlin

Die Bundesrechtsanwaltskammer will noch am Mittwoch (27. Juni) auf einer Präsidentenkonferenz über den neuen Anschalttermin für das beA entscheiden, die (neue) Client Security ab 4. Juli zum Herunterladen anbieten und das beA dann ab 3. September wieder online stellen (Pressemitteilung vom 20.06.2018).

Die Beratungen der BRAK am nächsten Mittwoch sollen um 16.00 Uhr beendet sein. Pünktlich zum Anpfiff des (vielleicht) letzten Spiels der Nationalmannschaft bei der Fussball-WM.   :cool:
Ob die angesetzten fünf Stunden genügen, um das 91-seitige beA-Gutachten der secunet auszuwerten? Das BRAK-Präsidium hat den Konferenzteilnehmern dafür jedenfalls bereits eine eigene, neun-seitige Auswertung des Gutachtens präsentiert. „beA – Zeitplan, WM-Vorrunde und die Klage vor dem AGH Berlin“ weiterlesen

beA – das Gutachten der BRAK

Die BRAK hat nun das lange erwartete Gutachten der secunet Security Networks AG zur Betriebssicherheit des beA veröffentlicht. Bearbeitungsstand des Gutachtens: 18.06.2018. Wer sich dafür interessiert, was die von der BRAK beauftragten Experten im Einzelnen festgestellt haben, kann das Gutachten hier als PDF herunterladen.

Es ist zu erwarten, dass die Bundesrechtsanwaltskammer das beA nun schnellstmöglich wieder in Betrieb nehmen will. Neuer Anschalttermin könnte der 1. September 2018 werden.
Allerdings soll gegen die verpflichtende Einführung des beA seit dem 15.06.2018 ein neues Klageverfahren beim Anwaltsgerichtshof Berlin  anhängig sein. So berichtet es jedenfalls die LTO.

Es bleibt also spannend.

 

beA – Berliner Kammerversammlung 2018

Das beA war auf der insgesamt sechsstündigen Kammerversammlung am 7. März 2018 als TOP 3 für zweieinhalb (!) Stunden Thema der Rechtsanwalts-kammer Berlin. Nur die „spektakulären“ Beschlüsse zum beA, dem Präsidenten und einem Vizepräsidenten der BRAK das „Misstrauen“ auszusprechen und beide zum Rücktritt aufzufordern, haben es in die Tagespresse geschafft:

„LTO“ vom 08.03.2018, FAZ vom 09.03.2018, JUVE vom 08.03.2018.

Sie waren nicht dabei, weil Sie gerade an diesem Nachmittag noch diese eine Akte bearbeiten mussten? Sie sind -mit einigem oder allem- nicht einverstanden? Das haben Sie nun davon:

„Wer nicht sagt was er will – bekommt was er befürchtet.“

ALLE Beschlüsse der Kammerversammlung, mit den jeweiligen Abstimmungsergebnissen, gibt es hier als PDF (19.03.2018: überarbeitete Fassung folgt) zum Herunterladen.

beA – die offizielle Hymne

Das beA ist immer noch offline. Von der BRAK ist dazu im Moment nicht viel zu hören.
Allerdings von einem findigen Kollegen, der den elektronischen Rechtsverkehr – so wie auch ich – schmerzlich vermisst.

Zur Verkürzung der Wartezeit bis zur Wiederinbetriebnahme: der beA-Song von Dr. Dominik Herzog (Songtext ab 2:38).

Die Kammerversammlung in Berlin ist schon morgen, am 7. März 2018 ab 15.00 Uhr in der URANIA (Anfahrt).
Das beA wird zu Tagesordnungspunkt 3 behandelt. Kommen Sie doch auch dorthin und singen Sie den beA-Song laut mit.