Thema "Re: beA - neue Infos von der BRAK-Sitzung" in DATEV-Anwalt

beA - neue Infos von der BRAK-Sitzung

Michael-Renz — Thu, 18 Jan 2018 19:03:15 GMT

Hallo community

die RAK Hamburg informiert über die heutigen Verhandlungen bei der BRAK. Der Bericht beinhaltet eine kurze Darstellung über die ursprüngliche Sicherheitsprüfungen und die weitere Vorgehensweise.

Einen Zeitplan gibts wohl noch nicht.

http://www.rak-hamburg.de/uploads/file/Mitglieder/Mitgliederservice/Kammerschnellbriefe/2018/20180118_beA-Rundschreiben.…

und hier die Presseerklärung der BRAK

https://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2018/presseerklaerung-02-2018/

NACHTRAG

Das Anwaltsblatt berichtet, dass der Bund-Länder-Kommission die Verlängerung des EGVP-Clients bis Mai 2018 beschlossen hätte.

https://anwaltsblatt.anwaltverein.de/de/anwaeltinnen-anwaelte/anwaltspraxis/bea-desaster

Das lässt annehmen, dass die BRAK und ihre Dienstleister tatsächlich glauben, beA am Ende des ersten Quartals wieder in den Testbetrieb zu geben.

Mal sehen, aller guten Dinge sind 3 - zwei Pleiten hat die BRAK ja schon geliefert. Da wird doch die Dritte per Mitte 2018 auch noch klappen.

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Fri, 19 Jan 2018 09:43:55 GMT

Lese ich den Bericht der RAK HH wird für mich das Bild immer bestürzender:

zwei besonders auffällige Punkte

jetzt will die BRAK bereits 2015 an den CCC herangetreten sein(?!?). Der CCC hätte sich nicht bereit erklärt, die Testergebnisse der BRAK zur Verfügung zu stellen. Ich hatte 2015 um Mitteilung gebeten, wie Sicherheit gewährleistet wird und bereits auf einige Schwachstellen hingewiesen. Leider habe ich keinen Hinweis erhalten, aus dem ich hätte erkennen können, dass die externe unabhängige Überprüfung erfolgen soll.

Nachdem der CCC seine Testergebnisse im Dezember 2017 bekannt gegeben hat, scheint die BRAK gemauert zu haben. So habe ich jedenfalls den Vortrag auf der 34C3 verstanden? Eine der beiden Seiten scheint sich nicht mehr genau an den Sachverhalt zu erinnern.

Die Implementierung des HSM würde keine Funktionalität enthalten die Schlüssel im Klartext exportiert. Im "normalen" Betreib sei ein Zugriff auf die Schlüssel nicht möglich. Selbst wenn ich zu gute halten möchte, dass im Normalenbetreib ein Auslesen der Schlüssel nicht erfolgen könne, frage ich mich, was im "Nicht"-Normalen Betreib möglich ist.

Weiter Frage ich mich, was mit den Schlüsseln der Karten ist, die - warum auch immer - für ungültig erklärt wurden oder verloren gegangen sind. Diese Schlüssel würden sich im HSM ansammeln und könnten ggf. mißbraucht werden.

mein Blutdruck steigt schon wieder.

Re: beA - neue Infos von der BRAK-Sitzung

RAHagena — Fri, 19 Jan 2018 10:15:57 GMT

Die lustigen Verantwortlichen waren wahrscheinlich dadurch beruhigt, dass sie ja ein "High-Security"-Modul haben, da kann dann ja nichts passieren...
Wie siehts eigentlich mit Minderung gegenüber ATOS aus? Die haben ja offenbar eine schwer mangelhafte Leistung erbracht?!

Re: beA - neue Infos von der BRAK-Sitzung

zippo — Fri, 19 Jan 2018 10:17:08 GMT

Wozu sollten überhaupt private Schlüssel der Anwälte auf der HSM gespeichert sein?

Wenn ohnehin keine Ende-zu-Ende-Verschlüsselung gemacht wird, kann der Absender die Mails mit dem öffentlichen Schlüssel der Box verschlüsseln. Die Box entschlüsselt dann und verschlüsselt wieder mit dem öffentlichen Schlüssel des Empfängers.

So blieben wenigstens die privaten Schlüssel geheim.

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Fri, 19 Jan 2018 10:22:56 GMT

Ich setze mich mal ins Glashaus und behautpte: Atos hat genau das gemacht, was die BRAK bestellt hat.

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Fri, 19 Jan 2018 10:23:57 GMT

Wäre möglicherweise ein Lösung; aber wir haben doch eine End-to-End Verschlüsselung.

Re: beA - neue Infos von der BRAK-Sitzung

RAHagena — Fri, 19 Jan 2018 10:36:03 GMT

Ich habe keine Ahnung, wie die Bestellung genau gelautet hat, aber ich kann mir nicht vorstellen, dass die Verantwortlichen so viel Ahnung haben, dass sie die Anforderungen so genau stellen konnten (Java, browserbasiert, HSM etc.). Selbst wenn würde ich von einer guten Software-Schmiede erwarten, dass die das nicht so sinnlos umsetzen...

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Fri, 19 Jan 2018 10:41:12 GMT

Müsste dieser Auftrag nicht ausgeschrieben worden sein? Und könnte man dann nicht nach dem IFG Einsicht nehmen?

Jedenfalls würde das "nur" die Erkenntnis bringen, was in der Vergangenheit falsch gelaufen ist.

Wichtig wäre jetzt, für die Zukunft Lösungen anzubieten. Was nützt es da, wenn noch ein IT-Unternehmen bestätigt, was der CCC ohnehin schon herausgefunden hat. Oder sucht man hier nur nach einem Feigenblatt?

Re: beA - neue Infos von der BRAK-Sitzung

mkinzler — Fri, 19 Jan 2018 10:44:31 GMT

Vielleicht besteht ja noch die Hoffnung, dass sich der CCC getäuscht ahben könnte und das System, wie es implementiert wurde "super optimal" ist.

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Fri, 19 Jan 2018 10:57:06 GMT

Es sind nicht nur wir "Insider" die sich wundern:

Anwaltspostfach beA: FSFE und CCC fordern Veröffentlichung des Quellcodes - SPIEGEL ONLINE

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Fri, 19 Jan 2018 11:00:56 GMT

Wenn ich mich an den Vortrag des Herrn Degner auf dem 34C3 richtig erinnere, hat er versucht über das IFG von der BRAK die entsprechenden Auskünfte zu erhalten. Diese seien aber unter Hinweis auf Geheimhaltung verweigert worden. Der Auftrag wurde wohl auch nicht wirklich öffentlich ausgeschrieben.

Je länger ich die Erklärungen der BRAK auf mich einwirken lasse, je mehr verstärkt sich mein Eindruck, dass versucht wird ein System zu retten, das nicht mehr zu retten ist. Dabei sind sich die Beteiligten wohl nicht bewußt dass nichts mehr zu retten ist, oder sie sind in der Notwendigkeit gefangen, das System "irgendwie" zum laufen zu bringen um der gesetzlichen Verpflichtung zu genügen.

Das zu suchende Feigenblatt wird jeden Tag größer.

mfkg

Andreas G. Müller

Re: beA - neue Infos von der BRAK-Sitzung

dirk — Fri, 19 Jan 2018 17:51:17 GMT

Hallo,

je mehr ich als interessierter Laie zum Thema lese, umso klarer werden zwar einzelne Details, nur das Grundsätzliche erschließt sich mir nicht.

Offenbar gibt es seit langem das EGVP, das auch weiterhin der Kern der Infrastruktur

bleibt.

Die Weiterentwicklung des Clients wurde (ohne dass ich Gründe gefunden hätte)

eingestellt.

Mit dem Governicus-Client gibt es wohl aber einen nahezu 1:1 Ersatz.

Das System ist grundsätzlich dazu ausgelegt, von der Behörden-internen Kommunikation bis zum e-Government alles abzudecken, und wird/wurde auch von Berufsträgern genutzt.

Welchen Nutzen hat denn nun das verpflichtende Andocken eines besonderen Anwalts- / Notarpostfachs ?

Ein Kritikpunkt ist ja, dass der Anwalt/Notar in Person authentifiziert wird, "Post" also nicht vertretungsweise gelesen werden kann.

Wie sieht eigentlich die Infrastruktur auf Seiten der Gerichte / Behörden aus,

muß dort auch jeder MA eine eigene Signaturkarte haben ?

Oder ist dort, ander als in der Kanzlei, "das Gericht" der Empfänger / Absender ?

Sorry falls meine Fragen hier zu "offtopic" sind ...

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Mon, 22 Jan 2018 10:11:59 GMT

Hallo Herr Kettner,

Sie legen die Finger genau in die "richtige" Wunde. Das EGVP / Governikus war, wie sein Name (Elektronisches Gerichts- und Verwaltungspostfach) nahelegt, historisch für die Kommunikation mit "staatlichen Stellen" gedacht.

Warum jeder Berufsstand ein eigenen "besonderes" Postfach benötigt, kann Ihnen wohl nur der entsprechende Interessenvertreter im BMVJ erklären.

Bei der Justiz - hier kann ich "nur" für unser Amtsgericht sprechen - laufen alle Nachrichten in der Wachtmeisterei ein. Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt. Möglicherweise wird sich dies mit Einführung der digitalen Gerichtsakte ändern und die Nachrichten werden unmittelbar von der Geschäftsstelle eingelesen, hier will ich jedoch ein großes Fragezeichen machen.

Re: beA - neue Infos von der BRAK-Sitzung

mkinzler — Mon, 22 Jan 2018 11:37:20 GMT

Das könnte auch der Grund für die "spezielle" EndeZuEnde-Verschlüsselung sein.

Re: beA - neue Infos von der BRAK-Sitzung

dirk — Mon, 22 Jan 2018 12:19:55 GMT

- laufen alle Nachrichten in der Wachtmeisterei ein. Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt.

Dann fände auch in der "Wachtmeisterei" ein "Bruch" der end2end-Verschlüsselung

statt, wie in den HSM´s der BRAK ...

(editiert / nochmal edit - Ich verstehe nicht, wie ein anserer als der ursprünglich bestimmte Empfänger die Nachricht lesen /entschlüsseln kann)

Re: beA - neue Infos von der BRAK-Sitzung

RAHagena — Mon, 22 Jan 2018 14:27:43 GMT

Warum ein neues Postfach gebraucht wurde ist ganz einfach: Alles andere wäre viel zu billig gewesen und der Vorsitzende der Notars-Kammer fährt ein viel größeres Auto...

Re: beA - neue Infos von der BRAK-Sitzung

Sabine_Ecker — Tue, 23 Jan 2018 08:30:40 GMT

hier ein Link mit einem Bericht von der gestrigen beA-Veranstaltung des DAV

https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-beagate-experten-diskussion-deutscher-anwaltverein/

sehr sachlich und informativ

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Tue, 23 Jan 2018 14:56:01 GMT

Das ist ja lustig.

Mit Nina habe ich zusamen fürs 2. Stex gebüffelt.

Re: beA - neue Infos von der BRAK-Sitzung

Tue, 23 Jan 2018 15:16:11 GMT

social media, wie witzig

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Tue, 23 Jan 2018 15:28:21 GMT

ja...?

So wie ich Nina kenne, weiß sie, wovon sie redet.

Re: beA - neue Infos von der BRAK-Sitzung

Sabine_Ecker — Wed, 24 Jan 2018 12:30:15 GMT

Hallo ,

am 5.3.2018 veranstaltet der EDV-Gerichtstag ein Symposium. Da geht es darum, zu diskutieren, wie künftig ein praxisorientiertes beA aussehen sollte. Hier der Link zu der Veranstaltung

https://www.edvgt.de/veranstaltung/save-the-date-bea-mit-besserer-software-und-optimierter-ausrichtung-auf-den-kanzleialltag/

Viele Grüße aus Nürnberg

Sabine Ecker

Re: beA - neue Infos von der BRAK-Sitzung

Michael-Renz — Wed, 24 Jan 2018 20:02:59 GMT

Hallo Community,

hier nochmals als eine Zusammenfassung der Fehler und der bis 17.1. aktuellen Informationen dazu.

https://lookaside.fbsbx.com/file/beA%20-%20Fragen%20und%20Antworten.pdf?token=AWyeZtHQKWqHr_FoPUjVHzuBb1u4aBn3LznAl4kHEw…

Die Datei soll von der RAK Hamm zusammengestellt worden sein.

Ausserdem wurde heute bekannt, dass ATOS und deren Subunternehmer NICHT am beAthon teilnehmen werden. Bundesrechtsanwaltskammer ~ Presseerklärung 03/2018

Das hört sich sehr danach an, dass das Tischtuch zwischen BRAK / ATOS nun wohl zerschnitten ist. Ob das der Sache dienlich ist? Aber wahrscheinlich ist’s einfach zwangsläufig!

Und hier noch ein Video-Mitschnitt der Konferenz vom DAV auf den Seiten der LTO

https://www.lto.de/index.php?id=1887

sowie die zugehörige Tagesordnung des DAV

https://digital.anwaltverein.de/files/clients/digital.anwaltverein.de/downloads/elektronischer_rechtsverkehr/programm-be…

Re: beA - neue Infos von der BRAK-Sitzung

Sabine_Ecker — Thu, 25 Jan 2018 07:18:57 GMT

Hallo an Alle,

hier noch der Link zu der Initiativ-Stellungnahme des DAV

https://anwaltverein.de/de/newsroom/sn-5-18-initiativ-stellungnahme-zum-bea-76246

VG Sabine Ecker

Re: beA - neue Infos von der BRAK-Sitzung

Michael-Renz — Thu, 25 Jan 2018 15:15:48 GMT

Hallo Community

in der von Frau Ecker geposteten Stellungnahme des DAV wird unter Ziff. 6 ab Seite 11 eine Argumentation zum Thema

"Anwälte benötigen trotz beA-Offtime KEINE DE-Mail"

dargestellt.

Hört sich zwar interessant und nachvollziehbar an. Ob sich das jedoch halten lassen wird???

Ich bin da lieber vorsichtig und freue mich meiner jüngst zugeteilten DE-Mail-Adresse.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 25 Jan 2018 17:18:37 GMT

So ähnlich wirds ja auch gemacht, nur ein kleines wenig komplizierter:
Die Box erzeugt für jeden Anwalt eine Kombination aus geheimem und öffentlichem Schlüssel.
Die Box kennt von allen Anwälten die öffentlichen Schlüssel
Die Box veröffentlich den selbst erzeugten öffentlichen Schlüssel im sog. SAVE-Verzeichnisr

Der Absender holt sich den Schlüssel aus dem Save-Verzeichnis und verschlüsselt damit die Nachricht
Die Nachricht wird an die Box gesendet
Die Box entschlüsselt die Nachricht und verschlüsselt sie mit dem öffentlichen Schlüssel des finalen Empfängers neu
Die Box sendet an den finalen Empfängers

Kleiner Hinweis noch: Bei der Nachricht handelt es sich nicht um das Ausgangsdokument, sondern um eine zufällige Bytefolge, mit der das Ausgangsdokument selbst chiffriert wurde. Das chiffrierte Ausgangsdokument bekommt die Box nie zu sehen,
Die Box sieht nur den verschlüsselten Schlüssel des Ausgangsdokuments und kann den entschlüsseln.
Eine Aussage zur Sicherheit des Ganzen zu machen ist ohne nähere Infosannähernd unmöglich

Re: beA - neue Infos von der BRAK-Sitzung

zippo — Fri, 26 Jan 2018 07:12:37 GMT

Hier wird das endlich mal aufgedröselt:

http://www.rak-hamburg.de/uploads/file/Mitglieder/Mitgliederservice/Kammerschnellbriefe/2018/20180118_Atos%20End-zu-End%20beA.pdf

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Fri, 26 Jan 2018 07:16:44 GMT

der Artikel im Anwaltsblatt zeigt die "Justizseite" des beA. Die Handhabung unseres Hausgerichtes scheint der Standard zu sein. Die Verschlüsselung der Nachricht endet bei der Justiz immer in der Wachtmeisterei.

Ich Frage mich immer wieder, warum sich die Justiz damit begnügt, dass die Verschlüsselung im großen Postfach des Zentralen Posteingangs endet, während wir Anwälte Sonderlösungen finanzieren, die die Praxis nicht im Ansatz abbilden; - wahrscheinlich fehlt mir hier das nötige Verständnis

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 26 Jan 2018 07:29:08 GMT

Das geistert schon seit einiger Zeit im Netz rum. Auf den Bildern kann man auch wunderbar sehen, wer das HSM herstellt. Mich würde allerdings interessieren, wie es kommt, dass man das Produkt eines französischen Herstellers, der selbst wiederum mit Atos (ebenfalls französisch) verbandelt ist, als deutsches Produkt darstellen kann. Oder ist das wieder nur eine unglückliche Formulierung?

Die Slides enthalten übrigens keinerlei Infos zu den bei HSMs obligatorischen Sicherheitszertifizierungen. Auch nur eine Lässlichkeit?

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Fri, 26 Jan 2018 08:07:27 GMT

Also haben wir mehr E2E-Verschlüsselungen erhalten als wir bezahlt haben? Eine E2E an das HSM und eine vom HSM an den tatsächlichen Empfänger. Und möglicherweise wird ja auch in der Wachtmeisterei noch mal E2E an die jeweiligen Geschäftszimmer verschickt, welche dann ebenfalls E2E an die Richter....

Das ist eine juristische Lösung; wenn die Subsumtion nicht passt, änder man einfach die Definition.

Ich möchte ein E kaufen... Soviel Spaß zum WE muss erlaubt sein.

Re: beA - neue Infos von der BRAK-Sitzung

zippo — Fri, 26 Jan 2018 08:17:42 GMT

Naja... Die Nachricht selber bleibt bis zum Empfänger durchgehend verschlüsselt.

Das HSM ent- und verschlüsselt nur den Schlüssel zur Nachricht. Das könnte man als Jurist wohl tatsächlich E2E nennen.

Dass der Empfänger gar nicht exklusiv im Besitz des Nachrichtenschlüssels ist, wie sich das gehört, sondern das HSM den zur Verfügung stellt (und ggf auch anderen Leuten) ist allerdings unschön.

Gruß aus Hamburg

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 26 Jan 2018 10:33:11 GMT

Re: beA - neue Infos von der BRAK-Sitzung

mkinzler — Fri, 26 Jan 2018 11:33:50 GMT

https://www.heise.de/newsticker/meldung/Besonderes-elektronisches-Anwaltspostfach-Atos-haelt-die-eigene-Loesung-fuer-sic…

Re: beA - neue Infos von der BRAK-Sitzung

dirk — Fri, 26 Jan 2018 11:57:29 GMT

Ja, so langsam dröselt sich das Ganze auf.

Nun ist klar, warum ein "Würgaround" wie die HSM-Zwischenschaltung, behördenseitig

zur Realisierung von Weiterleitungen / Vertretungsempfängern gar nicht erforderlich ist.

Hier hat die BRAK ihren Auftrag für jeden Anwalt ein Postfach einzurichten wohl wörtlich

genommen und die Einrichtung von Kanzlei-Postfächern für sich ausgeschlossen.

Da beim beN offenbar alles so funktioniert, wie es die Anwaltschaft für das beA gerne hätte, bleibt die Frage wie es dort technisch realisiert wurde.

Dazu finde ich leider trotz intensiver Suche fast keine Informationen.

Offenlegungen von Verfahrensdokumenten und externen Audits - so wie jetzt vielfach für das beA gefordert, scheint es beim beN auch nicht zu geben.

Insesondere die sogenannte "sichere Beteiligten-Kommunikation", die rein Browser-basiert sein soll, wirft für mich hier Fragen auf - da die Webclient-Anbindung des beA von Einigen als konzeptbedingt irreparabel angesehen wird.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 26 Jan 2018 15:07:30 GMT

Einfach mal ne Anfrage bei der Notarkammer basierend auf dem IFG machen. Allerdings muss man sich da wohl vielleicht auf eine Auseinandersetzung einstellen, denn die BRAK hat solche Anfragen abgelehnt mit Begründungen, die einem Streit wohl nicht standhalten würden.

Re: beA - neue Infos von der BRAK-Sitzung

Michael-Renz — Fri, 26 Jan 2018 21:44:08 GMT

Hallo Community

auch ohne ATOS und Governikus hat der beAthon heute stattgefunden. Lt. Pressebericht der BRAK

https://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2018/presseerklaerung-04-2018/

gibt's offenbar bereits eine neue ClientSecurity - aber freigeben wird die nicht, weil zuerst weitere Untersuchungen statfinden.

Markus Drenger hat offenbar in der alten ClientSecurity vom 22.12.17 noch weitere Sicherheitslücken gefunden - es wird nun nicht nur die Deinstallation des damals verteilten Zertifikats sondern der KOMPLETTEN ClientSecurity empfohlen. Auf Becl wird wie folgt berichtet.

BeAthon bei der BRAK - Recht-Steuern-Wirtschaft - Verlag C.H.BECK

Ich hatte schon am 27.12. alles runtergeschmissen - Vertrauen ist futsch.

Re: beA - neue Infos von der BRAK-Sitzung

Michael-Renz — Sat, 27 Jan 2018 09:24:49 GMT

Hallo Community

jetzt geht ATOS auch in die Öffentlichkeit und hat entsprechende Mails an interessierte Kreise versendet.

https://www.kanzlei-hoenig.de/2018/atos-stellungnahme-zum-besonderen-elektronischen-anwaltspostfach-bea/

Es gibt also wieder einen Client der natürlich diesmal viel besser und sicherer ist und auch zuvor, war das ja alles halb so wild.

Vetrauen ist trotzdem futsch, zu ATOS und der BRAK - das Projekt ist mit Anlauf an die Wand gefahren worden. Und m.E. kommt es einer echten Aktzeptanz des Systems auch nicht gerade entgegen, wenn der Gesetzgeber einfach erklärt, dass es (jetzt) sicher (genug) sei.

Re: beA - neue Infos von der BRAK-Sitzung

jan — Sun, 28 Jan 2018 08:58:43 GMT

Und laut dem beAthon bzw. der BRAK soll der Client deaktiviert bzw. komplett entfernt werden, da er anscheinend doch nicht sicher ist.

https://www.heise.de/newsticker/meldung/Besonderes-elektronisches-Anwaltspostfach-Zur-Sicherheit-sollen-Rechtsanwaelte-d…

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Sun, 28 Jan 2018 21:01:42 GMT

Ich hatte den sowieso schon deinstalliert; was ich nicht nutze, fliegt vom Rechner.

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Mon, 29 Jan 2018 13:31:33 GMT

Info von unserer RAK. Wenn man das liest, klingt es gar nicht so schlimm. Ich hab es ja geahnt...

BRAK Presseerklärung Nr. 4 vom 26.01.2018

Erste Ergebnisse des Sicherheitsdialogs beAthon
Neue Version der Client Security als sichere Basis akzeptiert – Bundesrechtsanwaltskammer empfiehlt Deaktivierung der alten beA Client Security

Der heute von der Bundesrechtsanwaltskammer durchgeführte beAthon hat zu einem intensiven und konstruktiven Austausch über Sicherheitsfragen zum besonderen elektronischen Anwaltspostfach (beA) geführt. Erste Ergebnisse dieses Dialogs liegen mittlerweile vor:

Die anwesenden IT-Experten und Anwälte haben die von Atos entwickelte neue Version der beA Client Security diskutiert. Dabei zeigte sich, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen. Die von der BRAK beauftragten Gutachter erhielten mehrere Hinweise, welche Fragen bezüglich dieser Lösung in der Umsetzung besonders zu prüfen seien.

Intensiv diskutiert wurde ein weiteres Thema, das Herr Drenger vom Chaos Computer Club am 20. Dezember 2017 gemeldet hatte. Hierbei handelt es sich um den Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken. Die BRAK hatte ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen, diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt. Die BRAK sichert zu, dass die Überprüfung dieses Problems in der neuen beA-Version Gegenstand des Sicherheitsgutachtens der vom BRAK beauftragten Gutachter sein wird. Dieses Gutachten ist Grundlage der Entscheidung der BRAK für eine Wiederinbetriebnahme des beA.

Herr Drenger vertrat im beAthon die Auffassung, dass sich mit diesem Problem in der bisherigen beA Client Security ein weiteres Sicherheitsrisiko verbinde. Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.

Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners. Die von Herrn Drenger aufgedeckte mögliche Sicherheitslücke wird darüber hinaus mit der im Rahmen des beAthon vorgestellten neuen Version der Client Security automatisch behoben werden.

„Wir bedanken uns für die heute erhaltenen Impulse. Daran knüpfen wir gerne weiter an“, resümierte BRAK-Vizepräsident Dr. Martin Abend. Er unterstrich für die BRAK, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.

Re: beA - neue Infos von der BRAK-Sitzung

mkinzler — Mon, 29 Jan 2018 13:41:05 GMT

Die anwesenden IT-Experten und Anwälte haben die von Atos entwickelte neue Version der beA Client Security diskutiert. Dabei zeigte sich, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen.

Re: beA - neue Infos von der BRAK-Sitzung

andreashofmeister — Mon, 29 Jan 2018 13:57:39 GMT

Ähm. Und nun geht's also wieder weiter nach Ausbau der Sicherheitslücken?

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Mon, 29 Jan 2018 15:34:25 GMT

man beachte bitte die Wortwahl:

"...Die zuvor kritisierte Sicherheitslücke wird so geschlossen. ... " Was ist mit den anderen "Lücken" im System.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Mon, 29 Jan 2018 15:45:01 GMT

Interessanter Widerspruch, wird eine Sicherheitslücke durch einen Ausbau beseitigt oder vergrößert?

Re: beA - neue Infos von der BRAK-Sitzung

mkinzler — Mon, 29 Jan 2018 15:46:18 GMT

Der Bug Das Feature wird ausgebaut.

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Tue, 30 Jan 2018 08:35:43 GMT

Ein etwas umfassenderen Blick auf den beAthlon findet sich in JurPC.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Tue, 30 Jan 2018 09:02:48 GMT

Sehr umfangreiche und stetig nachgepflegte Informationen zum beA inkl. sehr vieler Referenzen findet man auch in der Wikipedia:https://de.wikipedia.org/wiki/Besonderes_elektronisches_Anwaltspostfach

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Tue, 30 Jan 2018 18:53:56 GMT

Zitat von der Golem-Webseite (da war hjemand beim beAthon anwesend):
"Ein Vertreter des Brak-Vorstands versuchte zu argumentieren, dass Ende-zu-Ende-Verschlüsselung ja kein geschützter Begriff sei. Doch das konnte die Anwesenden kaum überzeugen. Ein Diskussionsteilnehmer merkte an, dass Rechtsanwälte wohl besser nicht versuchen sollten, kryptographische Fachbegriffe neu zu besetzen und Kryptographen hier zu widersprechen."

Mit anderen Worten: Nein, dass kann man auch als Jurist nicht Ende-zu-Ende-Verschlüsselung nennen. Alleine, weil etwas nicht in der Alltagssparche (oder Alltagsbetrachtung) angekommen ist, sondern schon alleine von der Komplexität her nur einer kleinen Minderheit vertraut ist, kann sich ein Jurist nicht die Freiheit herausnehmen, einen feststehenden Begriff einfach mal so umzudefinieren.

Re: beA - neue Infos von der BRAK-Sitzung

zippo — Wed, 31 Jan 2018 06:44:41 GMT

Ja, wir sehen das so. Die sehen das anders. Da wird auch schon mal Murks per Gesetz zum sicheren Übertragungsweg erklärt.

Juristen lernen von klein auf, dass Gesetze änderbar und auslegbar sind. Meiner Erfahrung nach versuchen sie das auch ständig mit Naturgesetzen.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Wed, 31 Jan 2018 07:32:54 GMT

Der ist wirklich gut, den merke ich mir

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Wed, 31 Jan 2018 08:48:15 GMT

Moin! Und schöne Grüße von einem Juristen.

Bitte unterschätzen Sie nicht die "Antriebskraft" bei solchen juristischen Überlegungen.

Aber in der Sache hier haben ich das ja schon weiter oben vermutet:

https://www.datev-community.de/message/46550#46550

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Wed, 31 Jan 2018 08:58:59 GMT

Na ein "E" kann ich nicht verkaufen, aber für den Verkauf einer "8" habe ich ja hier schon ein Beweisfoto gepostet. Irgendwo habe ich auch gelesen, dass es ja durchaus denkbar ist, dass beim beA eine Man-in-the-middle-Attacke dadurch verhindert werden soll, indem die BRAK selbst zum Man-in-the-middle wird.

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Wed, 31 Jan 2018 11:20:57 GMT

Auch wenn End-to-End-Verschlüsselung juristisch nicht definiert ist.

Mit der seit 100 Jahren stehenden Rechtsprechung, nach der nicht die Bezeichnung, sondern das gewollte maßgeblich ist, komme ich dazu, dass das beA nur dann eine sichere Kommunikation gewährleistet, wenn dem Betreiber des HSM absolut und in jeder Situation vertraut werden kann.

Der BRAK kann in technischen Fragen nicht mehr vertraut werden, das hat sie selbst seit 20. Dezember 2017 umfassend bewiesen, ATOS und den anderen technischen Dienstleistern kann man ebenfalls nicht mehr vertrauen, dies haben sie spätestens am 22. Dezember 2017 mit der Zertifikatsaktion belegt.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Wed, 31 Jan 2018 13:32:02 GMT

Das wäre doch ein Hinweis über den sich jeder Pennäler freuen würde. Nicht die Bezeichnung, sondern das gewollte ist maßgeblich. "In meiner Matheklausur habe ich zwar 1+1=3 hingeschrieben, aber da ja offensichtlich klar ist, dass ich ein richtiges Ergebnis hinschreiben wollte, müssen Sie die 3 für die eigentlich richtige 2 gelten lassen."

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Wed, 31 Jan 2018 13:39:45 GMT

Übrigens wird Vertrauen in der Kryptographie sehr binär betrachtet. Es ist vorhanden oder eben nicht. Es ist ziemlich deutlich, ausgeprägt, stark vorhanden gibt's in der Kryptographie nicht. Die Ende-zu-Ende-Verschlüsselung lebt gerade zu von genau diesem Vertauen. Es ist (nach allen mathematischen Erkenntnissen) absolut unmöglich in etwas einzugreifen ist eine vollkommen andere Aussage als "es ist super duper unwahrscheinlich, dass eingegriffen wird". Eins plus eins ist gleich zwei und nicht ziemlich genau (oder höchst wahrscheinlich) zwei.
Allerdings schließt sich hier wiederum der Kreis: Wenn man sagt, dass eins plus eins ziemlich genau zwei ist, dann ist das aus dem gleichen Grund ein Lacher wie es eine Lacher bei der Aussage einer "ziemlichen Ende zu Ende Verschlüsselung ist"

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Wed, 31 Jan 2018 17:32:38 GMT

Das wäre doch ein Hinweis über den sich jeder Pennäler freuen würde. Nicht die Bezeichnung, sondern das gewollte ist maßgeblich.

Schön wäre es, aber einen Vorteil muss die Juristerei doch haben

Re: beA - neue Infos von der BRAK-Sitzung

agmü — Wed, 31 Jan 2018 17:38:41 GMT

Es ist (nach allen mathematischen Erkenntnissen) absolut unmöglich in etwas einzugreifen ist eine vollkommen andere Aussage als "es ist super duper unwahrscheinlich, dass eingegriffen wird". Eins plus eins ist gleich zwei und nicht ziemlich genau (oder höchst wahrscheinlich) zwei.

Jeder Quantenphysiker würde diese Aussage nicht unterschreiben; und Forschungen in Richtung Verschlüsselungssystem unter Ausnutzung von Quanteneffekten nutzen diese unschärfe für eigene Zwecke.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Wed, 31 Jan 2018 18:15:09 GMT

Es ist (nach allen mathematischen Erkenntnissen) absolut unmöglich in etwas einzugreifen ist eine vollkommen andere Aussage als "es ist super duper unwahrscheinlich, dass eingegriffen wird". Eins plus eins ist gleich zwei und nicht ziemlich genau (oder höchst wahrscheinlich) zwei.
Jeder Quantenphysiker würde diese Aussage nicht unterschreiben; und Forschungen in Richtung Verschlüsselungssystem unter Ausnutzung von Quanteneffekten nutzen diese unschärfe für eigene Zwecke.

Doch, das würde auch ein Quantenphysiker unterschreiben, so er sich denn mit symmetrischer AES-Verschlüsselung beschäftigt hat. Nach aktuellem mathematischen Kenntnisstand ist es nämlich schicht egal, wie viel Rechenpower man aufbringt, bei hinreichender Schlüssellänge gilt AES als unknackbar. Genau das war auch die Intention bei der "Erfindung" von AES (ist Kryptogeschichte). Da hilft auch kein Quantencomputer, der würde das "Knacken" eines solchen Schlüssels vielleicht von 1(einhundert Nullen) auf 1(neunzig Nullen) Jahre verkürzen. So lange wird das Universum nicht existieren.
Genau hier (wieder Kryptogeschichte) liegt der Unterschied zwischen dem AES und dem vorher lange verwendeten DES. Der DES wurde in den 70igern unter strengster Geheimhaltung von IBM entwickelt und galt als durchaus sehr gute Arbeit. Der primäre Planungsfehler des DES war jedoch, dass man Annahmen über die Steigerung der Rechenleistung vorgenommen und den DES entsprechend entworfen hat. Diese Annahmen erwiesen sich dann einfach mal als ziemlich falsch. Innerhalb von weniger als 20 Jahren galt der DES als "gebrochen". Beim AES war man schlauer. Der wurde so entworfen, dass es schlicht egal ist, wie viel Rechenpower man hat, die Verschlüsselung hält (der Schlüssel muss nur lang genug sein, das gab's beim DES nicht).
Bei der asymmetrischen Verschlüsselung (RSA) sieht es etwas anders aus. Die gilt derzeit "noch" als sicher, es gibt jedoch akademische Angriffe auf die klassische asymmetrische Verschlüsselung basierend auf dem Einsatz von Quantencomputern. Wenn das funktioniert, ist der RSA - so wie er heute genutzt wird - schlagartig unbrauchbar. Dem wurde jedoch bereits entgegengewirkt, und zwar mit einer asymmetrischen Verschlüsselung, die auf ellyptischen Kurven basiert. Die wäre nämlich auch gegen Quantencomputer gefeit und ein guter Ersatz für den aktuellen RSA (ellyptische-Kurven-Kryptographie).
Das was Sie u.U. meinen ist die Nutzung verschränkter Quanten (oder wie Einstein so schön sagte "die spukhafte Fernwirkung"). Das kann man für kryptographische Übermittlungen auch nutzen. Das Problem ist jedoch, dass das heutzutage noch so ziemlich absolut jede - auch die modernste - Kanzleiausstattung um gut einige Euro-Zehnerpotenzen sprengt (und man muß auch etwas mehr als nur ein klein wenig Ahnung von Quantenphysik haben, um sowas zu nutzen). Man kann damit auch keine 1 zu n Verschlüsselungen bauen (ein Absender, diverse Vertreter, Empfänger) sondern immer nur 1 zu 1. Erschwerend kommt auch noch hinzu, dass der Empfänger immer "online" sein muss, weil ja genau darauf das Prinzip der Quantenverschränkung basiert (nixda "Postfach").
Aber Last but not Least, wie ein guter Freund mir schon vor 20 Jahren sagte. Die Krypto muss nur so gut sein, dass das Entschlüsseln länger dauert als die Nachricht Bedeutung hat. Blöd ist halt nur, wenn jemand 'nen Nachschlüssel hat (im zweiten Weltkrieg waren das geklaute Codebücher der Enigma, beim HSM muss man drauf vertrauen, dass da keiner die Schlüssel hat) oder die Technik falsch genutzt wird (schlichte Blödheit bei der Enigma-Nutzung, auf Grund derer man die Krypto mit dem Computer Colossus in brauchbarer Zeit knacken konnte, beim HSM wäre das vergleichbar mit einem saublöden Implementierungsfehler, den bis dato noch keiner gefunden hat, weil aus allem ein Geheimnis gemacht wird).

So jetzt habe ich aber genug geklugscheißert 🙂

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 01 Feb 2018 09:11:27 GMT

Da ich ein paar Minuten Zeit habe, hier noch mal ein paar Grundlagen warum - was - wie funktioniert:
1) Es gibt symmetrische und asymmetrische Verschlüsselung
2) Die aktuelle symmerische AES-basierende Verschlüsselung gilt - wenn man sich an die Regeln hält - als absolut unknackbar, egal wie viel Rechenpower man heute hat oder in Zukunft haben wird.
3) Die aktuelle asymmetrische RSA-Verschlüsselung gilt derzeit noch als ungeknackt, es gibt jedoch akademische Ansätze, diese Verschlüsselung mit Quantencomputern zu brechen
4) Es gibt neue Konzepte für asymmetrische Verschlüsselungen, die auf ellyptiptischen Kurven basieren, die auch (nach aktuellem mathematischen Kenntnisstand) für Quantencomputer nicht brechbar sind

5) Symmetrische AES-Verschlüsselung kann rasend schnell durchgeführt werden
6) Asymmetrische Verschlüsselung ist extrem rechenaufwändig in der Durchführung

7) Quantenkryptographie hat mit all dem nichts zu tun, sie basiert auf einem anderen grundkonzeptionellem Ansatz (nämlich der Quantenverschränkung) und ist bis weit in die Zukunft hinein eher ein akademischer Denkansatz, als tatsächlich anwendbare Kryptographie

Warum macht man jetzt was und wie:
Der große Nachteil der symmetrischen Verschlüsselung ist, dass Absender und Empfänger den gleichen Schlüssel kennen müssen, da der gleiche Schlüssel sowohl für die Verschlüsselung als auch die Entschlüsselung verwendet wird. Sämtliche Kryptosysteme bis Ende der 70iger Jahre (egal ob mechanisch oder per Computer) basierten auf einer - irgend gearteten - symmetrischen Verschlüsselung.

Das Problem war (und ist immernoch), wie man den Schlüssel vom Absender zum Empfänger bringt (Codebücher oder was auch immer). Die meisten Angriffsszenarien auf symmetrische Verschlüsselungen basieren schlicht auf dem Diebstahl der Codes (die ja irgendwo stehen, bzw. mitgeteilt werden müssen).
Mit Beginn der siebziger Jahre haben sich Rivest, Shamir und Adleman grundsätzliche mathematische Gedanken darüber gemacht, ob es nicht möglich ist, eine sog. asymmetrische Verschlüsselung zu entwerfen. Das bedeutet, dass man einen anderen Schlüssel zum Verschlüsseln verwendet, als den, den man zum Entschlüsseln verwendet. Bis dahin hielt man das für mathematisch unmöglich. Um's einfach zu sagen: Sie haben's hinbekommen und bewiesen, dass es funktioniert. Die mathematischen Ausarbeitungen sind bis heute die Grundlage von PGP.
Der große Vorteil der asymmetrischen Verschlüsselung ist, dass man seinen öffentlichen Schlüssel (also den, den man zum Verschlüsseln nimmt) "in die Welt hinausposaunen kann". Beim beA kann man diesen Schlüssel für jeden Empfänger beim sog. SAFE-Verzeichnis abfragen. Verschlüsselt man eine Nachricht mit einem solchen Schlüssel, dann kann nur der Empfänger (der den geheimen Schlüssel hat), diese Nachricht wieder dekodieren.
Warum verschlüsselt man nicht einfach alle Nachrichten auf diesem asymmetrischen Wege?
Dafür gibt es unterschiedliche Gründe. Einerseits ist die Mathematik, also das Chiffrieren von Nachrichten unglaublich rechenintensiv und andererseits kann man immer nur komplette Nachrichten verschlüsseln (das funktioniert also nicht mit einem kontinuierlichem Datenstrom (z.B. beim Telefonieren, Telefaxen o.ä.).
Die Lösung:
Eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung.
Wenn eine Nachricht versendet werden soll, dann erzeugt der Computer eine große Zahl an Zufallsbytes (das geht heutzutage ziemlich gut). Mit diesen Zufallsbytes wird die eigentliche Nachricht symmetrisch verschlüsselt. Das geht rasend schnell, egal, wie groß die Nachricht ist. Diese Nachricht kann dann auf einem beliebigen Weg "durch das Netz geblasen werden", keiner kann das dechiffrieren.
Um die Nachricht zu dechiffrieren, braucht man den Schlüssel (also die zuvor erzeugten Zufallsbytes). Dieser Schlüssel ist immer ziemlich klein (1 bis 2 Kilobyte). Der Schlüssel wird jetzt also asymmetrisch verschlüsselt. Dafür holt sich der Computer den öffentlichen Schlüssel des Empfängers (beim beA steht der im öffentlich zugänglichen SAFE-Verzeichnis), verschlüsselt damit den Schlüssel und sendet den ebenfalls zum Empfänger.
Nur der Empfänger kann jetzt die Nachricht dekodieren. Bei der zu dekodierende Nachricht handelt es sich erstmal um den Schlüssel. Der Schlüssel wird also dekodiert. Danach wird mit diesem Schlüssel die eigentliche Nachricht dekodiert.
Wenn man das so macht, dann spricht man von einer Ende-zu-Ende-Verschlüsselung.

Was ist beim beA anders?
Im SAFE-Verzeichnis stehen NICHT die öffentlichen Schlüssel der Empfänger, sondern:
Das beA erzeugt für jeden Empfänger eine neue Kombination bestehend aus öffentlichem und geheimem Schlüssel. Innerhalb seines HSMs speichert das beA den öffentlichen Schlüssel des finalen echten Empfängers sowie das neu - selbst - erzeugte Schlüsselpaar (bestehend aus öffentlichem und privatem Schlüssel). Der vom HSM selbst erzeugte öffentliche Schlüssel wird im SAFE-Verzeichnis öffentlich gemacht.

Wenn nun jemand an jemand anderen sendet, dann übermittelt er den (aus Zufallswerten bestehenden) Kryptokey nicht an den finalen Empfänger, sondern er sendet diesen Kryptokey (verschlüsselt) an das HSM. Nur das HSM kann diesen Kryptokey "auspacken". Genau das macht es und verpackt (chiffriert) ihn danach neu für die finalen Empfänger.
Das HSM "sieht" zwar die ursprüngliche Nachricht nicht, aber es "sieht" die Schlüssel, mit denen diese Nachricht kodiert wurde. Tatsächlich und faktisch wird der geheime Schlüssel also nicht zur ausschließlichen Dechiffrierung durch (bzw. an) den Empfänger verpackt und gesendet, sondern er (der Schlüssel) wird zur Dechiffierung durch bzw. an das HSM (das steht im Rechenzentrum der BRAK) gesendet; das HSM packt den Schlüssel aus, verpackt ihn neu (diesmal für den bzw. die finalen Empfänger) und senden ihn an den bzw die Empfänger. Das gesamte Sicherheitskonzept basiert darauf, dass niemand irgendwie an das HSM rankommt. Sowie das HSM in irgend einer Form kompromittiert wird, sind sämtliche Nachrichten aller Anwälte und aller Gerichte schlagartig dechiffrierbar.
Was macht man als "Geheimdienst"?
Man speichert sämtliche geheimen Nachrichten aller Anwälte und Gerichte, die jemals übertragen wurden (das kostet nur einige 100T€ pro Jahr) und versucht auf irgend einem Wege an das HSM ranzukommen (Erpressung, Sex, Designfehler, Blödheit, was auch immer).
Das HSM ist also der Dreh- und Angelpunkt. Wenn das Ding auf irgend einem Wege "ausgehebelt wird", dann war's das. Blöderweise "war's das" dann auch gleich für alle Gerichte und alle Anwälte. Die gesamte Kommunikation aller ist auf einen Schlag offenliegend. Genau hier liegt ein weiterer wesentlicher Kritikpunkt. Bei einer echten Ende-zu-Ende-Verschlüsselung kann immer nur einer angegriffen werden, d.h. im schlimmsten Fall wird ein Anwalt oder ein Gericht "geknackt", durch den HSM-Einsatz reicht der - erfolgreiche - Angriff auf dieses eine Gerät, um absolut die gesamte geheime Kommunikation aller schlagartig (auch rückwirkend) vollständig zu kompromittieren (offenzulegen).

Abschließend noch ein Argument gegen all die Leute, die sagen, dass Telefaxe und Briefe viel leichter "abzufangen" oder abzuhorchen/zu lesen sind:
Bei Telefaxen, Briefen u.v.m. muss man einen schier gigantischen Aufwand betreiben. Man kann damit immer nur einzelne Personen oder kleine Gruppen ausspionieren. Es ist quasi unmöglich auf diesem Wege sämtliche Post "mitzulesen", schlicht weil niemand alle Briefsendungen aller Anwälte und Gerichte gleichzeitig abfangen kann. Durch die digitale beA-Kommunikation läuft alles in einem singulärem Gerät zusammen. Wenn man das knackt, ist das Mandantengeheimnis für alle Anwälte in Deutschland gleichzeitig gebrochen.
Meiner Ansicht nach ist damit der Einsatz eines HSMs (um eine solche Konstruktion zu bauen) ganz grundsätzlich abzulehnen, denn das Ding müsste schon tatsächlich unendlich sicher sein, da in ihm ja alles singulär zusammenläuft. Und unendliche Sicherheit gibt es nicht, sondern nur Sicherheit nach menschlichem Ermessen (nicht mal kryptographische/mathematische Sicherheit, sondern "nur" menschliche Sicherheit).

Ich hoffe, dass dieser "Ausflug" in das Gesamte für die Neueinsteiger informativ war.

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Thu, 01 Feb 2018 11:06:22 GMT

Kann ich also in einer Metapher wie folgt zusammenfassen:

Wir haben Geldkassetten in einem Geldtransporter.
In diesem Transporter sind die Schlüssel für die Geld-Kassetten wiederum in jeweils weiteren Schlüssel-Kassetten, welche die Besonderheit haben, dass wenn Sie mal geschlossen wurden, nur der Empfänger des Geldes mit seinem einzigartigen Schlüssel diese wieder aufschließen kann.
Damit könnte er die Schlüssel-Kassette aufschließen in welcher er den Schlüssel zu seiner Geld-Kassette findet, um dann das Geld zu entnehmen.
Nun haben wir aber dem Fahrer des Geldtransporters einen Satz Zweitschlüssel für jede Schlüssel-Kassette gegeben und vertrauen darauf, dass er diesen Satz nicht verliert, verkauft, sich stehlen lässt usw.

Stimmt das Bild?

PS: und vielen Dank für die Veranschaulichung. Das wird uns in den nun sicherlich folgenden gerichtlichen Auseinandersetzungen rund ums beA noch helfen.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 01 Feb 2018 11:34:04 GMT

Kann ich also in einer Metapher wie folgt zusammenfassen:
Wir haben Geldkassetten in einem Geldtransporter.
In diesem Transporter sind die Schlüssel für die Geld-Kassetten wiederum in jeweils weiteren Schlüssel-Kassetten, welche die Besonderheit haben, dass wenn Sie mal geschlossen wurden, nur der Empfänger des Geldes mit seinem einzigartigen Schlüssel diese wieder aufschließen kann.
Damit könnte er die Schlüssel-Kassette aufschließen in welcher er den Schlüssel zu seiner Geld-Kassette findet, um dann das Geld zu entnehmen.
Nun haben wir aber dem Fahrer des Geldtransporters einen Satz Zweitschlüssel für jede Schlüssel-Kassette gegeben und vertrauen darauf, dass er diesen Satz nicht verliert, verkauft, sich stehlen lässt usw.
Stimmt das Bild?

Schon ziemlich gut (als Bild), eine kleine Änderung an dem Bild, dann passt es:
Alles ist so, wie Sie es beschreiben, aber es gibt zwei Transporter. Der erste transportiert nur die verschlossenen Geldkassetten (keine Schlüssel, kein garnichts sonstiges).
Alles andere (Kassetten mit den Schlüsseln drin, Ersatzschlüssel zu diesen Kassetten beim Fahrer usw.) ist so wie von Ihnen beschrieben.

Allerdings wissen wir nicht, ob der Transportdienstleister nicht vielleicht doch alles so transportiert, wie von Ihnen in Ihrem Beispiel aufgezeigt, denn er verspricht uns ja nur, dass er das so macht, wie ich es ergänzt habe, prüfen können wir das nicht.

Um das Bild rund zu machen, bringe ich noch eine weitere Stufe rein, die zeigt, wie es tatsächlich läuft:
1) Wir packen das Geld in diese Spezialkassetten und schicken es auf die Reise
2) Die Schlüssel zu diesen Spezialkasseten packen wir in andere Kassetten, die wir abschließen und dem Transporteur übergeben

3) In seinem Panzerwagen schließt der Transporteur die Kassetten mit den Schlüsseln auf, entnimmt die Schlüssel und packt sie in andere Kassetten rein, die wiederum nur der endgültige Empfänger aufschließen kann (diese endgültigen Kassetten kann nicht mal der Transporteur aufschließen, aber das ist auch egal, denn er hat die Schlüssel ja tatsächlich kurzzeitig in der Hand).

Das heißt innerhalb seines Panzerwagens hat der Transporteur die Schlüssel tatsächlich in der Hand, denn er muss sie ja von seiner - nennen wir sie - Transportkassette in die tatsächliche Empfängerkassette umpacken (die BRAK spricht von umschlüsseln).

Wir packen die Schlüssel also nicht in die Kassette, die nur der Empfänger öffnen kann, sondern wir packen die Schlüssel in eine Kassette, die nur der Transporteur öffnen kann, und der wiederum entnimmt sie und packt sie dann in die Kassette, die tatsächlich nur der Empfänger öffnen kann.

Wir vertrauen darauf, dass bei all dem nichts schief geht.

Eine Ende-zu-Ende-Verschlüsselung hat als Grundgedanke "wir mistrauen dem Boten". Vollkommen egal was passiert, an die Daten kommt niemand ran. Sowie man dem Boten vertrauen muss - oder der von ihm eingesetzten Technik - ist es keine Ende-zu-Ende-Verschlüsselung mehr.

Wenn Sie bei Ihrem Beispiel (was ich wirklich gelungen finde) dem Fahrer keinen Schlüssel geben würden und er auch diese komische Umpackerei nicht machen würde (bzw. nicht mal machen könnte, weil er ja keinen Schlüssel hat), dann entspräche das dem State of the Art einer echten Ende zu Ende Verschlüsselung.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 01 Feb 2018 11:53:49 GMT

Um bei meiner Ergänzung zu bleiben und Ihre wunderbare Metapher zu erweitern:
Wir finden den Transportdienstleister total nett, und seine Panzerwagen sehen auch wirklich klasse aus und sind immer sehr sauber und sein Security-Team wird regelmäßig geschult und alles ist zertifiziert..
Leider passiert es jedoch irgendwann, dass jemand von der Putztruppe es schafft, eine kleine Kamera im Inneren des Panzerwagens zu platzieren. Diese Kamera schaut jetzt immer zu, wie die Schlüssel im Panzerwagen ausgepackt und in andere Kisten umgepackt werden. Und weil die Kamera wirklich sehr gute Bilder macht und man auf den Bildern der Kamera die Schlüssel gut erkennen kann, kann man basierend auf den Aufnahmen der Kamera neue Schlüssel "nachmachen". Und weil die Kamera wirklich auch noch extrem klein ist, wird sie natürlich auch nicht gefunden.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 01 Feb 2018 13:08:01 GMT

Twitter-Post von Heute:

Tim Proll-Gerwe‏ @tpgerwe 4 Std.Vor 4 Stunden
Beim #beA haben wir der #BRAK unsere Hilfe angeboten, sie war nicht gewollt - das sagt @ArneSchoenbohm, Präsident des @BSI_Presse, auf dem #UJK18 in Berlin. @BUJ_eV #unternehmensjuristenkongress

Daz fällt einem doch nichts mehr ein. Das BSI hat der BRAK Hilfe angeboten und die BRAK hat abgelehnt. Kommt mir irgendwie bekannt vor...

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Thu, 01 Feb 2018 21:33:51 GMT

Heutige Info Veranstaltung in Berlin, wie es mit dem beA weitergeht:

https://www.youtube.com/watch?v=_qsoEVn8tBA

Die erste Zuschauerfrage nach rund 40 Minuten bei

Zeitstempel: -122:30

Klare Antwort. Das HSM ist der zentrale Punkt schlechthin

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Fri, 02 Feb 2018 12:11:06 GMT

Die RAK-SH informiert:

Sehr verehrte Kolleginnen und Kollegen,

wie Sie alle wissen, hat sich die Bundesrechtsanwaltskammer zum Jahresende veranlasst gesehen, das beA vom Netz zu nehmen, nachdem Markus Drenger, Mitglied des Chaos Computer Club Darmstadt, unmittelbar vor Weihnachten in der gesonderten Software für die Anmeldung zum Postfach, im sogenannten clientSecurity System, einen Schwachpunkt beim Sicherheitszertifikat entdeckt und die Bundesrechtsanwaltskammer entsprechend unterrichtet hatte. Nicht nur für die Bundesrechtsanwaltskammer als Projektentwickler, sondern für die gesamte Anwaltschaft ist es ärgerlich, dass das beA unmittelbar vor Beginn der passiven Nutzungspflicht am 01. Januar 2018 einstweilen abgeschaltet werden musste. Die Abschaltung des beA und die in diesem Zusammenhang erschienenen Presseberichte haben bei vielen von Ihnen für Unruhe, Verunsicherung und Verärgerung gesorgt.

Besonders misslich war, dass die Bundesrechtsanwaltskammer zunächst am 22.12.2017 empfohlen hatte, ein vom Dienstleister Atos ersatzweise bereitgestelltes Sicherheitszertifikat zu installieren, und noch am selben Tage die Firma Atos die Bundesrechtsanwaltskammer darauf hinwies, dass mit dem Ersatzzertifikat eine neu entstandene Sicherheitsproblematik dahin verbunden sei, dass der Rechner des einzelnen Nutzers angreifbar und damit unsicherer werde, so dass sich die Bundesrechtsanwaltskammer gezwungen sah, die sofortige Deinstallation des Ersatzzertifikates zu empfehlen und in Abstimmung mit der Firma Atos das beA vom Netz zu nehmen.

Wegen der beA-Abschaltung fand am 09. Januar 2018 eine außerordentliche Präsidentenkonferenz in Berlin statt, in der alle regionalen Kammern vertreten waren. Zeitweise waren auch Vertreter der Firma Atos anwesend zwecks Beantwortung von Fragen der Konferenz-Teilnehmer.

Auf der sechsstündigen Sitzung hat zunächst das Präsidium der Bundesrechtsanwaltskammer die Entwicklung der Ereignisse seit dem 20. Dezember 2017 (Mitteilung des Herrn Drenger über den Schwachpunkt des Sicherheitszertifikates) ausführlich berichtet. Sodann haben die Präsidenten der 28 Rechtsanwaltskammern und das Präsidium der BRAK über den beA-Sachstand und die Wiederinbetriebnahme des beA eingehend diskutiert. Ergebnisse sind:
Das Präsidium der Bundesrechtsanwaltskammer hat die Firma Atos angewiesen, mit Hochdruck an Lösungsmöglichkeiten zur Wiederinbetriebnahme des beA zu arbeiten.
Sicherheit geht allerdings vor Geschwindigkeit. Die Bundesrechtsanwaltskammer hat deshalb nicht nur einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Experten mit der Prüfung des beA-Systems beauftragt, sondern hat weitere externe Experten in den weiteren Entwicklungsprozess eingebunden.
Das beA-System wird erst wieder Online gehen, wenn die Firma Atos ein tragfähiges Konzept entwickelt hat und alle sicherheitsrelevanten Fragen eindeutig geklärt sind.
Alle Kollegen-Anfragen sollen nach Möglichkeit binnen 10 Tagen schriftlich beantwortet werden.
Die Wiederinbetriebnahme des beA wird die Bundesrechtsanwaltskammer mit einer angemessenen Vorlaufzeit allen Kolleginnen und Kollegen ankündigen.
Leider kann momentan niemand sagen, wann das beA-System wieder online geschaltet wird. Alle Kammer-Präsidenten und das Präsidium der BRAK haben sich einhellig dafür ausgesprochen, das beA erst wieder in Betrieb zu nehmen, wenn eine verlässliche und sichere Kommunikation über das beA gewährleistet ist. Bitte bedenken Sie, dass die auf der Präsidentenkonferenz vereinbarte Sicherheitsüberprüfung durch externe Experten geraume Zeit in Anspruch nehmen wird.

Das Präsidium der BRAK und die Atos-Vertreter haben versichert, dass das eigentliche beA-System zu keiner Zeit „gehackt“ worden sei, so dass diejenigen Kollegen, die das beA-System bereits vor der Abschaltung genutzt haben, nicht befürchten müssen, dass unbefugte Personen über das beA versandte Dokumente eingesehen und missbräuchlich verwendet haben könnten.

Für die Anwaltschaft besteht auch kein Grund zur Sorge im Hinblick auf die seit dem 01. Januar 2018 geltende passive Nutzungspflicht hinsichtlich des beA. Die Bundesrechtsanwaltskammer hat das Bundesjustizministerium sowie alle regionalen Justizminister bzw. -senatoren über den Ausfall des beA schriftlich informiert. Auch den Gerichten ist bekannt, dass das beA zurzeit nicht genutzt werden kann. Eine Zustellung von Schriftstücken über das beA ist bis auf Weiteres nicht möglich. Niemand von Ihnen muss befürchten, dass im beA-Postfach wirksame Zustellungen von Behörden oder Gerichten „schlummern“.

Schließlich appelliere ich an Sie, das beA nicht zu verdammen. Die Vernetzung von 165.000 Rechtsanwältinnen und Rechtsanwälten in der gesamten Bundesrepublik ist eine Herkules-Aufgabe. Wie die Erfahrung zeigt, muss bei jedem Mega-Projekt mit Startschwierigkeiten gerechnet werden. Mit der Entwicklung des beA-Projekts führt die Bundesrechtsanwaltskammer lediglich einen ihr vom Bundesgesetzgeber übertragenen Auftrag aus. § 31 a BRAO bestimmt, dass die Bundesrechtsanwaltskammer für jedes im Gesamtverzeichnis eingetragene Mitglied einer Rechtsanwaltskammer ein besonderes elektronisches Anwaltspostfach empfangsbereit einrichtet.

Weder die Bundesrechtsanwaltskammer noch die regionalen Kammern haben die im Zusammenhang mit dem beA aufgetretenen technischen Probleme zu vertreten. Die alleinige Verantwortung liegt bei dem von der Bundesrechtsanwaltskammer beauftragten technischen Dienstleister Atos. Die Firma Atos hat dafür zu sorgen, dass das beA so schnell aber auch so sicher wie möglich wieder an den Start gehen kann.

Das Präsidium der Bundesrechtsanwaltskammer hat eingeräumt, dass in der Kommunikation mit den regionalen Kammern und somit auch mit Ihnen Fehler gemacht worden seien. Dafür hat sich das Präsidium entschuldigt. Diese Haltung verdient Respekt. Die Kommunikation mit Ihnen ist bereits verbessert worden. Ich verweise insoweit auf die Ihnen seit dem Jahresanfang bekanntgemachten Rundschreiben der Bundesrechtsanwaltskammer. Auch zukünftige Mitteilungen der Bundesrechtsanwaltskammer zum beA werden Sie sogleich über unsere Geschäftsstelle erhalten, so dass Sie stets auf dem Laufenden sind.

Abschließend wünsche ich Ihnen, auch im Namen meiner Kolleginnen und Kollegen im Präsidium, Vorstand und in der Geschäftsführung der Schleswig-Holsteinischen Rechtsanwaltskammer ein wirklich gutes neues Jahr 2018, insbesondere Gesundheit, Glück und Erfolg.

Mit freundlichen und kollegialen Grüßen

Ihr

Jürgen Doege
Präsident

Wäre ich hier mandatiert, hätte ich Atos bereits aufgefordert, deren Einstandspflicht dem Grunde nach anzuerkennen...

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 02 Feb 2018 12:50:43 GMT

Ich finde es immer wieder interessant, wenn sich jemand entschuldigt. Man kann um Entschuldigung bitten, gewährt wird sie jedoch von jemand anderem. Sich selbst zu entschuldigen hat schon etwas, nunja ...
Zur Schuldfrage: So ganz einfach ist die nicht zu beantworten, wie sich gestern auch auf der Veranstaltung des DAVIT in Berlin zeigte (Link zum Stream bzw. Video hatte ich gepostet). Dort wird relativ umfangreich auf die Schuldfrage eingegangen und die ist sehr episch sowohl von den Verträgen (sic! man muss zwischen Erstellungs- und Betreibungsvertrag unterscheiden) sowie möglichen Abnahmen oder Nebenabreden oder sonst noch was abhängig. Da all dies nicht bekannt ist, kann man schlicht nicht sagen, wer die Schuld trägt.
Es scheint auch irgendwie absolut in den Sternen zu stehen, wann es weiter geht. Es scheint jedoch der sehr ausgeprägte Wille vorhanden zu sein, das Ding wieder irgendwie zum Laufen zu bringen und mit den aufgeworfenen Fragestellungen einfach so erstmal zu leben.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 02 Feb 2018 13:03:18 GMT

Wäre ich hier mandatiert, hätte ich Atos bereits aufgefordert, deren Einstandspflicht dem Grunde nach anzuerkennen...

Und Sie glauben, dass ein Milliardenkonzern einfach mal so sagt "klar, machen wir"? Die wären nicht so groß geworden, wenn ihre Rechtsabteilung inkompetent wäre.

Re: beA - neue Infos von der BRAK-Sitzung

RAHagena — Fri, 02 Feb 2018 13:45:31 GMT

Mit der Entwicklung des beA-Projekts führt die Bundesrechtsanwaltskammer lediglich einen ihr vom Bundesgesetzgeber übertragenen Auftrag aus. § 31 a BRAO bestimmt, dass die Bundesrechtsanwaltskammer für jedes im Gesamtverzeichnis eingetragene Mitglied einer Rechtsanwaltskammer ein besonderes elektronisches Anwaltspostfach empfangsbereit einrichtet.

Da könnte man ja glatt glauben, es wäre der BRAK aufgezwungen worden... wurde es nicht.

Re: beA - neue Infos von der BRAK-Sitzung

rahayko — Fri, 02 Feb 2018 14:29:28 GMT

Nein, hab ich auch noch nie erlebt, Ist aber der Auftakt zu einem wunderschönen Klageverfahren. Und von der Größe hab ich mich noch nie abschrecken lassen. Nicht die Großen fressen die Kleinen, sondern die Schnellen die Langsamen.

Re: beA - neue Infos von der BRAK-Sitzung

akoppel — Fri, 02 Feb 2018 15:11:06 GMT

Ich glaube nicht, dass das zu einem Klageverfahren kommt, die Verhandlungen müssten nämlich (so denke ich) öffentlich sein und da hat die BRAK sicherlich deutlich weniger Interesse dran als Athos. Die Gefahr, dass da Versäumnisse seitens der BRAK hochkommen ist imho unglaublich groß. Wenn man dann an die Folgeketten denkt (wer hatte nochmal die Aufsicht über die BRAK) und ggf. dies auch thematisiert würde.... Nein, ziemlich klarer Fall, man wird versuchen, das möglichst lautlos zu erledigen.