Man möchte ja nicht wissen, welche IT-Experten da mit Rat und Tat als Consultants zur Verfügung gestanden haben.....

Zumindest sollten die beteiligten Personen bei einem Projekt dieser Größenordnung nun ausgesorgt haben. Wie sagt man so schön: Nach mir die Sinnflut...

Derzeit kann es passieren, dass Anwälte, die mit dem beA auf denselben Server zugreifen, auch das Postfach ihres Kollegen sehen können. Das stellt keine Sicherheitslücke dar, weil weder die Inhalte der Postfächer die Sphäre der Kanzlei verlassen noch Externe unberechtigt Einblick in das Postfach nehmen können.

Das sehe ich anders. Wenn jemand anderes (und sei auch nur ein Kollege) ohne mein Wissen in meine Post gucken kann, dann ist das (für mich als Laien) ein Verstoß gegen das Brief- / Postgeheimnis.

Vermutlich (ohne es überprüfen zu können) ist aber so, dass der Andere nach der Anmeldung das Postfach seines Kollegen auswählen könnte, mangels nicht vorhandener Berechtigungen, aber nicht drauf zugreifen kann.

Das ist nicht schön, wäre dann aber in der Tat kein Sicherheitsproblem.

Ich kann mir vorstellen wie das abgelaufen ist:

[Satire]

Consultant: Sollen wir auch moderne Multi-User-Umgebungen beachten?

BRAK: Geht das denn?
Consultant: Ja, aber ist das aufwändig und teuer.

BRAK: Dann lassen wir es. Das ist sicherer.

[/Satire]

Und jetzt freut sich der Entwickler über einen Erweiterungsauftrag.

Frage mich auch ein wenig wie man das organisatorisch lösen soll. I.d.R. sind Terminalserver nach Lastausgleich konfiguriert. Soll ich den Leuten sagen das sich morgens bitte erst der Reihe nach die Anwälte anmelden sollen, damit die alle auf unterschiedlichen Maschinen landen?

Man muss das eben (im Zweifel) organisatorisch regeln. Das hat aber nichts mit beA zu tun sondern betrifft schon jetzt die entsprechenden Prozesse.

Man hat es m.E. einfach verpennt, sämtliche "üblichen, normalen" Szenarien ins Pflichtenheft aufzunehmen. Falls es ein Pflichtenheft jemals gegeben hat...

Wenn die BRAK schreibt:

"Derzeit kann es passieren, dass Anwälte, die mit dem beA auf denselben Server zugreifen, auch das Postfach ihres Kollegen sehen können. Das stellt keine Sicherheitslücke dar, weil weder die Inhalte der Postfächer die Sphäre der Kanzlei verlassen noch Externe unberechtigt Einblick in das Postfach nehmen können."

ist das - höchstens - die halbe Wahrheit. Egal wer die bea-Anmeldung im WTS-Umfeld mit Web-Client startet (das können Mitarbeiter oder auch die Reinigungskraft mit ihrer Scheckkarte im Leser in einem unbeobachteten Moment sein) löst den Anmeldebildschirm beim "Erstuser" aus - gibt der (z.B. weil er gerade im beA arbeitet und glaubt der Auslöser zu sein) die Daten ein, ist´s passiert.

Ich halte die Kommunikationsstrategie der BRAK für mindestens so gefährlich wie die Beratung der BRAK durch deren IT-Dienstleister falsch war - Pflichtenheft hin oder her. Wer ein hochsicheres System entwickeln soll, braucht zur Vermeidung eines solchen Szenarios m.E. keine besondere Pflicht im Heft. Konsequenter Weise waren die ersten Security-Clients so "gestrickt" dass der "Folge-Anmelder" sich entscheiden musste, ob er nutzen will und damit den "Erst-Anmelder" rauswirft - das war eine Anmeldeabfrage, die ist spätestens seit der 3.1.3.0 "rausprogrammiert".

Hallo zusammen,

wir haben soeben die ClientSecurity an einem 2012 (ohne R2) WTS installiert.

Als administrator okay, das Zertifikat wird installiert (im "Benutzerkonto" und nicht als Computer-Zertifikat (?), kann gestartet werden aber sobald auch andere Nutzer die ClientSecurity starten, kommt die Meldung, dass Port 9998 schon belegt ist.

Habe auf die Schnelle nichts zu WTS-Fähigkeit gefunden, bin einfach mal davon ausgegangen.

Muss ich die Software also lokal schön an jedem einzelnen PC installieren? Oder war ich nur zu doof immer auf weiter zu klicken?

Allein, dass die Abfrage kommt, ein Zertifikat zu installieren. Zumutung für die Anwender . Als wenn DATEV zur RZ-Kommunikation sowas machen würde. Unfähige ...

Danke für Rückmeldung aktueller beA Anwender!

M.E. wird doch beA gar nicht im WTS-Umfeld unterstützt (soll doch erst im 1.Q 2019 kommen).

Und W2012 (ohneR2) ist doch auch nicht mehr unterstützt, oder? Zum Testen geht's wohl schon...

Die Meldung ist die gleiche, die letztes Jahr auch schon kommt. Einer oder keiner....

Danke Herr Hofmeister! Zwar nicht das, was ich hören wollte aber was ich vermutet hatte.

Was für ein Hin- und Her. Erst keine WTS-Fähigkeit, dann schon, dann wieder nicht, dann erst Q1 2019.

Jedes Startup aus den USA mit 3 Leuten würde eine bessere und sichere Software entwickeln. Katastrophe!

Happy Friday allen da draußen

EDIT: andreashofmeister​: Wie ist das denn dann mit der DVD 12.0 und der beA Integration am Terminalserver? Muss/kann/soll man dann die Client Security am WTS trotzdem installieren, da diese als Kommunikationsweg zwischen DATEV und beA gebraucht wird? Oder kann man das beA dann nicht mit DATEV nutzen?

Kurze Antwort: beA läuft (noch) nicht im WTS-Umfeld.

Das hat nichts mit DATEV zu tun. Oder mit anderen RA-Softwarehäusern...

Aber bringt auch nix darüber zu schimpfen (nicht persönlich sehen). Schont Nerven....

Sie können natürlich testen. Geklappt hat das alles mal. Allerdings auch nur mit einem User. Kam/Kommt der zweite, gabs die von Ihnen festgestellte Meldung (sinngemäß).

Bei uns funktioniert das beA aus DATEV Anwalt Classic heraus auf einem Terminalserver recht gut. Ich habe seit Mittwoch schon über 20 Schriftsätze an Gerichte verschickt und auch jede Menge Nachrichten empfangen. Auch meine Mitarbeiterinnen konnten die Nachrichten abrufen. Hier und da hat es mal Probleme gegeben, aber ob das an der TS-Umgebung liegt oder schlichtweg an der Tatsache, dass die DATEV-Software ganz neu ist und kaum im täglichen Betrieb getestet werden konnte, weiß ich nicht.

LEXinform/Info-Datenbank online (Punkt 3.8)

"Die Client Security Software der Bundesrechtsanwaltskammer (BRAK) wird mit einer festen IP-Adresse an einem bestimmten Port des Servers (9998) gestartet. Wenn sich ein zweiter Rechtsanwalt am beA-Webclient der BRAK anmeldet, ist der Port damit schon belegt. Das heißt, in einer Kanzlei ist keine 2. Sitzung durch einen weiteren Rechtsanwalt parallel zur 1. möglich. Grund: Der Server erkennt, dass der Port schon einmal belegt ist und eine entsprechende Sitzung läuft. Pro Terminalserver kann daher immer nur ein Rechtsanwalt die Client Security Software der BRAK starten und damit den beA-Webclient nutzen.

Technische Lösung: Durch eine IP-Virtualisierung bekommt jede Windows Terminalserver Session eine eigene IP-Adresse. Damit sollten die Client Security Software für jede IP-Adresse separat laufen und mehrere gleichzeitige Zugriffe möglich sein."

Puh...

Der wichtigste Satz wurde da aber vergressen.

... Tests bei zunächst einem Kunden führten allerdings trotz eingestellter IP Virtualisierung nicht zum gewünschten Ziel. ...

Aber immerhin:

... Die BRAK hat in Aussicht gestellt, sich um das Problem zu kümmern. ...

Ah, okay. Gut zu wissen, was technisch alles geht. Scheint auch nur eine GPO Einstellung zu sein. Hm, ob das dauerhaft zuverlässig funktioniert? Und insbesondere, ob das auch mit DATEV funktioniert? Hat das jemand schon mal getestet? Dann läuft beA aber DATEV sagt sich, "waaas, ein TS mit 15 IPs? Da stimmt was nicht" .

Das läuft i.d.R. zuverlässig. Eine andere Abteilung bei uns musste das seinerzeit mit "ihrer" Software nutzen.

DATEV dürfte sich AFAIK nicht daran stören.

Dann läuft beA aber DATEV sagt sich, "waaas, ein TS mit 15 IPs? Da stimmt was nicht" .

Und dann hat man ne Farm von 30 TS mal 15 IP Adressen...

Dann läuft beA aber DATEV sagt sich, "waaas, ein TS mit 15 IPs? Da stimmt was nicht" .

Und dann hat man ne Farm von 30 TS mal 15 IP Adressen...

Dann hat man i.d.R. aber auch ein entsprechendes IPAM bzw. hat sich vorher schon Gedanken um das Netzwerkdesign gemacht.

Seit neuem muss ich bei uns auf dem Terminalserver mit Windows 2012 R2 die beA Client Software nicht mehr extra starten (und danach beenden, weil immer nur ein Benutzer/Profil gleichzeitig ging).

Hat das auch jemand festgestellt? Gibt es hier also fortschritte, und wenn ja: was hat sich geändert?

Gerade lese ich im neuesten beA-Newsletter (26/2019)

"Mit der neuen Version wird die beA-Webanwendung auch in einer Terminalserverumgebung einsetzbar sein. Auch die von der Präsidentenkonferenz der Bundesrechtsanwaltskammer vom 27.6.2018 beschlossenen Härtungsmaßnahmen hinsichtlich der Hardware Security Module und Änderungen an der Kanzleisoftware-Schnittstelle, u.a. zur verbesserten Rechteverwaltung, werden mit der Version 2.2 realisiert."

Es geschehen noch Zeichen und Wunder.

Ich hoffe, die Änderungen der Kanzleisoftwareschnittstelle wurden von der BRAK bereits vorab zur Verfügung gestellt.

IWO, da müsste ja einer mitgedacht haben.

hallo Andreas,

ja, da sind wir mal gespannt, ob und ggf. wie bzw. mit welcher weiter erforderlichen Konfiguration im Netz das funktioniert.

Ich bin nicht wirklich zuversichtlich - die BRAK hat j auch einen neuen Client für die Softwarehersteller ausgeliefert und der funktioniert schon mal nicht.

Das ganze ist und bleibt ein „Anwälte forschen„ System. Wenn bei so einer großen und wichtigen Sache Unvermögen, Geheimnistuerei und Geltungssucht sich gleich am Anfang so breit machen, ist der Weg zu einer funktionierenden und vernünftigen Lösung maximal schwierig.

Schade eigentlich - hätte mit der richtigen Herangehensweise ein „Leuchtturm-Projekt“ werden können.

Und was mich ein wenig nervt - gefühlt bin sind wir die einzigen, die das System nutzen. Obwohl ich an die Teilnehmer des Systems nur noch auf diesem Weg übermittele, erhalte ich zu 99% immer noch per Fax oder Briefpost bzw. Unverschlüsselter Mail Antwort.

Hallo Michael,

Ich bin halt grenzenloser Optimist .

Die von Dir geschilderte Erfahrung kann ich bestätigen.  Ich habe bisher nur von einer einzigen Kollegin eine (1) beA-Nachricht erhalten.

Das mit den Leuchtturmprojekten wird in Deutschland und Europa sowieso nichts mehr.  Zwischenzeitlich schaffen es sogar die Inder, als Schwellenland, zum Mond; Europa hat es in 50 Jahren nicht geschafft auch nur einen Menschen in einem eigenen System ins All zu transportieren; aber das ist ein ganz anderes Thema.

Hallo Michael,

wir bekommen tatsächlich auch schon "Anwaltspost" per beA. Vereinzelt.

Nicht schön sind die monatlichen Spam-Attacken der RAK Celle. Da haben wir dann ganz schnell drölfzig Benachrichtigungen und beA-Nachrichten identischen Inhalts, die dann noch nicht mal individuell adressiert sind. Aber auch das ist eigentlich off topic.

Viele Grüße

Alf

Ich habe tatsächlich Tränen in den Augen. Ja kann es denn sein... wirklich... echt jetzt? Deutschlands Vorzeigeprojekt Nummer 1 ist nach über einem Jahr seit Inbetriebnahme endlich auf einer seit Jahren völlig verbreiteten Terminalservertechnik lauffähig. Hach, das ist grad wie Weihnachten.

ich halte es eher mit dem englischen "don't wet your panties", wir sind es ja gewohnt, dass zwischen Ankündigung und tatsächlicher Funktionsfähigkeit gelegentlich ein längerer Zeitraum liegen kann.

Hallo,

seit heute prangt ein beA-Icon auf den Desktops unserer WTS-Sitzungen. Die Version ist auf 3.3.1.1 abgehoben und die bea-brak.de wird beim unaufgeforderten (Auto-)Start der beA-Client-Security nach der Anmeldung auch gleich geöffnet.

Finde ich alles ziemlich grenzwertig. (Microsoft würde man sowas nicht verzeihen).

Jedenfalls "findet" die website dafür die beA-client-security nicht und ich kann die Web-Anwendung nicht starten.

Toll! Nicht!

(Warum müssen wir Anwälte eingentlich mit frickeliger Beta-Software arbeiten?)

Viele Grüße

Alf Zedler

Schon gelesen?

BeA: Besonderes elektronisches Anwaltspostfach kann kein Deutsch - Golem.de

(Warum müssen wir Anwälte eingentlich mit frickeliger Beta-Software arbeiten?)

weil wir Anwälte doch gar nicht wissen, was man mit diesem grauen - pardon weißen - Kasten auf dem Schreibtisch alles machen kann.  Wir haben doch alle noch unsere guten alten Papierakten und Diktieren unser Schreiben auf Magnetbänder.