Lese ich den Bericht der RAK HH wird für mich das Bild immer bestürzender:

zwei besonders auffällige Punkte

jetzt will die BRAK bereits 2015 an den CCC herangetreten sein(?!?).  Der CCC hätte sich nicht bereit erklärt, die Testergebnisse der BRAK zur Verfügung zu stellen.  Ich hatte 2015 um Mitteilung gebeten, wie Sicherheit gewährleistet wird und bereits auf einige Schwachstellen hingewiesen.  Leider habe ich keinen Hinweis erhalten, aus dem ich hätte erkennen können, dass die externe unabhängige Überprüfung erfolgen soll.

Nachdem der CCC seine Testergebnisse im Dezember 2017 bekannt gegeben hat, scheint die BRAK gemauert zu haben. So habe ich jedenfalls den Vortrag auf der 34C3 verstanden?  Eine der beiden Seiten scheint sich nicht mehr genau an den Sachverhalt zu erinnern.

Die Implementierung des HSM würde keine Funktionalität enthalten die Schlüssel im Klartext exportiert.  Im "normalen" Betreib sei ein Zugriff auf die Schlüssel nicht möglich.  Selbst wenn ich zu gute halten möchte, dass im Normalenbetreib ein Auslesen der Schlüssel nicht erfolgen könne, frage ich mich, was im "Nicht"-Normalen Betreib möglich ist.

Weiter Frage ich mich, was mit den Schlüsseln der Karten ist, die - warum auch immer - für ungültig erklärt wurden oder verloren gegangen sind.  Diese Schlüssel würden sich im HSM ansammeln und könnten ggf. mißbraucht werden.

mein Blutdruck steigt schon wieder.

Die lustigen Verantwortlichen waren wahrscheinlich dadurch beruhigt, dass sie ja ein "High-Security"-Modul haben, da kann dann ja nichts passieren...
Wie siehts eigentlich mit Minderung gegenüber ATOS aus? Die haben ja offenbar eine schwer mangelhafte Leistung erbracht?!

Wozu sollten überhaupt private Schlüssel der Anwälte auf der HSM gespeichert sein?

Wenn ohnehin keine Ende-zu-Ende-Verschlüsselung gemacht wird, kann der Absender die Mails mit dem öffentlichen Schlüssel der Box verschlüsseln. Die Box entschlüsselt dann und verschlüsselt wieder mit dem öffentlichen Schlüssel des Empfängers.

So blieben wenigstens die privaten Schlüssel geheim.

Ich setze mich mal ins Glashaus und behautpte:  Atos hat genau das gemacht, was die BRAK bestellt hat.

Wäre möglicherweise ein Lösung; aber wir haben doch eine End-to-End Verschlüsselung.

Ich habe keine Ahnung, wie die Bestellung genau gelautet hat, aber ich kann mir nicht vorstellen, dass die Verantwortlichen so viel Ahnung haben, dass sie die Anforderungen so genau stellen konnten (Java, browserbasiert, HSM etc.). Selbst wenn würde ich von einer guten Software-Schmiede erwarten, dass die das nicht so sinnlos umsetzen...

Müsste dieser Auftrag nicht ausgeschrieben worden sein? Und könnte man dann nicht nach dem IFG Einsicht nehmen?

Jedenfalls würde das "nur" die Erkenntnis bringen, was in der Vergangenheit falsch gelaufen ist.

Wichtig wäre jetzt, für die Zukunft Lösungen anzubieten. Was nützt es da, wenn noch ein IT-Unternehmen bestätigt, was der CCC ohnehin schon herausgefunden hat. Oder sucht man hier nur nach einem Feigenblatt?

Vielleicht besteht ja noch die Hoffnung, dass sich der CCC getäuscht ahben könnte und das System, wie es implementiert wurde "super optimal" ist.

Es sind nicht nur wir "Insider" die sich wundern:

Anwaltspostfach beA: FSFE und CCC fordern Veröffentlichung des Quellcodes - SPIEGEL ONLINE

Wenn ich mich an den Vortrag des Herrn Degner auf dem 34C3 richtig erinnere, hat er versucht über das IFG von der BRAK die entsprechenden Auskünfte zu erhalten.  Diese seien aber unter Hinweis auf Geheimhaltung verweigert worden.  Der Auftrag wurde wohl auch nicht wirklich öffentlich ausgeschrieben.

Je länger ich die Erklärungen der BRAK auf mich einwirken lasse, je mehr verstärkt sich mein Eindruck, dass versucht wird ein System zu retten, das nicht mehr zu retten ist.  Dabei sind sich die Beteiligten wohl nicht bewußt dass nichts mehr zu retten ist, oder sie sind in der Notwendigkeit gefangen, das System "irgendwie" zum laufen zu bringen um der gesetzlichen Verpflichtung zu genügen.

Das zu suchende Feigenblatt wird jeden Tag größer.

mfkg

Andreas G. Müller

Hallo,

je mehr ich als interessierter Laie zum Thema lese, umso klarer werden zwar einzelne Details, nur das Grundsätzliche erschließt sich mir nicht.

Offenbar gibt es seit langem das EGVP, das auch weiterhin der Kern der Infrastruktur

bleibt.

Die Weiterentwicklung des Clients wurde (ohne dass ich Gründe gefunden hätte)

eingestellt.

Mit dem Governicus-Client gibt es wohl aber einen nahezu 1:1 Ersatz.

Das System ist grundsätzlich dazu ausgelegt, von der Behörden-internen Kommunikation bis zum e-Government alles abzudecken, und wird/wurde auch von Berufsträgern genutzt.

Welchen Nutzen hat denn nun das verpflichtende Andocken eines besonderen Anwalts- / Notarpostfachs ?

Ein Kritikpunkt ist ja, dass der Anwalt/Notar in Person authentifiziert wird, "Post" also nicht vertretungsweise gelesen werden kann.

Wie sieht eigentlich die Infrastruktur auf Seiten der Gerichte / Behörden aus,

muß dort auch jeder MA eine eigene Signaturkarte haben ?

Oder ist dort, ander als in der Kanzlei, "das Gericht" der Empfänger / Absender ?

Sorry falls meine Fragen hier zu "offtopic" sind ...

Hallo Herr Kettner,

Sie legen die Finger genau in die "richtige" Wunde.  Das EGVP / Governikus war, wie sein Name (Elektronisches Gerichts- und Verwaltungspostfach) nahelegt, historisch für die Kommunikation mit "staatlichen Stellen" gedacht.

Warum jeder Berufsstand ein eigenen "besonderes" Postfach benötigt, kann Ihnen wohl nur der entsprechende Interessenvertreter im BMVJ erklären.

Bei der Justiz - hier kann ich "nur" für unser Amtsgericht sprechen - laufen alle Nachrichten in der Wachtmeisterei ein.  Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt.  Möglicherweise wird sich dies mit Einführung der digitalen Gerichtsakte ändern und die Nachrichten werden unmittelbar von der Geschäftsstelle eingelesen, hier will ich jedoch ein großes Fragezeichen machen.

Das könnte auch der Grund für die "spezielle" EndeZuEnde-Verschlüsselung sein.

- laufen alle Nachrichten in der Wachtmeisterei ein. Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt.

Dann fände auch in der "Wachtmeisterei" ein "Bruch" der end2end-Verschlüsselung

statt, wie in den HSM´s der BRAK ...

(editiert / nochmal edit - Ich verstehe nicht, wie ein anserer als der ursprünglich bestimmte Empfänger die Nachricht lesen /entschlüsseln kann)

Warum ein neues Postfach gebraucht wurde ist ganz einfach: Alles andere wäre viel zu billig gewesen und der Vorsitzende der Notars-Kammer fährt ein viel größeres Auto...

hier ein Link mit einem Bericht von der gestrigen beA-Veranstaltung des DAV

https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-beagate-experten-diskussion-deutscher-anwaltverein/

sehr sachlich und informativ

Das ist ja lustig.

Mit Nina habe ich zusamen fürs 2. Stex gebüffelt.

ja...?

So wie ich Nina kenne, weiß sie, wovon sie redet.

Hallo ,

am 5.3.2018 veranstaltet der EDV-Gerichtstag ein Symposium. Da geht es darum, zu diskutieren, wie künftig ein praxisorientiertes beA aussehen sollte. Hier der Link zu der Veranstaltung

https://www.edvgt.de/veranstaltung/save-the-date-bea-mit-besserer-software-und-optimierter-ausrichtung-auf-den-kanzleialltag/

Viele Grüße aus Nürnberg

Sabine Ecker

Hallo Community,

hier nochmals als eine Zusammenfassung der Fehler und der bis 17.1. aktuellen Informationen dazu.

https://lookaside.fbsbx.com/file/beA%20-%20Fragen%20und%20Antworten.pdf?token=AWyeZtHQKWqHr_FoPUjVHzuBb1u4aBn3LznAl4kHEw…

Die Datei soll von der RAK Hamm zusammengestellt worden sein.

Ausserdem wurde heute bekannt, dass ATOS und deren Subunternehmer NICHT am beAthon teilnehmen werden. Bundesrechtsanwaltskammer ~ Presseerklärung 03/2018

Das hört sich sehr danach an, dass das Tischtuch zwischen BRAK / ATOS nun wohl zerschnitten ist. Ob das der Sache dienlich ist? Aber wahrscheinlich ist’s  einfach zwangsläufig!

Und hier noch ein Video-Mitschnitt der Konferenz vom DAV auf den Seiten der LTO

https://www.lto.de/index.php?id=1887

sowie die zugehörige Tagesordnung des DAV

https://digital.anwaltverein.de/files/clients/digital.anwaltverein.de/downloads/elektronischer_rechtsverkehr/programm-be…

Hallo an Alle,

hier noch der Link zu der Initiativ-Stellungnahme des DAV

https://anwaltverein.de/de/newsroom/sn-5-18-initiativ-stellungnahme-zum-bea-76246

VG Sabine Ecker

Hallo Community

in der von Frau Ecker geposteten Stellungnahme des DAV wird unter Ziff. 6 ab Seite 11 eine Argumentation zum Thema

"Anwälte benötigen trotz beA-Offtime KEINE DE-Mail"

dargestellt.

Hört sich zwar interessant und nachvollziehbar an. Ob sich das jedoch halten lassen wird???

Ich bin da lieber vorsichtig und freue mich meiner jüngst zugeteilten DE-Mail-Adresse.

So ähnlich wirds ja auch gemacht, nur ein kleines wenig komplizierter:
Die Box erzeugt für jeden Anwalt eine Kombination aus geheimem und öffentlichem Schlüssel.
Die Box kennt von allen Anwälten die öffentlichen Schlüssel
Die Box veröffentlich den selbst erzeugten öffentlichen Schlüssel im sog. SAVE-Verzeichnisr

Der Absender holt sich den Schlüssel aus dem Save-Verzeichnis und verschlüsselt damit die Nachricht
Die Nachricht wird an die Box gesendet
Die Box entschlüsselt die Nachricht und verschlüsselt sie mit dem öffentlichen Schlüssel des finalen Empfängers neu
Die Box sendet an den finalen Empfängers

Kleiner Hinweis noch: Bei der Nachricht handelt es sich nicht um das Ausgangsdokument, sondern um eine zufällige Bytefolge, mit der das Ausgangsdokument selbst chiffriert wurde. Das chiffrierte Ausgangsdokument bekommt die Box nie zu sehen,
Die Box sieht nur den verschlüsselten Schlüssel des Ausgangsdokuments und kann den entschlüsseln.
Eine Aussage zur Sicherheit des Ganzen zu machen ist ohne nähere Infosannähernd unmöglich

Hier wird das endlich mal aufgedröselt:

http://www.rak-hamburg.de/uploads/file/Mitglieder/Mitgliederservice/Kammerschnellbriefe/2018/20180118_Atos%20End-zu-End%20beA.pdf

der Artikel im Anwaltsblatt zeigt die "Justizseite" des beA.  Die Handhabung unseres Hausgerichtes scheint der Standard zu sein.  Die Verschlüsselung der Nachricht endet bei der Justiz immer in der Wachtmeisterei.

Ich Frage mich immer wieder, warum sich die Justiz damit begnügt, dass die Verschlüsselung im großen Postfach des Zentralen Posteingangs endet, während wir Anwälte Sonderlösungen finanzieren, die die Praxis nicht im Ansatz abbilden; - wahrscheinlich fehlt mir hier das nötige Verständnis

Das geistert schon seit einiger Zeit im Netz rum. Auf den Bildern kann man auch wunderbar sehen, wer das HSM herstellt. Mich würde allerdings interessieren, wie es kommt, dass man das Produkt eines französischen Herstellers, der selbst wiederum mit Atos (ebenfalls französisch) verbandelt ist, als deutsches Produkt darstellen kann. Oder ist das wieder nur eine unglückliche Formulierung?

Die Slides enthalten übrigens keinerlei Infos zu den bei HSMs obligatorischen Sicherheitszertifizierungen. Auch nur eine Lässlichkeit?

Also haben wir mehr E2E-Verschlüsselungen erhalten als wir bezahlt haben? Eine E2E an das HSM und eine vom HSM an den tatsächlichen Empfänger. Und möglicherweise wird ja auch in der Wachtmeisterei noch mal E2E an die jeweiligen Geschäftszimmer verschickt, welche dann ebenfalls E2E an die Richter....

Das ist eine juristische Lösung; wenn die Subsumtion nicht passt, änder man einfach die Definition.

Ich möchte ein E kaufen... Soviel Spaß zum WE muss erlaubt sein.

Naja... Die Nachricht selber bleibt bis zum Empfänger durchgehend verschlüsselt.

Das HSM ent- und verschlüsselt nur den Schlüssel zur Nachricht. Das könnte man als Jurist wohl tatsächlich E2E nennen.

Dass der Empfänger gar nicht exklusiv im Besitz des Nachrichtenschlüssels ist, wie sich das gehört, sondern das HSM den zur Verfügung stellt (und ggf auch anderen Leuten) ist allerdings unschön.

Gruß aus Hamburg