Der Prozess ist durch, die letzten SRs installiert. Bisher sieht alles gut aus. ... Mehr anzeigen

https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html ... Mehr anzeigen

Laut der Doku kann man den Prozess jederzeit unterbrechen. Wenn man ihn dann wieder startet, macht er da weiter wo er aufgehört hat. Sobald die Verkünpfung zur Dokumentablage in DATEV einmal aktiviert wurde (und das muss sie damit die Migration möglich ist), gibt es keinen Weg zurück. Neu erstellte Dokumente landen also direkt in der neuen Ablage. Mal schauen, bis morgen für 8:00 darf er laufen. Dann wird das System wieder benötigt. ... Mehr anzeigen

Struktur ist da keine, es liegt quasi alles auf einem Haufen. Bin am gespannt wie das nach der Umstellung aussieht... Der Kunde arbeitet zu großen Teilen mit Papierakten. Textmarker auf Monitor funktioniert nicht so gut. In DATEV liegen nur die auch darüber verfassten Schreiben. Die aber dann ich nochmal in Papierform in der klassischen Akte. ... Mehr anzeigen

Hallo Herr Renz, die Migration läuft jetzt schon 2h. Wenn ich mich das so anschaue, ist der bis Samstag nicht fertig. Kann man während der die Datem umschaufelt gefahrlos in den Akten arbeiten? Laut der Anleitung arbeitet dieser Prozess ja zeitlich rückwärts. Also die aktuellen Akten zuerst. ... Mehr anzeigen

Der Vortrag beim 34C3: https://www.facebook.com/erbguth/videos/10155599090484219/ ... Mehr anzeigen

Na prima. Der Server entschlüsselt und verschlüsselt neu. Wie bei DE-Mail. Eigentlich ist das ja ziemlich unerfreulich, aber wenigstens können die nun die gestrandeten Mails ausdrucken und aufs Fax legen 🙂 ATOS könnte das vielleicht, wenn das System eine solche Hintertür hat. Sollte es nicht und wenn doch, wäre das der nächste Skandal. ... Mehr anzeigen

Bei DE-Mail gilt: "Die Nachricht gilt als zugestellt, sobald sie das Postfach des Empfängers erreicht hat". Das ist wie bei Amtspost. Die gilt auch als zugestellt, sobald sie das Amt verlassen hat. Was das abrufen von E-Mails betrifft: Auf IHK-Seminaren zur Arbeitsorganisation wird sehr gerne Blockarbeit empfohlen. Ein Block dabei soll dann auch die Bearbeitung von E-Mails sein. Also z.B. morgen zwischen 9 und 10 und nachmittags zwischen 15 und 16 Uhr. Empfohlen wird dann auch, zu den anderen Zeiten das Mailprogramm zu schließen bzw. die Benachrichtung über neue Mails zu deaktivieren, damit einen das nicht von der eigentlichen Arbeit ablenkt. Wir haben uns nur alle dazu gezwungen auf E-Mails zeitnah zu reagieren. Bei IM wird es sogar erwartet. Ich sage immer: "Wer dringend was von mir will soll anrufen." Da aber über beA ja auch Fristsachen laufen sollen, wird man wohl reagieren müssen, sobald eine Nachricht eintrifft. Das beA hat ja dafür eine Benachrichtungsfunktion. ... Mehr anzeigen

Wann gilt denn eine Nachricht über beA als zugestellt bzw. empfangen? Wenn der Absender auf senden geklickt hat, oder wenn der Empfänger sie geöffnet hat. Wenn ersteres, dann hätten Sie die Nachricht noch am 21.12. lesen müssen, denn bis 22.12. war beA noch am Netz. ... Mehr anzeigen

gar nicht. ... Mehr anzeigen

Dann muss man wohl davon ausgehen, dass die Nachrichten den Empfänger nicht erreicht haben. Gleiches dürfte wohl gelten, wenn die Plattform aus anderen Gründen mal nicht erreichbar sein sollte. Das ganze System ist ein SPOF. ... Mehr anzeigen

Da aber vorraussichtlich niemand das Systen in 4 Tagen wird nutzen können, ist die Passivnutzung gerade auch egal. Es kann ja niemand was schicken, also braucht auch niemand was abrufen. Das ist auch mein Stand. Entwickelt, umgesetzt und betrieben durch ATOS. Und die müssen jetzt nachbessern. Wenn sie es nicht schaffen, könnte die BRAK den Auftrag auch an den zweitbesten Bieter neu vergeben. Aber der müsste sich dann erst komplett einarbeiten und je nach Vertragslage auch bei Null anfragen... Wobei... Nachrichten lassen sich auch mit dem EGVP-Nachfolger erstellen. Müsste man glatt mal ausprobieren, ob die wirklich die ganze Plattform abgeschaltet haben oder nur den Login. ... Mehr anzeigen

Ich bin auch kein Freund von Java. Aber wenn Anwendungen plattformübergreifend sein sollen, ist Java die einfachste Lösung. Es gibt eine gemeinsame Codebasis und im besten Fall keine Sonderbehandlungen für die jeweiligen Plattformen. Ich bin ja schon froh, dass der Client nicht als Java-Webstart implementiert wurde (Applets führt ja außer dem IE zum Glück kein aktueller Browser mehr aus). So muss zumindest kein JRE auf den PCs installiert werden. Der Client bringt sein JRE mit. (Leider, wie fast schon üblich, in einer deutlich zu alten Version. Aber bei ÖA bin ich nichts anderes gewohnt). Wobei..., würde mich nicht wundern, wenn die Lösung, die jetzt kommen könnte, Java-Webstart wird. Nur dann muss man leider Java installieren. Und dann kommt das nächste Problem, nämlich wenn unterschiedliche Webstart-Programme auf unterschiedliche JREs angewiesen sind, und dann die beA-Lösung nur mir einer alten Version läuft. ... Mehr anzeigen

Wenn ich hier lese, dass es um die Kommunikation zwischen Browser und beA geht, drängt sich mir die Frage auf, ob das Problem bei der Nutzung mit Daten das selbe ist. Hätte das Datev-Progam auch die Probleme mit dem Zertifikat? Es geht nicht um die Kommunitation zwischen Browser und der beA-Anwendung. Die ist sauber abgesichert. Sondern um Browser und lokaler beA-Security-Client. Hier klafft die Lücke. Ob die Implementierung der DATEV davon auch betroffen ist/wäre, kann nur DATEV beantworten. Die Dokumentation der Schnittstellei ist (wie leider bei vielen derartiger Projekte) nicht öffentlich erhältlich. [Sonst hätte der CCC die Schwachstellen schon früher gemeldet] Wenn ich michael.renz​ richtig verstanden habe, dann muss auch bei der Nutzung der DATEV-Schnittstelle der Security-Client der BRAK installiert sein ... Mehr anzeigen

Es geht hier nicht um vortäuschen. Über diese Verbindung Browser -  Security-Client läuft die Authentifizierung ab. Zudem beim Versenden von Nachrichten mit qeS auch die entsprechenden Signaturdaten. Da ist eine gesicherte Verbindung schon wünschenswert. Zudem spielen die heutigen Browser nicht mehr mit, wenn eine gesicherte Seite unsichere Seiteninhalte nachladen/ anzeigen soll. Versuchen Sie mal auf einer HTTPS- Seite ein iFrame mit HTTP-Inhalten einzubinden. Der Firefox wird es nicht anzeigen. ... Mehr anzeigen

Sehr geehrter Herr Koppel, Sie scheinen ja vom Fach zu sein. Was spricht dagegen die interne Verbindung via HTTP zu machen? Es geht ja um die Kommunikation zwischen beA-Client und Kartenleser (oder hab ich das falsch verstanden?). Sicherheitsproblem? Der EGVP Client macht das meines Wissens ja auch so. Der Anspruch der BRAK, dass sämliche Kommunikation verschlüsselt erfolgen soll. Das ist auch sinnvoll. Es geht um die Kommunikation zwischen Browser und dem beA-Security-Client. Letzterer übernimmt die Kommunikation mit dem Security-Token (Smartcard o.ä.). Der EGVP Client war eine komplette Java-Anwendung, genauso der Nachfolger. Hier ist die Kommunikation einfacher. ... Mehr anzeigen

*applaus* ... Mehr anzeigen

Hm, die BRAK scheint Weihnachtsfeiertage großzügig auszulegen. Denn Stand jetzt erscheint noch der Wartungshinweis. ... Mehr anzeigen

OK, die ersten 5 können das machen. Dann sind die öffentlichen CAs aufgebraucht. ... Mehr anzeigen

Hallo Herr Renz, kann man das seinen Kunden gefahrlos raten? Ich gehe bis nicht davon aus, dass es bis 31.12., 23:59 Uhr eine Lösung geben wird. Soweit ich das bisher aus dem, was an die Öffentlichkeit gedrungen ist beurteilen kann, haben die mit dem aktuellen Konzept keine Chance das in der Kürze der Zeit zu reparieren. Damit wäre es nicht möglich ab dem 01.01. Nachrichten aus dem beA abzurufen, selbst wenn man das Postfach vorschriftsmäßig rechtzeitig aktiviert hat. Was nun? Wie groß ist das Risko, dass jemand den lokalen PC erfolgreich angreift? Und welche Daten kann er dann abfangen? Da es keine (öffentliche) Verfahrensdokumentation des beA-Clients gibt, kann ich das nicht beurteilen. Was kann ein Anwalt jetzt machen? ... Mehr anzeigen

https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html Die haben verschlimmbessert. ... Mehr anzeigen

Noch ein Nachtrag: Der ELSTER-Authentikator für die Anmeldung am ELSTER-Portal mit Stick oder Signaturkarte arbeite nach dem gleichen Prinzip. Auch hier startet diese Software einen lokalen Webserver, aber in diesem Fall nicht HTTPs sondern nur HTTP. Ob das jetzt besser ist... es ist zumindest weniger fehleranfällig. Dieses Tool scheint als Proxy zu arbeiten und wickelt die eigentliche Anmeldung im Hintergrund verschlüsselt mit dem Server ab. Das kann ich aber nicht prüfen, ich nutzte ELSTER nicht mit Stick oder Karte. Wie schrieb einer in den Heise-Foren: Zur Firma ATOS sollte man immer einen Sicherheitsabstand halten. https://www.heise.de/forum/heise-online/News-Kommentare/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach… ... Mehr anzeigen

Hallo Herr Renz, danke für die Datei. Was Sie sich da "eingefangen" haben kann ich Ihnen sagen. Das System funktioniert so: Der Security-Client startet einen lokalen HTTPS-Server auf Port 9998. Da HTTPS verwendet wird, braucht es ein TLS- Zertifikat (inkl. Private Key). Das kam ursprünglich von T-Systems und ist auf den Hostnamen "bealocalhost.de" ausgestellt. Diese Domain gehört der BRAK und wird von ATOS verwaltet. Über diesen Namen spricht der Browser den Security-Client an. (Damit das klappt löst der Name fest nach 127.0.0.1 auf.) [BTW: Das ist auch der Grund, warum WTS-Umgebungen Probleme machen. Das ist Murks by Design]. So, bei der Verteilung dieses Zertifikats hat ATOS Mist gebaut und die Lösung der BRAK (in Zusammenarbeit mit ATOS) ist nicht besser: Statt sich bei T-Systems (oder jeder anderen CA) ein neues Zertifikat ausstellen zu lassen, haben sie sich selbst eines gestrickt (Self-Sign). Das Problem ist jetzt, damit der lokale Webserver mit dem Zertifikat starten kann, muss er den Key kennen. Das aber widerspricht den Vorgaben für private Keys: Die müssen privat bleiben und dürfen nicht aus der Hand gegeben werden. T-Systems hat also erfahren, dass der Key "veröffentlicht" wurde, und musste so das Zertifikat sperren. Das war von Anfang falsch designed und sie haben halt gehofft, dass sich das keiner so genau anschaut. Ich habe den Client gerade mal in einer VM installiert. Durch den Autoupdater zieht der sich schon das neue Zertifikat. Jetzt haben die aber ein Problem: Kein Browser vertraut einem Zertifikat ohne vollständige Zertifizierungskette (CA -> (Zwischen-CA) -> Aussteller -> CN). Also muss man jetzt die (selbst erstellte) CA in den Browser der Anwender bekommen. Aus Sicht eines IT-Sicherheitsexperten sollte man in diesem Fall wohl ehr dem Hersteller die Software um die Ohren hauen, dass es nur so scheppert und die Software deinstallieren bis es eine sichere Version gibt. Die jetztige Lösung ist die technisch einzig mögliche. Aber state-of-the-art (und das fordert der Gesetzgeber zum Schutz unsere Daten) ist, dass jeder Client bei der Installation seinen eigenen Key erzeugt, diesen dann von offizieller Stelle signieren lässt und schon sind alle happy. Frohe Weihnachten. Edith sagt: eigenen Murks korrigiert. ... Mehr anzeigen

Die Anmerkung bei heise.de finde ich gut Sie enthält die Empfehlung, die dringlichen Installationswarnungen von Microsofts Explorer und Mozillas Firefox zu ignorieren.Besonders harsch fällt diese Warnung für Firefox aus: "Seriöse Banken, Geschäfte und andere öffentliche Seiten werden Sie nicht bitten, derartiges zu tun." Entsprechend verunsichert dürfte sich jetzt mancher Anwalt die Frage stellen, ob es sich bei der Bundesrechtsanwaltskammer um eine seriöse Vereinigung handelt. Mir scheint, die haben aus der Not heraus jetzt ein Self-Sign-Zertifikat erstellt. Das richtige war ja wohl von T-Systems... Security made in Germany. ... Mehr anzeigen

Die BRAK-Server scheinen gerade etwas überlastet. Der Seitenaufbau zieht sich. Aber das richtige Zertifikat bekommt man dort derzeit auch nicht. Die (o.g.) Anleitung wird gerade überarbeitet. Hat das vllt. hier jemand schon geladen und könnte es hier anhängen? PS: Ich liebe Gruppenrichtlinien in Windows-Domänen... ... Mehr anzeigen

So, wenn mich demnächst jemand fragt, ob ich das nicht hätte vorher wissen müssen, verweise ich vertrauensvoll an die BRAK. Das ist der Witz des Jahres. Jetzt frage ich mich aber, wieso man das neue Zertifikat/ den Key  nicht über einen Updateprozess bereitstellen kann. 2027 geht das Spiel dann wieder von vorne los. ... Mehr anzeigen

Ich kann mir vorstellen wie das abgelaufen ist: [Satire] Consultant: Sollen wir auch moderne Multi-User-Umgebungen beachten? BRAK: Geht das denn? Consultant: Ja, aber ist das aufwändig und teuer. BRAK: Dann lassen wir es. Das ist sicherer. [/Satire] Und jetzt freut sich der Entwickler über einen Erweiterungsauftrag. ... Mehr anzeigen

Derzeit kann es passieren, dass Anwälte, die mit dem beA auf denselben Server zugreifen, auch das Postfach ihres Kollegen sehen können. Das stellt keine Sicherheitslücke dar, weil weder die Inhalte der Postfächer die Sphäre der Kanzlei verlassen noch Externe unberechtigt Einblick in das Postfach nehmen können. Das sehe ich anders. Wenn jemand anderes (und sei auch nur ein Kollege) ohne mein Wissen in meine Post gucken kann, dann ist das (für mich als Laien) ein Verstoß gegen das Brief- / Postgeheimnis. Vermutlich (ohne es überprüfen zu können) ist aber so, dass der Andere nach der Anmeldung das Postfach seines Kollegen auswählen könnte, mangels nicht vorhandener Berechtigungen, aber nicht drauf zugreifen kann. Das ist nicht schön, wäre dann aber in der Tat kein Sicherheitsproblem. ... Mehr anzeigen

So, die BRAK hat geantwortet: vielen Dank für Ihr Email. Eine technische Lösung für Terminal-Server-Umgebungen ist bereits konzipiert und in der Umsetzung. Das beA wird dann auch in Terminal-Server-Umgebungen einsetzbar sein. Die BRAK hat das beA ursprünglich für den Einsatz auf Einzelplatzrechnern konzipiert, um höchsten Sicherheitsansprüchen gerecht zu werden. In der Praxis zeigen sich Probleme, wenn das beA über sogenannte Terminal-Server auf mehreren Arbeitsplätzen zugleich genutzt wird: Derzeit kann es passieren, dass Anwälte, die mit dem beA auf denselben Server zugreifen, auch das Postfach ihres Kollegen sehen können. Das stellt keine Sicherheitslücke dar, weil weder die Inhalte der Postfächer die Sphäre der Kanzlei verlassen noch Externe unberechtigt Einblick in das Postfach nehmen können. Um Irritationen zu vermeiden, empfiehlt die BRAK bis auf Weiteres, organisatorisch sicherzustellen, dass entweder nur jeweils ein Postfach zur gleichen Zeit geöffnet ist oder das beA als Einzelplatzanwendung genutzt wird. Durch die Bundesrechtsanwaltskammer wurde die Bereitstellung einer entsprechenden Version beauftragt. Über den Zeitpunkt und die konkreten technischen Voraussetzungen liegen noch keine Informationen vor. ... Mehr anzeigen