Danke für die Informationen!

Vielen Dank Michael Renz​​ für Ihre Info.

Ja, zumindest  wird jetzt die Anmeldeprozedur der beA-Karten via JAVA-Komponente jetzt durchgereicht und entsprechend erkannt (nach einigen Anlaufschwierigkeiten....).

Das scheint dann wirklich seitens des Softwareanbieters gelöst zu sein.

Bin nun gespannt, wie es dann demnächst weitergeht....

mfG

A. Hofmeister

Vielen Dank für die Infos. Ich wusste nicht, dass der Client in einer WTS-Umgebung auch lokal installiert werden muss.

Da ich bei dem Thema bisher weitestgehend außen vor war und diesen "Security-Client" auch nicht kenne der lokal installiert werden muss, wie bildet man dies bei einer WTS Farm ab, die nur über Linux Thin-Clients angesprochen wird? Unsere jetzigen Smart-Cards werden einfach durchgeschliffen und das wars.

Lieber Kollege Dombrowski,

wenn sie auf der Web-Seite : https://www.bea-brak.de/bea/index.xhtml?dswid=7031

mit der Maus auf den Begriff "Linux"  zeigen, verändert sich dessen Farbe (bei mir in "weiß") und die Anzeigevariante des Mauszeigers (bei mir in eine Hand mit Zeigefinger). Mit "rechtsklick" auf den Begriff "Linux" läßt sich der Security-Client herunterladen und dann - nach den Regelungen des jeweils eingesetzten Betriebssystems auf dem Gerät installieren.

Diese Beschreibung gilt sinngemäß für Windows und MacOS natürlich in gleicher Weise!!

Alles klar???

Ganz so einfach ist das bei einem Thin-Client leider auch nicht. Dennoch Danke für die Antwort.

Sehr geehrter Herr Renz,

vielen Dank für Ihre Informationen. Wir haben einen virtualisierten Terminalserver und folgendes festgestellt:

Das Pop-Up-Fenster zur Tokenauswahl bei Anmeldung wird immer nur bei einem Nutzer angezeigt und zwar scheinbar bei dem Nutzer, der als erstes die Client-Security-Komponente startet.

Können Sie sich vorstellen, was wir evtl. noch einstellen müssen, damit mehrere Leute gleichzeitig das beA auf dem WTS nutzen können?

Die Client-Security-Komponente habe ich aus dem Autostart wieder entfernt, da nicht bei jedem Nutzer bei der Anmeldung der beA-Start angezeigt werden soll.

Mit freundlichen Grüßen

Thomas Mech

Nachtrag

1. Wenn Nutzer A die Client Security zuerst startet und Nutzer B auf "Anmelden" klickt, poppt das Token-Fenster immer bei Nutzer A auf

2. Wenn Nutzer A die Client Security wieder schließt, funktioniert es bei Nutzer B trotzdem nicht. Da kommt dann immer die Meldung, dass die Client-Security angeblich nicht installiert ist. Auch ein Neustart der Client-Security bringt an dieser Stelle nichts.

Haben Sie dazu mal ein Ticket bei ATOS aufgemacht?

Hallo Herr Hofmeister,

bisher nicht, aber ich werde das mal in Angriff nehmen. Melden die sich denn in absehbarer Zeit?

Viele Grüße

Thomas Mech

Auf jeden Fall habe ich diesbezüglich nur gute Erfahrungen. Ist allerdings noch aus der Zeit, wo es noch viel mehr Probleme gab....(als man quasi erklären musste, was ein WTS ist.....) und die Probleme noch in Verbindung mit dem DATEV-Proxy auftraten....

Sehr geehrter Herr Mech,

dieses Phänomen habe ich bei uns nicht.

Allerdings gibt es einen Arbeitsplatz, der partout nicht mit beA kommunizieren will. Dort kommt - egal was ich anstelle - der Dialog mit der Safe-Id und Pin-Abfrage nicht. Das Gerät ist sowohl hard- als auch softwareseitig identisch mit den anderen Geräten und auch die Rechte in ActiveDirectory etc etc unterscheiden sich nicht.

Ich rate auch dazu, bei ATOS ein Ticket zu machen - die sind zumindest bemüht - wenn auch meist nicht sonderlich hilfreich. Ab second level aufwärts wird´s besser - aber es ist trotzdem "weit weg von gut" - jedenfalls aber einen Versuch wert.

Sehr geehrter Herr Renz,

die Erfahrungen mit dem ATOS-Support kann ich nur bestätigen. Zwar bemüht und nett, aber absolut erfolglos. Aufschalten auf einen betroffenen Rechner nicht möglich, Probleme werden mit "naja, wenn es kein reproduzierbares Problem ist, ist es nicht unser Problem, woanders läuft die Software ja" abgetan...

von 3 Fällen bislang konnte nur ein Support Fall gelöst werden, da aber erst nach 3 Wochen.

Bin gespannt, was das wird wenn das beA mal wirklich flächendeckend genutzt werden muss...

wir haben ein Ticket bei ATOS aufgemacht.

Hier die Antwort:

Kurzbeschreibung: Einsatz Terminalserver

Beschreibung: Herr XY hat Fragen zur Nutzung des beA in eine Terminalserverumgebung.

Lösungsbeschreibung:

Die beA-Software wurde für die Verwendung mit verschiedenen Betriebssystemen entwickelt. In der Verbindung mit Terminalservern wird die beA-Nutzung mit der aktuellen Version aus Sicherheitsgründen nicht unterstützt. Die BRAK arbeitet mit ihrem Entwicklungspartner an einer Lösung und wird entsprechend informieren, sobald ein entsprechendes Update zur Installation bereitgestellt werden kann.

Wenn Sie weitere Fragen haben, steht Ihnen das Team des beA-Supports gerne weiterhin zur Verfügung.

Kontakt:

Hallo!

Gibt es hier schon neue Erkenntnisse? Ich stehe bei zwei Kunden vor dem gleichen Problem:

1x Server 2012 R2 Terminalserver. OK, die Clients hier sind noch klassische PCs, so wäre zumindest ein lokaler Zugriff über das WebInterface möglich.

Der andere Fall: 12 virtuelle Terminalserver unter Citrix XenApp gestartet über Citrix PVS. Erklärung PVS: Die Server starten via Netzwerk ein Read-Only-Image. Alle Änderungen im Betrieb laufen in eine temp. Delta-Disk. Beim nächtlichen Neustart der Server "vergisst" die VM alles was am Tag geschehen ist. Hier ist zwar kein DATEV im Einsatz, aber die Problematik mit diesem Security-Client trifft mich dann hier genauso, da hier Syndikusanwälte auf dem System arbeiten. Der Zugriff hier erfolgt über ThinClients.

Hallo Herr Rörig,

der WEB-Client der BRAK/ATOS ist definitiv nicht im WTS-Umfeld geeignet - er läuft zwar aber mit den o.a. genannten Einschränkungen (Sicherheitsproblemen)

ABER:

Mit der DVD 11.1 ab Mitte Januar 2017 gibt die DATEV die beA-Schnittstelle zum beA allgemein frei. Mit der DATEVanwalt-Schnittstelle gibt es KEINE Einschränkungen im WTS-Umfeld. Dort läuft die DATEV-beA-Schnittstelle

- im WTS-Umfeld

- auf virtualisierten Servern (Hyper-V)

- unter Einsatz von DATEVnet (oder sonstigen Proxys)

und ist so bei uns im BETA-Test derzeit erfolgreich im Einsatz. Das Problem mit der RAM-Disk und/oder CITRIX des Terminalservers haben wir allerdings nicht getestet. Auf dem Terminalserver MUSS auch für die Nutzung der DATEV-Schnittstelle der beA-Security-Client installiert sein. Insofern scheint mir Ihre Konfiguration "problematisch".

Hallo Herr Renz,

danke für die schnelle Antwort. Leider lässt sich über den Security-Client recht wenig (bis gar keine) Doku im Netz finden. Verhält sich dieses Stück Software genauso bescheiden, wie der EGVP/ Governikus-Communicator? Sprich, will sich die Software bei jedem Start selbst updaten, wenn eine neue Version vorliegt? Domänen-User dürfen keine Software installieren, und auf Terminalservern ist das ein No-Go und ein triftiger Grund, dass das System nicht eingesetzt werden kann.

PVS und MCS sind in VDI Umgebungen state-of-the-art um mal eben ein paar virtuelle Arbeitsplätze (hier 120 Stück) zu deployen. Ich frage mich ernsthaft unter welchen Vorraussetzungen hier Ausschreibungen gemacht werden. Wer definiert hier die Anforderungen?

@Andreas Maier ziert oben den ATOS-Support "In der Verbindung mit Terminalservern wird die beA-Nutzung mit der aktuellen Version aus Sicherheitsgründen nicht unterstützt." Was sollen das denn für Sicherheitsgründe sein. Eine sauber konfigurierte RDS-Umgebung ist min. genauso sicher, wie klassische PCs. In Zeiten von Cloud und VDI disquallifiziert sich so eine Software, die nicht terminalservertauglich ist, selbst.

Der beA-Security-Client wird bei

• der Installation ins Autostart-Verzeichnis eingetragen
• bei jedem Start in der Session aktualisiert (was den Einsatz in Ihrer Umgebung vtl. ausschließt?)
• ist (soweit ich das überblicke) aber in der DATEV-WTS-beA-Integration nur auf dem Terminalserver (nicht in der Session) nötig und muss dort auch "nur" installiert sein und nicht unbedingt gestartet werden. Das müsste man aber wohl noch testen.

Die von ATOS genannten "(Un-)Sicherheitsgründe" des WEB-Client sind, dass die Anmeldeabfrage (Sicherheitstoken und PIN-Abfrage) IMMER beim ersten im WTS-Umfeld angemeldeten User/Session auftauchen, egal wer als Folgeuser/-session sich versucht anzumelden. Werden vom "Erstuser" die Daten eingegeben hat der "Folgeuser" VOLLEN UNBESCHRÄNKTEN Zugriff auf die Daten des "Erstusers" -> laut BRAK ist das kein Sicherheitsproblem!!!??

Ähm, und was ist dann ein Sicherheitsproblem, wenn nicht das? Bzw. ehr ein Datenschutzproblem.

Noch ein Grund mehr diese Lösung nicht nutzen zu wollen. Das ist einfach schlampige Programmierung.

Man darf gespannt sein, wie sich das ganze Projekt ab 1.1.2018 entwickelt und ob und wie es den Alltagsansprüchen stand hält....

Der andere Fall: 12 virtuelle Terminalserver unter Citrix XenApp gestartet über Citrix PVS. Erklärung PVS: Die Server starten via Netzwerk ein Read-Only-Image. Alle Änderungen im Betrieb laufen in eine temp. Delta-Disk. Beim nächtlichen Neustart der Server "vergisst" die VM alles was am Tag geschehen ist. Hier ist zwar kein DATEV im Einsatz, aber die Problematik mit diesem Security-Client trifft mich dann hier genauso, da hier Syndikusanwälte auf dem System arbeiten. Der Zugriff hier erfolgt über ThinClients.

Eine ähnliche Umgebung haben wir auch. Da beA weder auf einem Terminalserver, noch auf einem ThinClient läuft, überlegen wir grad ernsthaft wieder ein paar Desktops hinzustellen. Das kann doch aber heutzutage nur ein schlechter Scherz sein, das steht wirtschaftlich in keinem Verhältnis. Hat die ThinClient Problematik tatsächlich kaum jemand anderes?

Liebe Kollegen und beA-Anwender,

Ich denke schon, dass eine namhafte Zahl von Usern - und nicht nur in Großkanzleien oder Unternehmen mit Rechtsabteilungen - auch solche Umgebungen haben. Insofern kann ich nur allen Betroffenen empfehlen, sich an die BRAK direkt zu wenden und dort die Probleme aufzuzeigen.

Ich fürchte sehr, dass "wir Anwälte" (und damit auch die BRAK) mit einem EDV-Projekt dieser Größe und Bedeutung und dem dazu mehr oder minder selbst auferlegten Zeitrahmen ziemlich an "unsere technischen Grenzen" gestoßen sind. Dazu kommt, dass der sicher nötige und in der Regel gerade nicht "der Verhinderung" dienende Rat bzw. die Mitwirkung von den technisch erfahrenen Kollegen und den Software-Herstellern eher zurückhaltend entgegen genommen wurde.

Ein Shit-Storm gegen die BRAK / ATOS hilft jetzt allerdings auch nicht weiter - konstruktive Kritik und Anwenderanforderungen aus dem Tagesgeschäft aber schon.

Dass beA in WTS-Umgebungen ein Problem hat, ist übrigens seit den ersten Tagen der beA-Freischaltung bekannt. Damals haben sich aber auch nur GANZ WENIGE Kollegen und deren EDV-Supporter mit diesem Thema auseinandergesetzt. Wäre schön (und nötig) gewesen, sich frühzeitig zu kümmern und damit der BRAK auch aufzuzeigen dass die (bekannten) Probleme nicht nur ein paar "Spinner" betreffen.

Guten Morgen,

als Dienstleister ist man da ja etwas vom Kunden abhängig. Wenn der bis auf den letzten Drücker wartet, weil er es eigentlich gar nicht haben/ nutzen will, in der Hoffnung, dass doch noch ein Urteil kommt und die ganze Sache wieder aufgeschoben wird, dann ballt sich halt alles kurz vor Schluss.

Ich habe jetzt auch mal eine Anfrage an das bea-helpdesk geschickt. Mal schauen, was da zurück kommt.

Lieber Herr Rörig,

da haben Sie völlig recht.

ABER: es gibt ja eine Lösung für den der diese Haltung eingenommen hatte!!!

Stand-Alone-PC mit Internet-Anschluss und Einfach-Lesegerät hinstellen und schon klappt alles.

Man kann halt - wie wir Schwaben sagen - "nicht das Bett an 5-Zipfeln halten, wenn´s nur 4 hat." will heißen - wer eben nicht aus seiner "Komfortzone raus will" braucht sich nicht wundern, wenn´s plötzlich "unkomot" wird.

So, wie oben bereits erwähnt habe ich ein Ticket beim Support des beA-Clients aufgemacht.

Anfrage:

Herr Rörig fragt an, wie den Rechtsanwälten Zugriff auf ihr Postfach ermöglicht werden kann.

[...]

Leider kann ich auf den Seiten der BRAK kaum Informationen zum Einsatz des Security-Clients in Enterprise-Umgebungen finden.

Unsere Umgebung besteht aus bis zu 14 dynamisch provisionierten virtuellen Terminalservern (aktuell Server 2008 R2 mit Citrix XenApp 7.15, demnächst auch Server 2016). Die Server werden über die Citrix Provisionung Services bereit gestellt. D.h. sie starten über Netzwerk ein Read-Only-Image, alle Änderungen laufen in eine Delta-Disk, die beim nächtlichen Neustart verworfen wird.

Unsere Anwender arbeiten ausschließlich auf IGEL ThinClients mit IgelOS, bzw. verbinden sich über mobile Endgeräte.

In div. Foren (u.a. DATEV) habe ich gelesen, dass der Client in Multiuser-/ Terminalserverumgebungen Probleme hat(te). Wie ist hier der aktuelle Stand?

Wie können wir unseren Anwälten in unserer Umgebung den Zugriff auf ihr Postfach ermöglichen?

Lösung:

Die beA-Software, die auf den Endgeräten zum Einsatz kommt, die sogenannte Client Security, wurde speziell mit der Zielrichtung entwickelt, auf möglichst vielen Plattformen eingesetzt werden zu können. Aktuell wird sie erfolgreich genutzt unter Windows (7, 8, 8.1 und 10), LINUX Open Suse 13.2 und MacOS (10.9 Mavericks, 10.11 El Capitan sowie 10.12 Sierra - Version 10.10 Yosemite wird nicht unterstützt). Trotzdem ist es natürlich nicht ausgeschlossen, dass bei einigen Endgeräten, z.B. durch individuelle Einstellungen oder Wechselwirkungen mit einer anderen Software, Probleme auftreten.

Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann, wenn ein Defekt in der eigentlichen Software vermutet werden muss. Darüber hinaus bitten wir Sie um Verständnis, dass die Störungssuche auf Ihrem Rechner nicht unterstützt werden kann. Hierzu sollten Sie sich bei Bedarf an Ihren Systemadministrator oder einen lokalen IT Spezialisten wenden.

Ticket geschlossen! Was sagt man dazu?

Lustig, ich habe auch noch ein altes Ticket gefunden:

Herr Maier kann sich nicht am beA Postfach anmelden. Es wird ihm ein " Verbindungsproblem "angezeigt und in der Meldung wird ihm mitgeteilt, dass er

zum starten des beA den Client Security starten muss. Dies hat er aber.

Lösungsbeschreibung: 2017/10/27 14:26:57 GMT Solution Sehr geehrte Anwenderin, sehr geehrter Anwender,

die beA-Software, die auf den Endgeräten zum Einsatz kommt, die sogenannte Client Security, wurde speziell mit der Zielrichtung entwickelt, auf möglichst vielen Plattformen eingesetzt werden zu können. Aktuell wird sie erfolgreich genutzt unter Windows (7 SP2, 8, 8.1 und 10), Linux openSUSE 13.2 und MacOS (10.9 Mavericks, 10.11 Capitan, 10.12 Sierra - die Version 10.10 Yosemite wird nicht unterstützt).

Trotzdem ist es natürlich nicht ausgeschlossen, dass bei einigen Endgeräten, z.B. durch individuelle Einstellungen oder Wechselwirkungen mit einer anderen Software, Probleme auftreten. In den von Ihnen an uns übersandten Log-Dateien sind keine Fehler erkennbar.

Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann, wenn ein Defekt in der eigentlichen beA-Software vermutet werden muss. Darüber hinaus kann die Störungssuche auf Ihrem Rechner nicht unterstützt werden Hierzu sollten Sie sich bei Bedarf an Ihren Systemadministrator oder einen lokalen IT Spezialisten wenden.

Vielen Dank für Ihr Verständnis.

Mit freundlichen Grüßen

beA-Anwendungsbetrieb

Scheint sich um eine Standard-Abspeisung zu halten

Mir scheint, die lesen gar nicht sonst hätten sie in meiner E-Mailsignatur folgendes entdeckt:

Systemadministration/ Service

Ich habe die  "Lösung" mit der Bitte um Hilfe und Nennung eines Ansprechpartners jetzt direkt an bea@brak.de geschickt.

Bei den Unternehmen war das beA nie ein Thema, da hier (wenn überhaupt) nur der EGVP-Client in der Bürger-Rolle zum Einsatz gekommen ist (der übrigens auch nicht TS tauglich ist, der Nachfolger ebenso). Daher war hier auch mit keinem Aufschrei zu rechnen.

Die kleine 4 Mann-Kanzlei hat in den wenigesten Fällen eine TS-Umgebung Da kommt also auch nicht viel.

Aber es gibt doch genügend Großkanzleien bzw. die die DATEV-Hosting-Lösungen einsetzen. Da hätte ich den großen Aufschrei erwartet.

Nun - die Großkanzleien und dort diejenigen, die bei DATEV gehostet sind - können sich in der Regel entspannt zurücklegen. Die DATEV-beA-Integration läuft ja im WTS-Umfeld.

Soweit die 4-Mann-Kanzlei eine 4-Anwälte-Kanzlei ist, denke ich, dass dort vermutlich mindestens 30% eine WTS-Umgebung haben und - sofern diese "Smart-IT von DATEV" nutzen (was max. günstig ist, gerade für die Kanzlei mit bis max. 8 Arbeitsplätzen) - haben die alle WTS.

Bei Großunternehmen (mit Rechtsabteilung und Syndikusanwalt) ist beA natürlich ein Thema - ein generelles Vertretungsverbot für Angelegenheiten des Arbeitgebers gibt´s ja nicht - und gerade z.B. die Arbeitsgerichte sind (zumindest in Ba-Wü) an beA/EGVP angeschlossen.

So, die BRAK hat geantwortet:

vielen Dank für Ihr Email. Eine technische Lösung für Terminal-Server-Umgebungen ist bereits konzipiert und in der Umsetzung. Das beA wird dann auch in Terminal-Server-Umgebungen einsetzbar sein.

Die BRAK hat das beA ursprünglich für den Einsatz auf Einzelplatzrechnern konzipiert, um höchsten Sicherheitsansprüchen gerecht zu werden. In der Praxis zeigen sich Probleme, wenn das beA über sogenannte Terminal-Server auf mehreren Arbeitsplätzen zugleich genutzt wird: Derzeit kann es passieren, dass Anwälte, die mit dem beA auf denselben Server zugreifen, auch das Postfach ihres Kollegen sehen können. Das stellt keine Sicherheitslücke dar, weil weder die Inhalte der Postfächer die Sphäre der Kanzlei verlassen noch Externe unberechtigt Einblick in das Postfach nehmen können.

Um Irritationen zu vermeiden, empfiehlt die BRAK bis auf Weiteres, organisatorisch sicherzustellen, dass entweder nur jeweils ein Postfach zur gleichen Zeit geöffnet ist oder das beA als Einzelplatzanwendung genutzt wird. Durch die Bundesrechtsanwaltskammer wurde die Bereitstellung einer entsprechenden Version beauftragt. Über den Zeitpunkt und die konkreten technischen Voraussetzungen liegen noch keine Informationen vor.