hm, könnte das der Grund sein, warum ich mich seit heute nicht mehr bei beA einloggen kann?

Und ja, ich habe tatsächlich Nachrichten, die noch nicht gelesen sind.

Was bedeutet indem verlinkten pdf, das Zertifikat fände man in Kürze an dieser Stelle?

Eigentlich bin ich ab morgen um Urlaub und müsste meine Nachrichten heute noch bearbeiten.

Was nun?

PS: Danke an den Kollegen michael.renz​ für den Hinweis!

Wenns nicht so traurig wäre, könnte man sich schlapplachen.....

Seite bei mir nicht mehr erreichbar.... bevor es überhaupt losgeht

"Die BRAK ist am 21.12.2017 darüber informiert worden, dass ein für die beA-Anwendung

notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist"

Das kann doch nicht sein......

"Der zugehörige Link finden Sie in kürze an dieser Stelle"

Ist es so schwer, das Zertifikat SOFORT bereitzustellen?

Man oh man, Pfusch aus Germany....

Allen schöne Weihnachten

https://www.heise.de/newsticker/meldung/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach-3927314.html

Klasse! Das toppt doch die ganze Sache doch noch!

Leider waren sie in der Facebookgruppe schneller als hier. Aber egal. Da ist die Stimmung aber irgendwie "lustiger"...

Man stelle sich mal vor, der DATEV passiert so was. Aber gerade bei dieser beA-Einführung merkt man mal , was gute Software ausmacht und entsprechender Support dahinter...

beA hat noch nicht mal richtig angefangen und man kloppt sich jeden Tag auf die Schenkel....

Kostenlose Sylvesterrakete am 22.12.2017.....

So, wenn mich demnächst jemand fragt, ob ich das nicht hätte vorher wissen müssen, verweise ich vertrauensvoll an die BRAK.

Das ist der Witz des Jahres.

Jetzt frage ich mich aber, wieso man das neue Zertifikat/ den Key  nicht über einen Updateprozess bereitstellen kann.

2027 geht das Spiel dann wieder von vorne los.

Lieber Herr Hofmeister,

so richtig witzig findet die facebook-Gruppe das aber auch nicht. Von Verzweiflung über Wut bis hin zur völligen Überforderung findet man dort so ziemlich alles.

ABER: „geholfen werden sie hier“ !!! ums mit Frau Poth zu sagen

Die BRAK-Server scheinen gerade etwas überlastet. Der Seitenaufbau zieht sich.

Aber das richtige Zertifikat bekommt man dort derzeit auch nicht. Die (o.g.) Anleitung wird gerade überarbeitet.

Hat das vllt. hier jemand schon geladen und könnte es hier anhängen?

PS: Ich liebe Gruppenrichtlinien in Windows-Domänen...

Ja - hab‘s geladen, installiert (Beschreibung wR korrekt) und innerhalb und außerhalb DATEV-Schnittstelle erfolgreich getestet.

BLOSS: es wird als „nicht vertrauenswürdig“ bei der Installation angemeckert. Mal sehen, was ich mir damit eingefangen hab

Hat das vllt. hier jemand schon geladen und könnte es hier anhängen?

Aus Sicherheitsgründen würde ich darauf verzichten.

Die Anmerkung bei heise.de finde ich gut

Sie enthält die Empfehlung, die dringlichen Installationswarnungen von Microsofts Explorer und Mozillas Firefox zu ignorieren.Besonders harsch fällt diese Warnung für Firefox aus: "Seriöse Banken, Geschäfte und andere öffentliche Seiten werden Sie nicht bitten, derartiges zu tun." Entsprechend verunsichert dürfte sich jetzt mancher Anwalt die Frage stellen, ob es sich bei der Bundesrechtsanwaltskammer um eine seriöse Vereinigung handelt.

Mir scheint, die haben aus der Not heraus jetzt ein Self-Sign-Zertifikat erstellt. Das richtige war ja wohl von T-Systems... Security made in Germany.

Sehr interessanter Artikel bei Heise

https://www.heise.de/newsticker/meldung/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach-3927314.html

Oh Mann, oh Mann, ein hoch sicheres System, das den Private Key raushaut und im WTS-Umfeld bei ordnungsgemäßer Nutzung den Zugriff durch Unberechtigte ermöglicht.

Einen gelungen Start in die digitale Zukunft stelle ich mir anders vor. Hier wird eine durchaus mögliche Begeisterung der Beteiligten für digitalen Fortschritt mit Gewalt verspielt.

avanti dilettanti.

Hallo Herr Renz,

danke für die Datei. Was Sie sich da "eingefangen" haben kann ich Ihnen sagen.

Das System funktioniert so: Der Security-Client startet einen lokalen HTTPS-Server auf Port 9998. Da HTTPS verwendet wird, braucht es ein TLS- Zertifikat (inkl. Private Key). Das kam ursprünglich von T-Systems und ist auf den Hostnamen "bealocalhost.de" ausgestellt. Diese Domain gehört der BRAK und wird von ATOS verwaltet. Über diesen Namen spricht der Browser den Security-Client an. (Damit das klappt löst der Name fest nach 127.0.0.1 auf.) [BTW: Das ist auch der Grund, warum WTS-Umgebungen Probleme machen. Das ist Murks by Design].

So, bei der Verteilung dieses Zertifikats hat ATOS Mist gebaut und die Lösung der BRAK (in Zusammenarbeit mit ATOS) ist nicht besser: Statt sich bei T-Systems (oder jeder anderen CA) ein neues Zertifikat ausstellen zu lassen, haben sie sich selbst eines gestrickt (Self-Sign).

Das Problem ist jetzt, damit der lokale Webserver mit dem Zertifikat starten kann, muss er den Key kennen. Das aber widerspricht den Vorgaben für private Keys: Die müssen privat bleiben und dürfen nicht aus der Hand gegeben werden. T-Systems hat also erfahren, dass der Key "veröffentlicht" wurde, und musste so das Zertifikat sperren. Das war von Anfang falsch designed und sie haben halt gehofft, dass sich das keiner so genau anschaut.

Ich habe den Client gerade mal in einer VM installiert. Durch den Autoupdater zieht der sich schon das neue Zertifikat.

Jetzt haben die aber ein Problem: Kein Browser vertraut einem Zertifikat ohne vollständige Zertifizierungskette (CA -> (Zwischen-CA) -> Aussteller -> CN). Also muss man jetzt die (selbst erstellte) CA in den Browser der Anwender bekommen.

Aus Sicht eines IT-Sicherheitsexperten sollte man in diesem Fall wohl ehr dem Hersteller die Software um die Ohren hauen, dass es nur so scheppert und die Software deinstallieren bis es eine sichere Version gibt.

Die jetztige Lösung ist die technisch einzig mögliche. Aber state-of-the-art (und das fordert der Gesetzgeber zum Schutz unsere Daten) ist, dass jeder Client bei der Installation seinen eigenen Key erzeugt, diesen dann von offizieller Stelle signieren lässt und schon sind alle happy.

Frohe Weihnachten.

Edith sagt: eigenen Murks korrigiert.

lieber Herr Röhrig,

das ist ein digitales Trauerspiel. Und leider muss man konstatieren, dass wir Anwälte (die BRAK) mit so einem Thema völlig überfordert sind und ganz offensichtlich auf EDV-Scharlatane vertraut haben.

Dass das Ganze wie eine „geheime Kommandosache“ und ohne vernünftigen Einbezug der durchaus Kompetenten Kanzleisoftware-Hersteller auf Biegen und Brechen rausgeknallt wurde, wird unserem Berufsstand und der Aktzepanz des Systems vermutlich viele Jahre als Mühlstein am Hals hängen.

EXTREM SCHADE

Noch ein Nachtrag: Der ELSTER-Authentikator für die Anmeldung am ELSTER-Portal mit Stick oder Signaturkarte arbeite nach dem gleichen Prinzip.

Auch hier startet diese Software einen lokalen Webserver, aber in diesem Fall nicht HTTPs sondern nur HTTP. Ob das jetzt besser ist... es ist zumindest weniger fehleranfällig. Dieses Tool scheint als Proxy zu arbeiten und wickelt die eigentliche Anmeldung im Hintergrund verschlüsselt mit dem Server ab.

Das kann ich aber nicht prüfen, ich nutzte ELSTER nicht mit Stick oder Karte.

Wie schrieb einer in den Heise-Foren: Zur Firma ATOS sollte man immer einen Sicherheitsabstand halten.

https://www.heise.de/forum/heise-online/News-Kommentare/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach…

beA - Weihnachten fällt aus.

system ist vom Netz, zu den Hintergründen schreibt die faz

Anwaltspost doch lieber auf dem Luftweg? - F.A.Z. Einspruch

https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html

Die haben verschlimmbessert.

Hallo,

wobei es dieser Kommentar vermutlich auf den Punkt bringt:

https://www.heise.de/forum/heise-online/News-Kommentare/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach…

Hallo p.w.

sie wissen aber schon, dass hier überwiegend Anwälte reinschauen?!

Für die IT-ler hier folgenden Link zum Thema, damit die Grundlagen zur nötigen Beratung der Anwaltskanzleien gelegt werden. Die Entscheidung „Sicherheitsrisiko oder beA nicht nutzen„ muss jeder Anwalt selbst treffen, aber vernünftig beraten sollte dabei sein.

Hm, die BRAK scheint Weihnachtsfeiertage großzügig auszulegen.

Denn Stand jetzt erscheint noch der Wartungshinweis.

Neuer Hinweis bei bea.brak.de

27. Dezember 2017  

Anmeldeprozess am beA wird überarbeitet

Die Bundesrechtsanwaltskammer (BRAK) wird die Plattform beA vorerst weiter offline lassen.

Am Freitag hatte die BRAK die beA-Plattform vom Netz genommen, nachdem ein für den Zugang erforderliches Zertifikat als unsicher eingestuft und gesperrt worden war. Die Ende-zu-Ende-Verschlüsselung war davon nicht betroffen. Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert. Es handelt sich um ein Zugangs- bzw. Verbindungsproblem, das der Technologieentwickler des beA-Systems trotz intensiver Arbeiten bislang nicht gelöst hat.

Die BRAK wird daher das beA-System erst wieder bereitstellen, wenn der technologische Dienstleister die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat.

Allen Rechtsanwältinnen und Rechtsanwälten, die entsprechend der ursprünglichen Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installierten, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen. Eine Anleitung finden Sie in Kürze hier.

Letztes Kapitel, Wow, Sie haben es bemerkt.....

*applaus*

Die BRAK wird daher das beA-System erst wieder bereitstellen, wenn der technologische Dienstleister die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat.

Dieser Hinweis findet sich zwischenzeitlich auch auf der Startsteite des beA.  Wer die Aussage allerdings genauer liest, fragt sich, wie ATOS innerhalb von 4 Tagen ein den Behauptungen nahekommendes System ausrollen will nachdem es dies in den vergangenen - nunmehr 2 Jahren - nicht geschafft hat.

"... erst wieder bereitstellen..." bedeutet doch: It's done, when it's done.

Es muss ja auch nicht ATOS sein, die das reparieren - oder neu entwickeln.

genau: "It's done, when it's done".

Die Frist von 4 Tagen war gerechnet bis zur verpflichtenden Empfangsbereitschaft durch uns Rechtsanwälte. - Es sei den, es würde morgen noch eine Änderungsverordnung im Bundesgesetzblatt veröffentlicht, nach der die verpflichtende Passivnutzung baw aufgehoben wurde.

Welcher "technologische Dienstleister" soll es sonst sein.  Mein Informationsstand ist, dass die Kammer die Entwicklung, Umsetzung und den Betrieb an ATOS übertragen hat.  Oder hat uns die Kammer da wieder etwas verschwiegen?

Da aber vorraussichtlich niemand das Systen in 4 Tagen wird nutzen können, ist die Passivnutzung gerade auch egal. Es kann ja niemand was schicken, also braucht auch niemand was abrufen.

Das ist auch mein Stand. Entwickelt, umgesetzt und betrieben durch ATOS. Und die müssen jetzt nachbessern. Wenn sie es nicht schaffen, könnte die BRAK den Auftrag auch an den zweitbesten Bieter neu vergeben. Aber der müsste sich dann erst komplett einarbeiten und je nach Vertragslage auch bei Null anfragen...

Wobei... Nachrichten lassen sich auch mit dem EGVP-Nachfolger erstellen. Müsste man glatt mal ausprobieren, ob die wirklich die ganze Plattform abgeschaltet haben oder nur den Login.

Naja... der Stand heute ist doch eine 1A-Passivnutzung. Wir haben einen Client, sind empfangsbereit aber der Server schwimmt kieloben.

Passiver geht es doch gar nicht 🙂

die Passivnutzung kann nicht ganz egal sein.  Wie der Kollege Renz zu recht an anderer Stelle darauf hingewiesen hat, soll es bereits Kollegen gegeben die das System genutzt haben und deshalb im Regen stehen gelassen werden. 

Dann muss man wohl davon ausgehen, dass die Nachrichten den Empfänger nicht erreicht haben. Gleiches dürfte wohl gelten, wenn die Plattform aus anderen Gründen mal nicht erreichbar sein sollte. Das ganze System ist ein SPOF.

diese Nachricht kam soeben von der RAK-SH:

Wie wir Ihnen bereits gestern mitgeteilt haben, ist das beA wegen einer Sicherheitslücke derzeit nicht erreichbar. Die BRAK hat mit Schreiben vom 27.12.2017 auch die Ministerin für Justiz, Europa, Verbraucherschutz und Gleichstellung des Landes Schleswig-Holstein Dr. Sütterlin-Waack über diesen Umstand informiert. Das Schreiben finden Sie zu Ihrer Kenntnis hier. Die Schleswig-Holsteinische Justiz ist darüber in Kenntnis gesetzt worden, dass die Rechtsanwältinnen und Rechtsanwälte die Ihnen ab dem 01.01.2018 gesetzlich obliegende passive Nutzungspflicht des beA derzeit leider nicht erfüllen können. Es können auch keinerlei Nachrichten in das beA der Kollegen gesandt oder von dort abgeholt werden. Gerichte sind daher auch nicht in der Lage, Nachrichten in das beA der Kollegen zu senden.

Sobald das beA wieder erreichbar ist, werden wir Sie unverzüglich informieren.

Eine Anleitung zur Deinstallation des am 22.12.2017 ersatzweise bereitgestellten Sicherheitszertifikates finden Sie hier.

Was mach ich denn jetzt eigentlich, mit der noch nicht gelesenen Nachricht, über die ich am 21.12.17 noch informiert wurde? Wie bringe ich denn zumindest in Erfahrung, wer mir geschrieben hat? *kopfschüttel*

gar nicht.