23 Antworten Neueste Antwort am 07.03.2018 09:07 von agmü

    beA - BRAK-Sitzung bringt uns auch nicht weiter

    michael.renz Aufsteiger

      Hallo Community,

       

      hier er ein Artikel aus der LTO über die „Ergebnisse“ der BRAK Sondersitzung vom 9.1.18

       

      https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-brak-praesidentenkonferenz-unabhaengige-gutachter-zahlungen-atos…

       

      So richtig erhellend ist das aber auch nicht. Kurz gefasst „man ist ratlos, will untersuchen und wieder zum Leben erwecken, aber wann und wie ist völlig offen.

        Alle Antworten
        • 1. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
          jan Fortgeschrittener

          Dem Kommentar zu diesem Beitrag von Enrico Weigelt (10.01.2018 05:54, Enrico Weigelt, metux IT consult) gibt es eigentlich nichts hinzuzufügen.

           

          https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-brak-praesidentenkonferenz-unabhaengige-gutachter-zahlungen-atos…

           

          10.01.2018 05:54, Enrico Weigelt, metux IT consult

           

          Werte Leser,

           

          als einer der "kritischen Experten, die sich in den vergangenen Tagen zu Wort gemeldet hätten" sehe ich mich gezwungen, einige Behauptungen der BRAK zu korrigieren:

           

          1. "die Datensicherheit im beA-System war und ist jederzeit gegeben" - diese Behauptung ist komplett unhaltbar.

           

          I. Schon die über Jahre vorhandene erste Zertifikats-Lücke (mit deren Aufdeckung die ganze Geschichte ihren Lauf nahm) hat eine Man-in-the-middle-Attacke ermöglich. Zumindest mobile Nutzer, oder auch solche mit kompromittierten Routern (denken wir zB. an die vielen von Botnets infizierten billig-WLAN-Router) waren gut angreifbar. Der Angreifer lenkt die Kommunikation zwischen Browser und "bea ClientSecurity" um, kann damit die (bereits/noch) unverschlüsselten Daten abgreifen, manipulieren, ggf. Code in den Browser einschleusen und damit auch gefälschte Dokumente signieren lassen. Das ist bereits eine fatale Lücke. Ob diese bereits ausgenutzt wurde, können wir praktisch nicht prüfen.

           

          II. Desweiteren gibt es eine Reihe XSS-Lücken - schon im Login-Formular. Damit läßt sich (ohne Zutun des Nutzers) Schadcode in den Browser (im Kontext des beA) einschleusen. Session-Highjacking ist damit trivial: alles was ein eingeloggter Nuzter tun kann, ist dem Angreifer dann auch möglich. Beispielsweise bereits entschlüsselte Nachrichten lesen. Wir müssen befürchten, daß es noch weitere Lücken gibt, mit denen sich evtl. sogar Schadcode permanent implantieren läßt.

           

          III. Mit dem hektischen Reparaturversuch (Root-Zertifikat) hat ATOS nicht nur vollständige Inkompetenz in IT-Security bewiesen, sondern ganz nebenbei die TLS-Sicherheit mit einem Federstrich komplett eliminiert. Ab dem Punkt sind nicht nur sämtliche Websites unsicher, es lassen sich auch falsche Updates im PC einspielen - vorzugsweise über das Update des "bea ClientSecurity" selbst.

          Spätestens hier gilt der dringliche Rat, den PC komplett neu zu installieren - niemand kann sagen, ob sich hier schon ein Angreifer eingenistet und den PC komplett übernommen hat. (auch Virenscanner und ähnliches Snakeoil helfen hier nicht weiter).

           

          IV. Der beA-Webserver war sogar so schlecht configuriert, daß die TLS-Verbindung angrreifbar war, dh. ein Angreifer kann abhören und manipulieren (insb. den Code in der Website - noch schlimmer als og. XSS-Angriff)

           

          V. Überhaupt ist die Idee, eine solche Aufgabenstellung via Web-Anwendung umzusetzen, äußerst waghalsig (davor hatte ich bereits 2013 gewarnt). Sobald XSS-Lücken existieren (welche ja gefunden wurden), die TLS-Verbindug oder der Webserver selbst kompromittiert wird, ist die Sicherheit komplett gebrochen.

           

          Ein sinnvoller Grund, derartiges als Web-Anwendung zu implementieren, gibt es - nicht zuletzt bei dem exorbitanten Budget (wo ein kompletter Mail-Client locker nebenbei abfäll) - schlicht nicht. Im Gegenteil: die hiermit verbundenen Probleme machen eine sichere Umsetzung viel, viel komplizierter und aufwändiger.

           

          2. Die Sicherheitslücke wurde *NICHT* von Verantwortlichen der BRAK entdeckt, sondern einem Außenstehenden - Markus Drenger. Dieser hatte auch das kompromittierte Zertifikat an den Aussteller gemeldet. Und jenen versuchte die BRAK dann auch noch als Verursacher der Katastrophe darzustellen.

           

          3. Die BRAK behauptet nach wie vor eine Ende-zu-Ende-Verschlüsselung. Das muß man - in den offiziell publizierten Dokumenten leicht nachprüfbar - als glatte Lüge bezeichnen. Der Begriff Ende-zu-Ende-Verschlüsselung ist definiert als eine vom Sender zum Empfänger durchgängige Verschlüsselung. Hier liegt aber faktisch nur eine Transport- und Speicherverschlüsselung (vom/zum Provider vor). Der Provider/Zusteller kann mitlesen - genau wie bei de-Mail.

           

          4. "beA-Lösung war erforderlich, Standards reichten nicht aus". Diese Behauptung ist nur zu geringem Teil wahr. Verschlüsselung und Signatur wird bereits von lang bewährten Standard-Technologien (GPG, etc) gewährleistet und läßt sich direkt auf klassicher eMail verwenden. Der klassischen eMail fehlt lediglich eine forensisch verläßliche Zustellverfolgung - diese läßt sich aber (zumindest in geschlossenen Umgebungen) verhältnismäßig einfach umsetzen.

          Ich habe selbst bereits einige solcher Umgebungen aufgebaut (nebenbei erwähnt sogar mehr Nutzer als beim beA), welche nur einen geringen Bruchteil des beA-Budgets gekostet haben.

           

          Eine Einbindung des proprietären EGVP (welches bei vernünftiger Betrachtung schon bei seiner Erfindung komplett überflüssig war - siehe oben) ist sicherlich nicht gänzlich trivial, aber dennoch kein plausibler Grund, das Rad ein weiteres Mal neu erfinden.

           

          4. "So ist es durch das beA-eigene Hardware Security Module zum Beispiel möglich, verschiedene Zugangsberechtigungen zum Postfach zu gewähren und damit den Anforderungen in Kanzleien zu entsprechen." - diese Aussage kann ich aus technischer Sicht nur als groben Unfug bezeichnen. Ich hatte bereits 2013 Lösungen vorgestellt, die genau dies - also einen Bruch der Ende-zu-Ende-Verschlüsselung und damit verbundene Unsicherheit - nicht erfordern. Diese waren aber wohl politisch nicht gewollt. Sicherlich auch, weil sie nebenbei auch mittelfristig EGVP als Ganzes, und damit auch die daran hängenden Firmen, überflüssig gemacht hätten.

           

          Im Übrigen darf man die Sicherheit von HSMs getrost als Mythos bezeichnen. Siehe zB. der kürzliche Vortrag auf dem CCC-Kongress zum Bruch der EC-Systems.

           

          --mtx

           

          Ein weiteres, tauriges Kapitel für "Bullshit made in Germany"

          1 von 1 Personen fanden dies hilfreich
          • 2. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
            andreashofmeister Meister

            ES dürfen Wetten abgeschlossen werden....?

            • 3. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
              agmü Fortgeschrittener

              Ich hatte schon gedacht, dass meine Wette verloren wäre.  Derzeit steht noch die Wette, dass wir zur offiziellen Inbetriebnahme des beA auch die offizielle Eröffnung des BER feiern und über diesen nach Berlin einfliegen können .

              • 4. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                rahayko Einsteiger

                http://www.rak-sh.de/wp-content/uploads/2018/01/pe-012018bea.pdf

                 

                Ich möchte gar nicht wissen, wie viel Zeit dabei auf eine Wortfindung wie beAthlon verwendet wurde und nicht auf die wirklichen Problem...

                • 5. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                  agmü Fortgeschrittener

                  Sie erhalten wovon Ihren Kammern zumindest relativ zeitnah Informationen.  Unsere Kammer schweigt sich aus.  Im besten Fall erhalten wir von der RAK die Info der BRAK weitergeleitet.

                   

                  die Frage ist nicht wie viel Zeit, sondern wie viel Geld für die PR-Agentur ausgegeben wurde. .

                  • 7. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                    michael.renz Aufsteiger

                    Zumindest der Präsident der Rechtsanwaltskammer Koblenz schreibt einen etwas umfassenderen Bericht. Er verwendet darin leider den Begriff "Manipulation" im Zusammenhang mit der Aufdeckung der Sicherheitslücke durch Herrn Drenger vom ccc-Darmstadt und hat das inzwischen insofern "berichtigt" als er damit keine missbräuchliche Verwendung angedeutet hat.

                     

                    https://www.rakko.de/

                     

                    Leider steht der Brief selbst nicht auf der Homepage sondern kann unter obigem Link heruntergeladen werden.

                     

                    Mache sich jeder selbst ein Bild über "unsere" BRAK.

                    • 8. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                      agmü Fortgeschrittener

                      Habe grerade die PM der Kammer gelesen und reibe mir die Augen:

                       

                      Was hat das amtliche Anwaltsregister mit dem beA zu tun und was ist "Find a Lawyer"?

                       

                      Wieso muss das Bundesweite amtliche Anwaltsverzeichnis vom Netz, wenn der Zugang zum beA "komprimitiert" ist? da wird doch nicht noch ein weiteres Einfallstor vorhanden sein....
                      Aber wir wollen mal besser nicht spekulieren.

                       

                      Nachtrag:  Warum ist eine Sicherheitsüberprüfung der Architektur "vertraulich"? (Bericht RAK Koblenz?).

                      Geändert am 10.01.18 um 16:19 Uhr
                      • 9. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                        kroerig Einsteiger

                        Möglichlicherweise weil der EGVP-Client bzw. der Nachfolger eine andere Schnittstelle zum beA-System nutzen und es somit möglich gewesen wäre über EGVP Nachrichten in das System zu bringen die nie jemand hätte abrufen können. Denn der Governikus Communikator Justiz-Edition (alter Wein in neuen Schläuchen) greift unabhängig von einem Login auf das Anwaltsverzeichnis zu.

                        • 10. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                          mkinzler Fachmann

                          Nachtrag:  Warum ist eine Sicherheitsüberprüfung der Architektur "vertraulich"? (Bericht RAK Koblenz?).

                          Man hat wohl Angst vor einem möglichen Ergebnis.

                          • 11. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                            agmü Fortgeschrittener

                            wenn dem so wäre - und meine bescheidenen IT-Kenntnisse halbwegs treffend sind - führt kein Weg an einer vollkommenen Neukonzeption vorbei.

                             

                            Das Anwaltsregister gibt doch "nur" Auskunft darüber, ob eine Person als Rechtsanwalt zugelassen ist; mehr nicht.

                             

                            Mein Grauen wächst ....

                            • 12. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                              kroerig Einsteiger

                              Doch. Darin ist auch die Safe.ID hinterlegt.

                              https://www.bea-brak.de/bravsearch/search.brak

                               

                              Spontan fällt mir auch keine Lösung ein, wie man den Client "retten" könnte. Denn sobald dieser TLS sprechen soll, braucht er ein Zertifikat und auch den Privat-Key dazu. Zwar kann man den verschlüsselt hinterlegen. Aber sobald der Client startet muss der Schlüssel entschlüsselt werden und in den Speicher geladen werden und ist damit (ggf. mit Aufwand) auslesbar.

                               

                              Der Prozess müsste umgekehrt laufen: Nicht der Browser redet mit dem Sec-Client, sondern der Sec-Client authentifiziert sich gegenüber dem beA-System.

                              Geändert am 10.01.18 um 16:41 Uhr
                              • 13. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                agmü Fortgeschrittener

                                allein wegen der "E-Mail-Adresse" (Witzbezeichnung "SafeID") das gesamte Register vom Netz zu nehmen ist mit Atomraketen auf Läuse geschossen. 

                                 

                                 

                                Ich verstehe nicht, warum mit der Digitalisierung das Rad neu erfunden werden muss.  Wie läufte es denn in der Praxis.  Der Anwalt macht einen Schriftsatz/Brief/Mahnantrag oder lässt diesen vom Mitarbeiter/-in erstellen.  Dieser wird/wurde Ihm vorgelegt; er hat ihn unterzeichnet und der Mitarbeiter/-in, hat das ganze für den Postversand fertig gemacht.

                                Wenn ich meinen MA vertraut habe und diese auch Schreiben habe unterschreiben lassen, war es noch immer mein persönliches Risiko, wenn etwas schief gelaufen ist.

                                 

                                Gleiche gilt für die "Abholung der Post".  Der Mitarbeiter/-in geht an den Briefkasten, entnimmt den Brief, öffnet diesen und legt den Inhalt dem Anwalt vor (oder auch nicht).

                                 

                                Diese Prozesse sind, da bin ich mir eigentlich ziemlich sicher im Kern in allen Kanzleien vorhanden.

                                 

                                Daher:  Verantwortlich ist der Anwalt.  Dieser muss mit seiner Unterschrift für den Inhalt der versendeten Schriftstücke haften, die die Kanzlei verlassen.  Ob er den Inhalt der Schreiben kennt ist, eine Kanzleiinterne Angelegenheit.

                                 

                                Diese Vorgänge sollten nunmehr digial abgebildet werden:

                                 

                                Der Anwalt muss unterzeichnen. hierfür hat er eine (qualifizierte) Signatur.  Die Berufsträgerschaft kann die Kammer bestätigen - hat Sie in der Vergangenheit auch gemacht.  Wenn ich ein Dokument mit meiner Signatur versehe, übernehme ich die Verantwortung für den Inhalt.

                                 

                                Der Empfänger kann, wie heute bei allen gängigen Signatur und Verschlüsselungsverfahren prüfen, ob die CA (BNotK) noch die Gültigkeit der Berufstrtägersignatur bestätigt. Die CA kann sich meinetwegen bei der BRAK rückversichern, ob die Signatur des Herrn Müller noch als die eines Anwalts gelten soll oder nicht. [Colorandi causa sei erwähnt, dass sich die BNotK 2015 auf meine Nachfrage verplappert hat:  die Datenbestände wurden damals nur zweimal wöchentlich abgeglichen] Damit habe ich die Unterschrift und die Verantwortung für den Inhalt.  Dabei ist es dann egal ob der Herr Müller selbst "unterschrieben" hat oder ob er dies vom Sekrtariat machen lässt.

                                 

                                Soweit es um die "Nicht-Lesbarkeit der übermittelten Daten geht:  Verschlüsselung auf dem Absenderrechner mit dem öffentlichen Schlüssel des Empfängers.  Entschlüsselung beim Empfänger.  Ob Herr Müller oder sein Mitarbeiter die Nachricht entschlüsseln ist doch egal und nur eine Frage der Kanzleiorganisation.

                                 

                                 

                                 

                                Wie viele Kanzleien sammeln auch die persönlich an den Anwalt adressierten E-Mails in einem zentralen Posteinlauf oder lassen die pesönlichen e-Mail Nachrichten vom Mitarbeiter abrufen.  Auch hier ist der Anwalt der Verantwortliche.

                                 

                                Eine vernünftige Signier- und Verschlüsselungskomponete und wir hätten eine vernüftige und halbwegs abgesicherte digitale Kommunikation.

                                 

                                Mir ist durchaus bewußt, dass die Überlegungen vereinfacht sind.  Aber im Vergleich zu dem technisch unzulänglichen Monster beA wäre diese eine handhabbare Lösung, mit 38 Mio Euro hätte sogar ein neues Verschlüsselungsverfahren entwickelt werden können.  Ich sehe keine nachvollziehbare technische Notwendigkeit in einem "HSM" eine Nachricht zu ent- und dann neu zu verschlüsseln.

                                 

                                Das Argument: Verhinderung von Spam-Nachrichten ist mit der Interkonektivität zum EGVP / De-Mail / ... auch obsolet.  Mir wäre nicht bekannt, dass irgend jemand meine Identität geprüft hätte, als ich für uns ein EGVP-Postfach angelegt habe.

                                 

                                Wahrscheinlich denke ich auch nur zu naiv und habe die Probleme nicht verstanden.

                                 

                                In diesem Sinne: Warten wir auf die Nächste Runde Irrsinn

                                • 14. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                  kroerig Einsteiger

                                  Da die EGVP-Software ein "Bürger"-Client ist, konnte auch ich mich dort anmelden (ohne Identiätsüberprüfung) und meinem Kunden darüber Nachrichten schicken. (Er sie nur leider nicht mehr abrufen).

                                   

                                  Der Sinn einer Signaturkarte is ja gerade, dass sie nicht aus der Hand gegeben werden darf. (Auch wenn in im Alltag anders laufen wird). Daher sieht das beA ja vor, dass ich auch andere auf mein Postfach berechtigen kann. Und da ist jetzt das Problem.

                                   

                                  Bei einer E2E-Verschlüssselung müssen dem Absender alle Empfänger bekannt sein, die die Nachricht später mal öffnen sollen. (Wer mit PGP oder S/MIME arbeitet kennt das Verfahren). Also kann eine an Anwalt A gerichtetet Nachricht auch nur von Anwalt A entschlüsselt werden, und eben nicht vom Vorzimmer V. (Außer V nutzt die Signaturkarte von A. Wenn ich das als Kunde mitbekomme, müsste ich der BRAK einen Verstoß melden, und diese die Karte sperren)

                                   

                                  Bei richtiger E2E-Verschlüsselung würden die heutigen Praxisabläufe nicht mehr funktionieren, weil alles als "EINSCHREIBEN PERSÖNLICH" verschickt wird und jeder seine Post nur noch persönlich abholen und öffnen könnte.

                                   

                                  Also geht das beA hin und muss die Nachricht "umschlüsseln", damit auch V die Nachricht an A mit der Karte von V öffnen kann. Das war's dann mit E2E-Verschlüsselung.

                                   

                                  Mögliche technische Lösung dafür: virtuelle Signaturkarten und ein PGP-Gateway, das die Nachricht beim Empfänger entschlüsselt und an die Anwaltssoftware übergibt. bzw. beim Sender das Verschlüsseln übernimmt.

                                   

                                  Das klappt aber sicher zuverlässig nur, wenn ich meinen eigenen Mailserver betreibe und die Postfächer dann nicht auf t-online.de oder gmx.de lauten. Und es wäre ein höhere Einrichtungsaufwand gewesen. Die Cardreader anschließen und nach Anleitung den beA-Client installieren bekommt auch Oma Erna hin. Ein PGP-Gateway ist da eine andere Hausnummer. Das bekommt meist auch nicht der PC-Laden um die Ecke hin.

                                  Geändert am 10.01.18 um 17:41 Uhr
                                  • 15. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                    agmü Fortgeschrittener

                                    Bei einer E2E-Verschlüssselung müssen dem Absender alle Empfänger bekannt sein, die die Nachricht später mal öffnen sollen. (Wer mit PGP oder S/MIME arbeitet kennt das Verfahren). Also kann eine an Anwalt A gerichtetet Nachricht auch nur von Anwalt A entschlüsselt werden, und eben nicht vom Vorzimmer V. (Außer V nutzt die Signaturkarte von A. Wenn ich das als Kunde mitbekomme, müsste ich der BRAK einen Verstoß melden, und diese die Karte sperren)

                                     

                                    Wo ist das Problem?  Empfänger ist nicht der RA persönlich, sondern die Kanzlei; d.h. es gibt eine Sigantur für Versand und Empfang.  Dies würde sowieso a) der Rechtslage entsprechen und b) die Technischen Probleme entzerren und würde, da bin ich wieder bei meinem ersten Post, der analogen Welt entsprechen.

                                     

                                    Nennen wir das Kind doch einfach beim Namen:  Ein sicherer Übertragungsweg soll gewährleisten, dass nur Berechtigte über diesen Übertagungsweg kommunizieren.  Wenn nur Berechtigte Zugang zum Übertragungsweg haben, bedarf es keiner weiteren Legitimation mehr; warum sonst entfällt die Pflicht zur Verwendung einer qeS bei Verwendung des beA? Die qeS ist/war doch die Unterschrift als Rechtsanwalt; damit seine Legitimation.

                                     

                                    Nur wenn die Legitimation nicht über den Zugang zum Kommunikationsweg erfolgt, benötige ich eine weitere Legitimation; durch eine (qe) Signatur.

                                     

                                    Mit dem bea sollte die Legitimation durch den Zugang (nur Rechtsanwälte) nachgewiesen werden.  Dann hat man aber festgestellt, dass in einer arbeitsteiligen Welt  auch "nicht-legitimierte" Zugang zum System haben müssen.  Also wurde das Signaturerfordernis geboren und letztlich hat jeder Zugang zum Kommunikationsweg.  Nunmehr stehen alle Beteilgite vor dem Dilemma, wie diese Quadratur des Kreises funktionieren soll und fallen dabei auf die Nase.

                                     

                                    Vorhersehbar und für uns mit erheblichen Kosten verbunden.

                                    Geändert am 11.01.18 um 08:18 Uhr
                                    • 16. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                      rahayko Einsteiger

                                      Na gegen die Kanzleikarte haben wir uns ja erfolgreich gewehrt.

                                      Die Frage ist bei der E2E Technik (wenn man diese an sich nicht in Frage stellen möchte), wo ist das Ende. Und wenn dieses, wie der Kollege Müller ausführt, die Kanzlei ist, funktioniert das Gedankenmodell wieder.

                                      • 17. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                        michael.renz Aufsteiger

                                        Hallo Community,

                                         

                                        und die grundsätzliche Kritik am Konzept geht weiter. Auf LTO wird wie folgt berichtet:

                                         

                                        https://www.lto.de/recht/juristen/b/reaktionen-brak-praesidentenkonferenz-sondersitzung-bea-anwaltspostfach-totalschaden…

                                         

                                        Toll, dass wir für 38Mio. einen Totalschaden produziert haben, und der ursprüngliche Zielkonflikt e2e-Verschlüsselung/arbeitsteilige Kanzleiorganisation nie erkannt und kommuniziert sondern schlicht im Begriff „high Security Modul“ versteckt wurde. Und dass man mit diesem HSM ein Atomziel für Hackerangriffe mit - bei erfolgreichem Eindringen- Zugang zum kompletten Rechtsverkehr geschaffen hat, sei nur nebenbei bemerkt.

                                         

                                        Auch da hätte eine vernünftige Kommunikation und Offenheit im Umgang mit der Problemstellung bereits in der Konzeptionsphase sicher mehr geholfen. Jetzt muss man sich überlegen, ob die Schrottpresse für die bisher entwickelten softwareansätze angeworfen wird und vom Vertrauensverlust in die Leistungsfähigkeit der BRAK und seiner Vertreter samt Partner will ich gar nicht reden.

                                         

                                        Das ist eine Blamage und Schande für den Berufsstand. Unfassbar.

                                        Geändert am 10.01.18 um 21:50 Uhr
                                        • 18. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                          andreashofmeister Meister

                                          M.E. ist die Kommunikation der BRAK zu beA in den letzten beiden Jahren schon nicht sehr ruhmreich gewesen.

                                           

                                          Das das ganze Projekt 8 Tage vor "Scharfschaltung" denn zerplatzte war doch letztendlich nur der I-Tüpfelchen.

                                           

                                          Aber besser so, als wenn die Sicherheitsprobleme im laufenden Betrieb aufgedeckt worden wären.

                                           

                                          Ich vergleich das ganze immer (ein bisschen)  mit der DATEV-SmartCard und dem Einsatz in den entsprechenden Szenarien (Kammerausweis, VAST, Steuerkonto Online). Da geht's doch auch....., oder?

                                           

                                          Nun also nach der Gesundheitskarte der nächste IT-Flop.

                                          • 19. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                            agmü Fortgeschrittener

                                            Für mich ergibt sich nach den Stellungnahmen der einzelnen RAK folgendes Bild:

                                             

                                            Atos hat 2015 - man beachte das Datum - das beA-Konzept von der SEC Security prüfen lassen.  Parallel will die BRAK die capgemini Deutschland GmbH eingeschalten haben um sich über die Richtigkeit des Berichtes unterrichten zu lassen.  capgemini Deutschland GmbH hätte inhaltlich nichts zu beanstanden gehabt.  In 2015 hätte ich auch noch keinen Anlass gehabt darauf hinzuweisen, dass bestimmte Betriebssystemversionen in 2 Jahren nicht mehr unterstützt werden. Es darf m.E. zum Allgemeinwissen gezählt werden, dass auch Software einem Alterungsprozess unterliegt und daher regelmäßig aktualisiert werden muss.

                                             

                                            Im Jahr 2017 wird vom CCC festgestellt, dass - vereinfacht und komprimiert - die ausgelieferte Software auf Java-Libraries beruhrt, die bereits 2015 ihren "End of Life" hatten.

                                             

                                            Seither hat offensichtlich weder eine neue Prüfung des Konzeptes stattgefunden, noch scheint die Kammer bei ATOS nachgefragt zu haben, wie sich die Weiterentwicklung der Software gestaltet.  Allerdings scheint auch die BRAK sich auf eine einmalige externe Beratung beschränkt zu haben.

                                             

                                            Das die BRAK "sparen" wollte und keine externen Berater bezahlen wollte, könnte ich noch nachvollziehen.  Allerdings hätte ich erwartet, dass die Projektverantwortlichen der BRAK hier regelmäßig beim externen Dienstleister nachfragen.  Sollte die geschehen sein würden mich die Antworten von ATOS interessieren.  Hat ATOS die aktualität bestätigt läge eine klare Täuschung vor. Wurde bei der BRAK die Thematik nicht problematisiert gibt es für die Mißachtung dieser Problematik keine Entschuldigung und die Betreffenden müssen die Konsequenzen ziehen.  Dies gilt auch für das Präsidium.  Das Präsidium trägt die Verantwortung für die Arbeit der BRAK.  Geschehen dort Fehler hat das Präsidium offensichtlich seiner Verantwortung nicht genügt.  In anderen Unternehmen und der Politik bedeutet dies, dass der/diejenigen in dieser Position nicht mehr länger tragbar sind.

                                            • 21. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                              akoppel Beginner

                                              Klingt für mich ausschließlich nach Worthülsen. Sicherlich ist das berichtenswert und zwar dahingehend, dass es absolut keine neuen Infos gibt. Ich finde es immer wieder verblüffend, wie wortreich eine Nullinformation verpackt werden kann und von den Beteiligten dann als große Erkenntnis verkauft wird.

                                              • 23. Re: beA - BRAK-Sitzung bringt uns auch nicht weiter
                                                agmü Fortgeschrittener

                                                Das Thema beA(+) ist denke ich durch.  Hier als betroffener Anwender noch Energie zu verschwenden ist m.E. sinnlos. Die BRAK macht was sie will, Konsequenzen wird es keine geben.  Passt in das Bild welches die Verwaltung in Deutschland an allen Ecken und Enden zeigt.

                                                 

                                                Allerdings stimmen mich die "Ausblicke" des Landgerichtspräsidenten des LG Darmstadt - vorsichtig formuliert - nachdenklich.  LegalTech ist hilfreich in "Standardfällen".  Wenn ich mir allerdings so mache Beratung vor Augen führe, frage ich mich wiedereinmal: wo bleibt der Realitätscheck?  Legal Tech macht m.E. nur an den Stellen Sinn, an denen der Rechtssuchende selbst entscheiden kann, wie sein Sachverhalt rechtlich einzuordnen ist.

                                                 

                                                Allein die Übertragung des Eigenheims an die nächste Generation kann eine Vielzahl von Folgeproblemen aus dem Erb- und Familienrecht, aber auch aus steuerlichen Gesichtspunkten auslösen, dass m.E. LegalTech hier allenfalls bei der Erstellung der  Standardvertragsklauseln, nicht aber bei den individuell erforderlichen Regelungen behilflich sein kann.

                                                 

                                                Abschließend noch zum Einsatz der KI:  Das Wissen um die Lösung von rechtlichen Fragestellungen ist das KnowHow des Anwalts und damit dessen Kapital.  Wir sollte daher vorsichtig sein, dieses KnowHow über die Cloud und BigData allgemein zugänglich zu machen.  An diesem Punkt schaffen wir uns selbst ab.