abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

beA - neue Infos von der BRAK-Sitzung

68
letzte Antwort am 02.02.2018 16:11:06 von akoppel
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
Michael-Renz
Experte
Offline Online
Nachricht 1 von 69
4359 Mal angesehen

Hallo community

die RAK Hamburg informiert über die heutigen Verhandlungen bei der BRAK. Der Bericht beinhaltet eine kurze Darstellung über die ursprüngliche Sicherheitsprüfungen und die weitere Vorgehensweise.

Einen Zeitplan gibts wohl noch nicht.

http://www.rak-hamburg.de/uploads/file/Mitglieder/Mitgliederservice/Kammerschnellbriefe/2018/20180118_beA-Rundschreiben.…

und hier die Presseerklärung der BRAK

https://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2018/presseerklaerung-02-2018/

NACHTRAG

Das Anwaltsblatt berichtet, dass der Bund-Länder-Kommission die Verlängerung des EGVP-Clients bis Mai 2018 beschlossen hätte.

https://anwaltsblatt.anwaltverein.de/de/anwaeltinnen-anwaelte/anwaltspraxis/bea-desaster

Das lässt annehmen, dass die BRAK und ihre Dienstleister tatsächlich glauben, beA am Ende des ersten Quartals wieder in den Testbetrieb zu geben.

Mal sehen, aller guten Dinge sind 3 - zwei Pleiten hat die BRAK ja schon geliefert. Da wird doch die Dritte per Mitte 2018 auch noch klappen.

Beste Grüße
RA Michael Renz, Stuttgart
agmü
Meister
Offline Online
Nachricht 2 von 69
417 Mal angesehen

Lese ich den Bericht der RAK HH wird für mich das Bild immer bestürzender:

zwei besonders auffällige Punkte

jetzt will die BRAK bereits 2015 an den CCC herangetreten sein(?!?).  Der CCC hätte sich nicht bereit erklärt, die Testergebnisse der BRAK zur Verfügung zu stellen.  Ich hatte 2015 um Mitteilung gebeten, wie Sicherheit gewährleistet wird und bereits auf einige Schwachstellen hingewiesen.  Leider habe ich keinen Hinweis erhalten, aus dem ich hätte erkennen können, dass die externe unabhängige Überprüfung erfolgen soll.

Nachdem der CCC seine Testergebnisse im Dezember 2017 bekannt gegeben hat, scheint die BRAK gemauert zu haben. So habe ich jedenfalls den Vortrag auf der 34C3 verstanden?  Eine der beiden Seiten scheint sich nicht mehr genau an den Sachverhalt zu erinnern.

Die Implementierung des HSM würde keine Funktionalität enthalten die Schlüssel im Klartext exportiert.  Im "normalen" Betreib sei ein Zugriff auf die Schlüssel nicht möglich.  Selbst wenn ich zu gute halten möchte, dass im Normalenbetreib ein Auslesen der Schlüssel nicht erfolgen könne, frage ich mich, was im "Nicht"-Normalen Betreib möglich ist.

Weiter Frage ich mich, was mit den Schlüsseln der Karten ist, die - warum auch immer - für ungültig erklärt wurden oder verloren gegangen sind.  Diese Schlüssel würden sich im HSM ansammeln und könnten ggf. mißbraucht werden.

mein Blutdruck steigt schon wieder.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
rahagena
Meister
Offline Online
Nachricht 3 von 69
417 Mal angesehen

Die lustigen Verantwortlichen waren wahrscheinlich dadurch beruhigt, dass sie ja ein "High-Security"-Modul haben, da kann dann ja nichts passieren...
Wie siehts eigentlich mit Minderung gegenüber ATOS aus? Die haben ja offenbar eine schwer mangelhafte Leistung erbracht?!


Buchhaltung ist wie Tetris - wer stoppt, verliert!
0 Kudos
zippo
Fortgeschrittener
Offline Online
Nachricht 4 von 69
417 Mal angesehen

Wozu sollten überhaupt private Schlüssel der Anwälte auf der HSM gespeichert sein?

Wenn ohnehin keine Ende-zu-Ende-Verschlüsselung gemacht wird, kann der Absender die Mails mit dem öffentlichen Schlüssel der Box verschlüsseln. Die Box entschlüsselt dann und verschlüsselt wieder mit dem öffentlichen Schlüssel des Empfängers.

So blieben wenigstens die privaten Schlüssel geheim.

0 Kudos
agmü
Meister
Offline Online
Nachricht 5 von 69
417 Mal angesehen

Ich setze mich mal ins Glashaus und behautpte:  Atos hat genau das gemacht, was die BRAK bestellt hat.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
agmü
Meister
Offline Online
Nachricht 6 von 69
417 Mal angesehen

Wäre möglicherweise ein Lösung; aber wir haben doch eine End-to-End Verschlüsselung.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
rahagena
Meister
Offline Online
Nachricht 7 von 69
417 Mal angesehen

Ich habe keine Ahnung, wie die Bestellung genau gelautet hat, aber ich kann mir nicht vorstellen, dass die Verantwortlichen so viel Ahnung haben, dass sie die Anforderungen so genau stellen konnten (Java, browserbasiert, HSM etc.). Selbst wenn würde ich von einer guten Software-Schmiede erwarten, dass die das nicht so sinnlos umsetzen...


Buchhaltung ist wie Tetris - wer stoppt, verliert!
rahayko
Fortgeschrittener
Offline Online
Nachricht 8 von 69
417 Mal angesehen

Müsste dieser Auftrag nicht ausgeschrieben worden sein? Und könnte man dann nicht nach dem IFG Einsicht nehmen?

Jedenfalls würde das "nur" die Erkenntnis bringen, was in der Vergangenheit falsch gelaufen ist.

Wichtig wäre jetzt, für die Zukunft Lösungen anzubieten. Was nützt es da, wenn noch ein IT-Unternehmen bestätigt, was der CCC ohnehin schon herausgefunden hat. Oder sucht man hier nur nach einem Feigenblatt?

Viele Grüße aus dem Norden!
DE.BRAK.455397c6-75a8-4428-af24-5b6e2e3716de.ead6
mkinzler
Meister
Offline Online
Nachricht 9 von 69
417 Mal angesehen

Vielleicht besteht ja noch die Hoffnung, dass sich der CCC getäuscht ahben könnte und das System, wie es implementiert wurde "super optimal" ist.

rahayko
Fortgeschrittener
Offline Online
Nachricht 10 von 69
417 Mal angesehen

Es sind nicht nur wir "Insider" die sich wundern:

Anwaltspostfach beA: FSFE und CCC fordern Veröffentlichung des Quellcodes - SPIEGEL ONLINE

Viele Grüße aus dem Norden!
DE.BRAK.455397c6-75a8-4428-af24-5b6e2e3716de.ead6
agmü
Meister
Offline Online
Nachricht 11 von 69
417 Mal angesehen

Wenn ich mich an den Vortrag des Herrn Degner auf dem 34C3 richtig erinnere, hat er versucht über das IFG von der BRAK die entsprechenden Auskünfte zu erhalten.  Diese seien aber unter Hinweis auf Geheimhaltung verweigert worden.  Der Auftrag wurde wohl auch nicht wirklich öffentlich ausgeschrieben.

Je länger ich die Erklärungen der BRAK auf mich einwirken lasse, je mehr verstärkt sich mein Eindruck, dass versucht wird ein System zu retten, das nicht mehr zu retten ist.  Dabei sind sich die Beteiligten wohl nicht bewußt dass nichts mehr zu retten ist, oder sie sind in der Notwendigkeit gefangen, das System "irgendwie" zum laufen zu bringen um der gesetzlichen Verpflichtung zu genügen.

Das zu suchende Feigenblatt wird jeden Tag größer.

mfkg

Andreas G. Müller

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
dirk
Beginner
Offline Online
Nachricht 12 von 69
417 Mal angesehen

Hallo,

je mehr ich als interessierter Laie zum Thema lese, umso klarer werden zwar einzelne Details, nur das Grundsätzliche erschließt sich mir nicht.

Offenbar gibt es seit langem das EGVP, das auch weiterhin der Kern der Infrastruktur

bleibt.

Die Weiterentwicklung des Clients wurde (ohne dass ich Gründe gefunden hätte)

eingestellt.

Mit dem Governicus-Client gibt es wohl aber einen nahezu 1:1 Ersatz.

Das System ist grundsätzlich dazu ausgelegt, von der Behörden-internen Kommunikation bis zum e-Government alles abzudecken, und wird/wurde auch von Berufsträgern genutzt.

Welchen Nutzen hat denn nun das verpflichtende Andocken eines besonderen Anwalts- / Notarpostfachs ?

Ein Kritikpunkt ist ja, dass der Anwalt/Notar in Person authentifiziert wird, "Post" also nicht vertretungsweise gelesen werden kann.

Wie sieht eigentlich die Infrastruktur auf Seiten der Gerichte / Behörden aus,

muß dort auch jeder MA eine eigene Signaturkarte haben ?

Oder ist dort, ander als in der Kanzlei, "das Gericht" der Empfänger / Absender ?

Sorry falls meine Fragen hier zu "offtopic" sind ...

agmü
Meister
Offline Online
Nachricht 13 von 69
417 Mal angesehen

Hallo Herr Kettner,

Sie legen die Finger genau in die "richtige" Wunde.  Das EGVP / Governikus war, wie sein Name (Elektronisches Gerichts- und Verwaltungspostfach) nahelegt, historisch für die Kommunikation mit "staatlichen Stellen" gedacht.

Warum jeder Berufsstand ein eigenen "besonderes" Postfach benötigt, kann Ihnen wohl nur der entsprechende Interessenvertreter im BMVJ erklären.

Bei der Justiz - hier kann ich "nur" für unser Amtsgericht sprechen - laufen alle Nachrichten in der Wachtmeisterei ein.  Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt.  Möglicherweise wird sich dies mit Einführung der digitalen Gerichtsakte ändern und die Nachrichten werden unmittelbar von der Geschäftsstelle eingelesen, hier will ich jedoch ein großes Fragezeichen machen.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
mkinzler
Meister
Offline Online
Nachricht 14 von 69
417 Mal angesehen

Das könnte auch der Grund für die "spezielle" EndeZuEnde-Verschlüsselung sein.

0 Kudos
dirk
Beginner
Offline Online
Nachricht 15 von 69
417 Mal angesehen

- laufen alle Nachrichten in der Wachtmeisterei ein. Dort werden die Nachrichten ausgedruckt, gestempelt und an die Geschäftsstellen verteilt.

Dann fände auch in der "Wachtmeisterei" ein "Bruch" der end2end-Verschlüsselung

statt, wie in den HSM´s der BRAK ...

(editiert / nochmal edit - Ich verstehe nicht, wie ein anserer als der ursprünglich bestimmte Empfänger die Nachricht lesen /entschlüsseln kann)

rahagena
Meister
Offline Online
Nachricht 16 von 69
417 Mal angesehen

Warum ein neues Postfach gebraucht wurde ist ganz einfach: Alles andere wäre viel zu billig gewesen und der Vorsitzende der Notars-Kammer fährt ein viel größeres Auto...


Buchhaltung ist wie Tetris - wer stoppt, verliert!
DATEV-Mitarbeiter
Sabine_Ecker
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 17 von 69
417 Mal angesehen

hier ein Link mit einem Bericht von der gestrigen beA-Veranstaltung des DAV

https://www.lto.de/recht/juristen/b/bea-anwaltspostfach-beagate-experten-diskussion-deutscher-anwaltverein/

sehr sachlich und informativ

0 Kudos
rahayko
Fortgeschrittener
Offline Online
Nachricht 18 von 69
417 Mal angesehen

Das ist ja lustig.

Mit Nina habe ich zusamen fürs 2. Stex gebüffelt.

Viele Grüße aus dem Norden!
DE.BRAK.455397c6-75a8-4428-af24-5b6e2e3716de.ead6
0 Kudos
Offline Online
Nachricht 19 von 69
417 Mal angesehen

social media, wie witzig

0 Kudos
rahayko
Fortgeschrittener
Offline Online
Nachricht 20 von 69
417 Mal angesehen

ja...?

So wie ich Nina kenne, weiß sie, wovon sie redet.

Viele Grüße aus dem Norden!
DE.BRAK.455397c6-75a8-4428-af24-5b6e2e3716de.ead6
0 Kudos
DATEV-Mitarbeiter
Sabine_Ecker
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 21 von 69
417 Mal angesehen

Hallo ,

am 5.3.2018 veranstaltet der EDV-Gerichtstag ein Symposium. Da geht es darum, zu diskutieren, wie künftig ein praxisorientiertes beA aussehen sollte. Hier der Link zu der Veranstaltung

https://www.edvgt.de/veranstaltung/save-the-date-bea-mit-besserer-software-und-optimierter-ausrichtung-auf-den-kanzleialltag/

Viele Grüße aus Nürnberg

Sabine Ecker

0 Kudos
Michael-Renz
Experte
Offline Online
Nachricht 22 von 69
417 Mal angesehen

Hallo Community,

hier nochmals als eine Zusammenfassung der Fehler und der bis 17.1. aktuellen Informationen dazu.

https://lookaside.fbsbx.com/file/beA%20-%20Fragen%20und%20Antworten.pdf?token=AWyeZtHQKWqHr_FoPUjVHzuBb1u4aBn3LznAl4kHEw…

Die Datei soll von der RAK Hamm zusammengestellt worden sein.

Ausserdem wurde heute bekannt, dass ATOS und deren Subunternehmer NICHT am beAthon teilnehmen werden. Bundesrechtsanwaltskammer ~ Presseerklärung 03/2018

Das hört sich sehr danach an, dass das Tischtuch zwischen BRAK / ATOS nun wohl zerschnitten ist. Ob das der Sache dienlich ist? Aber wahrscheinlich ist’s  einfach zwangsläufig!

Und hier noch ein Video-Mitschnitt der Konferenz vom DAV auf den Seiten der LTO

https://www.lto.de/index.php?id=1887

sowie die zugehörige Tagesordnung des DAV

https://digital.anwaltverein.de/files/clients/digital.anwaltverein.de/downloads/elektronischer_rechtsverkehr/programm-be…

Beste Grüße
RA Michael Renz, Stuttgart
DATEV-Mitarbeiter
Sabine_Ecker
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 23 von 69
417 Mal angesehen

Hallo an Alle,

hier noch der Link zu der Initiativ-Stellungnahme des DAV

https://anwaltverein.de/de/newsroom/sn-5-18-initiativ-stellungnahme-zum-bea-76246

VG Sabine Ecker

0 Kudos
Michael-Renz
Experte
Offline Online
Nachricht 24 von 69
417 Mal angesehen

Hallo Community

in der von Frau Ecker geposteten Stellungnahme des DAV wird unter Ziff. 6 ab Seite 11 eine Argumentation zum Thema

"Anwälte benötigen trotz beA-Offtime KEINE DE-Mail"

dargestellt.

Hört sich zwar interessant und nachvollziehbar an. Ob sich das jedoch halten lassen wird???

Ich bin da lieber vorsichtig und freue mich meiner jüngst zugeteilten DE-Mail-Adresse.

Beste Grüße
RA Michael Renz, Stuttgart
0 Kudos
akoppel
Einsteiger
Offline Online
Nachricht 25 von 69
417 Mal angesehen

So ähnlich wirds ja auch gemacht, nur ein kleines wenig komplizierter:
Die Box erzeugt für jeden Anwalt eine Kombination aus geheimem und öffentlichem Schlüssel.
Die Box kennt von allen Anwälten die öffentlichen Schlüssel
Die Box veröffentlich den selbst erzeugten öffentlichen Schlüssel im sog. SAVE-Verzeichnisr

Der Absender holt sich den Schlüssel aus dem Save-Verzeichnis und verschlüsselt damit die Nachricht
Die Nachricht wird an die Box gesendet
Die Box entschlüsselt die Nachricht und verschlüsselt sie mit dem öffentlichen Schlüssel des finalen Empfängers neu
Die Box sendet an den finalen Empfängers

Kleiner Hinweis noch: Bei der Nachricht handelt es sich nicht um das Ausgangsdokument, sondern um eine zufällige Bytefolge, mit der das Ausgangsdokument selbst chiffriert wurde. Das chiffrierte Ausgangsdokument bekommt die Box nie zu sehen,
Die Box sieht nur den verschlüsselten Schlüssel des Ausgangsdokuments und kann den entschlüsseln.
Eine Aussage zur Sicherheit des Ganzen zu machen ist ohne nähere Infosannähernd unmöglich

zippo
Fortgeschrittener
Offline Online
Nachricht 26 von 69
417 Mal angesehen
agmü
Meister
Offline Online
Nachricht 27 von 69
417 Mal angesehen

der Artikel im Anwaltsblatt zeigt die "Justizseite" des beA.  Die Handhabung unseres Hausgerichtes scheint der Standard zu sein.  Die Verschlüsselung der Nachricht endet bei der Justiz immer in der Wachtmeisterei.

Ich Frage mich immer wieder, warum sich die Justiz damit begnügt, dass die Verschlüsselung im großen Postfach des Zentralen Posteingangs endet, während wir Anwälte Sonderlösungen finanzieren, die die Praxis nicht im Ansatz abbilden; - wahrscheinlich fehlt mir hier das nötige Verständnis

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
akoppel
Einsteiger
Offline Online
Nachricht 28 von 69
417 Mal angesehen

Das geistert schon seit einiger Zeit im Netz rum. Auf den Bildern kann man auch wunderbar sehen, wer das HSM herstellt. Mich würde allerdings interessieren, wie es kommt, dass man das Produkt eines französischen Herstellers, der selbst wiederum mit Atos (ebenfalls französisch) verbandelt ist, als deutsches Produkt darstellen kann. Oder ist das wieder nur eine unglückliche Formulierung?

Die Slides enthalten übrigens keinerlei Infos zu den bei HSMs obligatorischen Sicherheitszertifizierungen. Auch nur eine Lässlichkeit?

0 Kudos
rahayko
Fortgeschrittener
Offline Online
Nachricht 29 von 69
417 Mal angesehen

Also haben wir mehr E2E-Verschlüsselungen erhalten als wir bezahlt haben? Eine E2E an das HSM und eine vom HSM an den tatsächlichen Empfänger. Und möglicherweise wird ja auch in der Wachtmeisterei noch mal E2E an die jeweiligen Geschäftszimmer verschickt, welche dann ebenfalls E2E an die Richter....

Das ist eine juristische Lösung; wenn die Subsumtion nicht passt, änder man einfach die Definition.

Ich möchte ein E kaufen... Soviel Spaß zum WE muss erlaubt sein.

Viele Grüße aus dem Norden!
DE.BRAK.455397c6-75a8-4428-af24-5b6e2e3716de.ead6
0 Kudos
zippo
Fortgeschrittener
Offline Online
Nachricht 30 von 69
417 Mal angesehen

Naja... Die Nachricht selber bleibt bis zum Empfänger durchgehend verschlüsselt.

Das HSM ent- und verschlüsselt nur den Schlüssel zur Nachricht. Das könnte man als Jurist wohl tatsächlich E2E nennen.

Dass der Empfänger gar nicht exklusiv im Besitz des Nachrichtenschlüssels ist, wie sich das gehört, sondern das HSM den zur Verfügung stellt (und ggf auch anderen Leuten) ist allerdings unschön.

Gruß aus Hamburg

0 Kudos
68
letzte Antwort am 02.02.2018 16:11:06 von akoppel
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage