Fragen? Antworten! Siehe auch: Alternativlos
Nun, da gibt es ein Update. Die verwenden ja eine sogenannte qualifizierte digitale Signatur, was ein gesetzlich geregelter Fachbegriff ist. Da hat man eine Smartcard und einen Kartenleser und lauter staatlich zertifizierte Zertifikate und so weiter, ein Riesenbrimborium. Aber dafür ist das am Ende gesetzlich einer handschriftlichen Unterschrift gleichgesetzt.
Die beA-Karten müssen gerade alle getauscht werden. Denn das Verfahren wird jetzt auf eine "Fernsignatur" umgestellt. Also ich weiß ja nicht, wie euch das geht, aber das Wort gruselt mich schon. Fern heißt ja, dass das eben nicht mehr der Anwalt manuell signiert, sondern dass irgendein Server das signiert. D.h. jeder Hack, mit dem man sich zu dem Server durchbeißen kann, kompromittiert sofort das gesamte System. Ich frage mich ja, wer DAS Risiko abgenickt hat. Derjenige ist hoffentlich eh schon dem Ruhestand nahe.
Was ist denn die offizielle Parteilinie dazu? Nun, gucken wir doch mal:
Im Gegensatz zur kartenbasierten Signatur wird bei der Fernsignatur die qualifizierte Signatur des Unterzeichnenden von einem Vertrauensdienste-Anbieter im Auftrag der unterzeichnenden Person erzeugt.Damit führen wir eine neue Angriffsoberfläche ein.
Vertrauensdienste-Anbieter haben ein anspruchsvolles Qualifikationsverfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchlaufen und entsprechen den höchsten Sicherheitsanforderungen bei der Identifizierung und Authentifizierung. Das Fernsignaturverfahren bietet damit einen größeren Schutz vor unbefugten Zugriffen und missbräuchlicher Verwendung der qualifizierten elektronischen Signatur.Das ist eine Menge Handwaving und dann eine Schlussfolgerung, bei der man auch das Gegenteil vertreten könnte auf Basis derselben Faktenbasis. Hey, die sind vertrauenswürdig, denn die haben ja schon Vertrauen im Namen!1!!
Ja aber warum machen sie das denn überhaupt? Lief doch endlich halbwegs gerade?
Der Technologiewechsel ist notwendig, da das genutzte Betriebssystem für die derzeitigen beA-Karten zum Jahresende 2022 die sicherheitstechnische Zulassung verliert und darüber hinaus bei einer Vielzahl von Anwältinnen und Anwälten die sich auf der beA-Karte befindenden Zertifikate ablaufen.Dass die Zertifikate ablaufen ist eine Nebelwand. Lasst euch davon nicht verarschen. Der erste Teil ist der wichtige Teil. Die haben da Schrott-Komponenten im Einsatz, weil jemand bei der Planung verkackt hat.
Ja gut, aber das beA ist ja die ganze Zeit schon ein Desaster. Wieso erzähle ich das hier? Weil sie das Ausrollen der neuen Karten direkt voll verkackt haben.
Wie sich herausstellt, können Anwält:innen mit der neuen beA-Karte nicht mehr qualifiziert elektronisch signieren – soweit dafür eine Schnittstelle mit der Kanzleisoftware verwendet wird. Auch die Kommunikation mit Behörden ist dadurch stark eingeschränkt. Qualifizierte elektronische Signaturen sind nur noch über den Web-Client möglich.Ach komm, Fefe, welche Kanzlei verwendet denn schon Kanzlei-Software!1!! Besonders humoristisch wertvoll ist die Stellungnahme der Anwaltskammer. Die meint jetzt nämlich, naja, da müssen dann halt die Softwarehersteller ran. Wir sind nicht in der Pflicht, denen ihre Software auf unser neues Verfahren zu hieven!1!! Wir helfen gerne, bieten sie an, aber jetzt ist das zeitlich ja eher sportlich würde ich sagen.
Wieviele Millionen hat das jetzt gekostet? Aber kein Euro davon ging in die Prüfung, ob die Komponenten sauber sind?
Nach Auffassung des Anwaltsgerichtshofs besteht kein Anspruch darauf, dass das besondere elektronische Anwaltspostfach ausschließlich mit einer Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne betrieben wird. Ein derartiger Anspruch ergebe sich weder aus den einfachen Gesetzen noch aus der Verfassung. Die gewählte Architektur des besonderen elektronischen Anwaltspostfachs sei sicher im Rechtssinne.Ja prima! Im Rechtssinne! Nur halt nicht im tatsächlichen Sinne.
Aber hey, wer braucht schon Sicherheit im tatsächlichen Sinne.
Das sagte die Vorinstanz. Jetzt hat der BGH dem zugestimmt. Das ist die letzte Instanz, die das noch aus dem Feuer holen hätte können.
Die Wahl der Verschlüsselungsmethode beeinträchtigt weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten, wenn die gewählte Methode als sicher im Rechtssinne anzusehen ist.Widdewiddewie sie mir gefällt!
Nee klar, wenn die Leute auf dem Weg der Nachricht reingucken können, beeinträchtigt das nicht die Vertraulichkeit der Kommunikation.
JA WAS DENN SONST? Was würde denn eurer Meinung nach die Vertraulichkeit der Kommunikation beeinträchtigen, wenn "jemand kann reingucken und die Klartext-Daten an Kriminelle verkaufen oder an die Staatsanwaltschaft oder Geheimdienste weitergeben" das nicht tut?!?
Update: Noch lustiger ist das Statement der Brak, die Betreiber von dem Schrott. Die sagen:
Eine unabdingbare Grundvoraussetzung für die Gewährleistung des Mandatsgeheimnisses im digitalen Zeitalter ist die Möglichkeit sicher verschlüsselter Online-Kommunikation.
Genau mein Humor!1!! Der Anlass für dieses Brak-Statement war natürlich nicht ihr verkacktes System sondern da ging es um die Cybersecurity-Geschichten der EU.
Auch der nächste Satz direkt ein Griff ins Klo:
Zu begrüßen ist daher, dass der Verordnungsvorschlag in Erwägungsgrund 54 Satz 3 festhält, dass durch Zugriffe auf verschlüsselte Kommunikation die Effektivität von Verschlüsselungsmaßnahmen nicht beeinträchtigt werden soll.
Das ist aus deren Sicht schon OK, wenn "Bedarfsträger" eure Anwaltskommunikation entschlüsseln können. Hauptsache sie gucken dann nicht hin und vergessen das bald wieder.
Nicht vergessen: Das sind die BESTEN der BESTEN der BESTEN unter den Anwälten. Deren Vertreter bei diesen kritischen Fragen. Die anderen Rechtsanwälte sind also noch ahnungsloser.
Anwaltspostfach beA: Bundesregierung findet Entschlüsselungsrisiko "akzeptabel"Die verstehen gar nicht, wo das Problem ist!
Ich glaube das übrigens wirklich, dass die nicht verstehen, was das Problem ist. Selten habe ich so viel Realitätsabstand in Sachen Nibelungentreue und Vertrauen in das System erlebt wie bei Politikern und Juristen (und Politiker sind auch noch eh oft Juristen). In deren Weltbild ist das eine völlig absurde Vorstellung, dass der Staat illegitim seine Bürger belauschen würde. Das ist sozusagen per Definition legitim. Wenn jemand belauscht wird mit unseren Generalschnüffelbefugnissen, dann hatte der ds bestimmt verdient!1!!
Ich vermute ja, dass Politiker auch echt selten Steuerprüfungen oder so kriegen. Das ist schlicht nicht Teil von deren Realität, dass das System ungerecht sein könnte.
Ein Kläger hatte an den Bundesfinanzhof eine Begründung fristgemäß versandt, versäumte die Frist aber dennoch, da die Datei beim Bundesfinanzhof nicht eintraf. Der Grund war, dass er Umlaute und Sonderzeichen verwendet hatte, was nicht zulässig ist. Doch das war dem Kläger nicht bekannt. Ebenso wenig wusste er, dass seine Nachricht nicht eingegangen war, denn die BeA-Software hatte die erfolgreiche Zustellung gemeldet.Kannste dir nicht ausdenken, sowas!
Und wisst ihr was? Die Auswirkungen sind jetzt nicht eine fette, monströse, monumentale Strafe für den Hersteller, damit Inkompetenz und das Ausliefern beschissener Scheißsoftware auch die Hersteller mal was kostet. Nein, nein! Der Bundesfinanzhof hat stattdessen geurteilt, dass in so einem Fall dann eine Wiedereinsetzung des Verfahrens zulässig ist.
New hotness: Besonderes elektronisches Notarpostfach sieht auch nicht gut aus.
Also DAMIT konnte ja wohl NIEMAND rechnen!
Eine detaillierte unabhängige Prüfung der zahlreichen anderen Sicherheitslücken, insbesondere der zurzeit nicht vorhandenen Ende-zu-Ende-Verschlüsselung, scheint die BRAK nicht für notwendig zu erachten.Aus der Wortwahl glaube ich schließen zu können, dass die Anwälte mit der Gesamtsituation eher unzufrieden sind :-)Antworten auf die zahlreichen weiteren Fragen, die die Anwälte in den vergangenen Wochen stellten, gibt die BRAK weiterhin nicht.
Aber der Hammer ist folgendes:
Die BRAK bleibt nach Angaben von Kury dabei, dass sie im Jahr 2015 mit der Idee an den Chaos Computer Club herangetreten sei, das beA-System im Rahmen eines Camps testen zu lassen. Sie habe die Idee nicht weiterverfolgt, nachdem der CCC nicht verbindlich zugesagt habe, ihr die Testergebnisse zur Verfügung zu stellen, gibt Kury die BRAK wieder. Nach LTO-Informationen stammte ein Vorschlag, den CCC (der ohnehin keine Sicherheits-Siegel vergibt) sich beim Camp das beA einmal ansehen zu lassen, dagegen von einem Dritten, der sich anbot, einen Kontakt zu vermitteln. Dieser Vorschlag soll nach Angaben gut informierter Kreise von der BRAK abgelehnt worden sein, weil Mitglieder des CCC nicht bereit gewesen sein sollen, Verschwiegenheit über die Ergebnisse zuzusagen.Danke, lieber CCC. Aus meiner Sicht ist offensichtlich, dass der CCC nicht eingebunden werden sollte, um die Sicherheit des Produktes zu prüfen oder zu verbessern, sondern damit er per NDA stillgehalten werden kann. Was für eine bodenlose Frechheit!
Die Bundesrechtsanwaltskammer (BRAK) hat seit Weihnachten alle Zahlungen an den Dienstleister Atos eingestellt […] Schadensersatzansprüche würden geprüftDas fände ich persönlich ja absolut großartig, wenn jetzt rauskommt, dass nicht mal die Anwaltskammer in der Lage ist, bei ihren Großprojekten ordentliche Haftungsklauseln in die Verträge zu schreiben.
Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte.Auch ansonsten scheint das nicht sehr attraktive Software zu sein. (Danke, Stefan)
Geschäftsidee ist, das besonders kryptographisch geschützte Anwaltspostfach durch einen Dienstleister abrufen, ausdrucken und per Post zusenden zu lassen …Ja warum sollte nur in der Politik #neuland herrschen?
Update: Ein Einsender erzählt:
Das beA ist aber auch in der Tat besonders. Wir haben einige Anwälte als Kunden und ich kann verstehen, dass man mit dem Müll nichts zu tun haben will. Es ist der Nachfolger von EGVP, ein hässliches Stück Java Software was nur Probleme macht und aussieht wie aus dem 18ten Jahrhundert. Es sollte schon Anfang des Jahres/letztes Jahr kommen aber sie haben es für den Start nicht hin bekommen.
Ja gut, wenn das so ist, ... *grusel* (Danke, Lutz)