Wenn wir e-Banking genauso wie e-Justiz betreiben würden, dann hätten wie heute ein
besonderes elektronisches Postfach zum Austausch von Banknachrichten
statt e-Banking Apps und Websites.

Alle, die das beA wegen fehlender echter Ende-zu-Ende-Verschlüsselung (E2EE) nicht nutzen wollen,
sollten auch kein Fax ans Gericht senden. Im Gegensatz zu beA wissen wir, dass Faxe abgehört werden können.

Alles halb so schlimm, die Rechner des beA waren immer sicher, wir haben nur zigtausende Anwaltsrechner unsicher gemacht? Das könnte man fast meinen, wenn man den Bericht von BRAK-Präsident Ekkehart Schäfer liest.

Aktuelle Artikel

muellerlegal

BRAK will Wiederinbetriebnahme des beA von
[Die "Zeitmaschine" der Entwickler des beA-Clients könnte sich dadurch erklären, dass der Installer die aktuellen Bibliotheken herunterlädt. Genauso kann der beA-Client weitere Aktualisierungen herunterladen. Das lässt sich gut nachvollziehen, wenn man die Internet-Verbindung beim Start der beA-Client-Security abschaltet und dann die entsprechende Fehlermeldung kommt.]

11. Juli 2018

Strafverteidiger

BeA, die BRAK und die Zeitmaschine von

5. Juli 2018
4. Juli 2018
4. Juli 2018
26. Juni 2018

Legal Tribune Online

NRV und Verdi fordern mehr Zeit für elektronische Gerichtsakte "Das beA-Debakel darf sich keinesfalls wiederholen" - hier der offene Brief
[Auch wenn die Probleme gut angesprochen werden, scheint mir die Schlussfolgerung fraglich, das derzeitige (Schnecken-)Tempo müsse entschleunigt werden.]

22. Juni 2018
21. Juni 2018
21. Juni 2018
20. Juni 2018

FAZ Einspruch

Anwaltspostfach soll im September online gehen (Paywall) von

20. Juni 2018

BRAK-Magazin

Wie geht es weiter mit dem beA? von

20. Juni 2018

Haufe

Anwälte haben beA-Klage gegen Bundesrechtsanwaltskammer eingereicht
[Achtung, Inhalte unter dieser URL wechseln, Dokument daher nicht dauerhaft verfügbar]

18. Juni 2018
18. Juni 2018
17. Juni 2018
17. Juni 2018
4. Juni 2018

Legal Tribune Online

Das beA nach der BRAK-Sonderversammlung - Ärger in Berlin von

29. Mai 2018
29. Mai 2018

egvp.de

EGVP-Bürger Client wird einen Monat über die Inbetriebnahme des beA hinaus zur Verfügung stehen (Screenshot) vgl. auch BRAK-Newsletter 8/2018
[Angeblich "kein Support", was bedeuten würde, dass Anwälte diese Software nicht einsetzen dürften - effektiv werden Sicherheitsprobleme aber behoben]

16./17. bzw.
24./25. Mai 2018

juris eBroschüre

Elektronischer Rechtsverkehr - Digitalisierung allerorten – allerdings (immer noch) ohne beA hrsg. von
Mit Beitrag von "beA – der aktuelle Stand"

10. Mai 2018
7. Mai 2018
3. Mai 2018
27. April 2018

Legal Tribune Online

Das Anwaltspostfach in der BRAK-Hauptversammlung - Neuer beA-Beitrag für 2019 beschlossen von .
"die große Mehrheit der Präsidentinnen und Präsidenten [...] unsere Arbeit [...] schätzt"

27. April 2018

Legal Tribune Online

Wegen beA - RAK Saarland will dem BRAK-Präsidium die Entlastung verweigern von .
[Neues Gutachten listet mehr als 20 Sicherheitslücken, davon 12 gravierende auf.]

20. April 2018
16. April 2018

Legal Tribune Online

Neue Sicherheitslücke rund ums beA - BRAK schaltet Rechtsanwaltsregister ab von und .

13. April 2018

Spiegel Online

Rechtsanwaltsregister musste abgeschaltet werden von .

13. April 2018
13. April 2018
29. März 2018

Legal Tribune Online

Anwaltspostfach - Kein beA vor Juni von .

29. März 2018
29. März 2018

Schinagl Rechtsanwalt

beA kommt frühestens Mitte Mai 2018; intransparente BRAK (fortgeführter beA-Blog) von .

28. März 2018

Erbrechtskanzlei Papenmeier

beA-Skandal bei der RAK Sachsen von .

23. März 2018

Süddeutsche Zeitung

Elektronisches Anwaltspostfach - Verklagenswerte Zustände (Titel des Beitrags wurde inzwischen auf "Warum Anwälte ihrem elektronischen Postfach misstrauen" geändert) von und .

21. März 2018
20. März 2018
18. März 2018

jurPC

Tagungsbericht IRIS 2018 von .

13. März 2018

FAZ Einspruch

Berliner Anwälte: BRAK-Spitze soll zurücktreten von .

11./12. März 2018

Recht Energisch

Kammerversammlung Berlin 2018 von .

9. März 2018
8. März 2018
7. März 2018

WEBWORK

Juristen träumen vom besonderen Anwaltspostfach von
[Vielleicht ist der Grund für das Scheitern des beA ja in der im Artikel ausgedrückten Furcht vor jeglicher Digitalisierung der Justiz zu sehen]

6. März 2018

Ralph Hecksteden

Update zum Thema E2EE von .

6. März 2018

web.de Newsroom

De-Mail statt BeA: Wege aus dem Rechtsvakuum von .

5. März 2018

c't

E-Justiz in der Sackgasse - Was wird aus dem besonderen elektronischen Anwaltspostfach? von und (Paywall).

2. März 2018

Open Source Observatory (OSOR)

German lawyers demand access to source code of ‘special electronic mailbox’ von .

28. Februar 2018
28. Februar 2018
28. Februar 2018

CR-online.de Blog

Welche Amtssprache hat das digitale Deutschland? von .

28. Februar 2018
27. Februar 2018

FAZ Einspruch

Bea: Keine Gebührenerstattung, keine Schonfrist von .

22. Februar 2018
21. Februar 2018

LTO

Anwaltspostfach im Rechtsausschuss - BRAK will Schadensersatz für beA-Gate von [Dokument nicht mehr verfügbar].

21. Februar 2018

NJW aktuell

BRAK fordert Schadensersatz wegen "beA" von .

21. Februar 2018

Haufe

Gestopptes elektronisches Anwaltspostfach - Parlament fragt nach (jetzt ergänzt und neuer Titel: Misstrauen gegen die BRAK-Führungsspitze, danach erneut ergänzt und neuer Titel: Anwälte starten Crowdfunding für beA-Klage zwecks E2EE-Verschlüsselung)

15. Februar / 12. März 2018 / 20. März 2018

CR

beAgate – Technischer Hintergrund und rechtliche Aspekte des beA-Ausfalls im Dezember 2017 (Paywall) von und .

15. Februar 2018

BRAK Magazin

Mythen und Fakten - aktuelle Entwicklungen beim beA von .

14. Februar 2018
14. Februar 2018

Frag den Staat

Abgebrakte Antworten Kommentar zur Antwort der BRAK auf die IFG-Anfrage.

12. Februar 2018

ffi Verlag

beA – Digital. Einfach. Sicher? von .

7. Februar 2018

FAZ Einspruch

Maas prüft beA komplett

7. Februar 2018

LNP242 Make §§§ fast

Das Logbuch Spezial zum besonderen elektronischen Anwaltspostfach von .

5. Februar 2018

manage it

Besonderes elektronisches Anwaltspostfach – beA: Braucht man wirklich diese Insellösungen? von .
Ein Plädoyer für das unsichere Fax, welches international gerade ausstirbt und uns schon immer mit seiner schlechten Bildqualität beglückt hat. Nein - der Artikel ist keine Satire.

2. Februar 2018

Soldan

EGVP bleibt online bis Ende Mai 2018 von .

2. Februar 2018
1. Februar 2018
30. Januar 2018

jurPC

beAthon - das Drama geht weiter von mit einem Update.

30. Januar 2018
29. Januar 2018
28. Januar 2018
27. Januar 2018
27. Januar 2018
27. Januar 2018

Legal Profe§ion

+++BEA ist tot+++Maschinen werden abgeschaltet+++ von .

27. Januar 2018
26. Januar 2018

NJW Online

BeAthon bei der BRAK von .

26. Januar 2018

FAZ Einspruch

beAthon auf den letzten Metern? von .

26. Januar 2018

FAZ Einspruch

Was die BRAK dem BMJV antwortet von .

26. Januar 2018
26. Januar 2018
25. Januar 2018
25. Januar 2018
24. Januar 2018
24. Januar 2018

golem

ATOS - Hersteller von Anwaltspostfach will keine Fragen beantworten von .
Mit Video-Interview welches mit führt.

24. Januar 2018
23. Januar 2018

heise Online

init – der Wochenausblick: beA und das WEF von

22. Januar 2018

NJW Online

Massive Kritik am beA von

22. Januar 2018
22. Januar 2018

Freie Software Freunde e.V.

Freie Software kann das beA retten von

20. Januar 2018
19. Januar 2018

c't magazin für computer technik

Sie haben keine Post! Elektronisches Anwaltspostfach wird zum Debakel von (Paywall)

19. Januar 2018
19. Januar 2018
19. Januar 2018
19. Januar 2018
18. Januar 2018

BRAK

BRAK-Präsidentenkonferenzen zum beA in Nachrichten aus Berlin

17. Januar 2018

allaboutlegaltech

Meltdown, Spectre, beA – der nächste Supergau vor der Tür von

16. Januar 2018
12. Januar 2018

Beck Kanzleiforum

beA-Desaster: Was jetzt passieren muss von .

12. Januar 2018

Free Software Foundation Europe (fsfe)

Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist von

11. Januar 2018

F.A.Z. Einspruch

Einspruch Exklusiv Wie steht’s um Bea? von .

11. Januar 2018

ralfzosel.de

beA-Karte bestellen – Jetzt oder nie? von .

30. Dezember 2017 mit Kommentar vom 11. Januar 2018

Beck NJW online

Chaos um beA - Die Postfach-Pleite von .

10. Januar 2018

LinkedIn

Kultur von .

10. Januar 2018
10. Januar 2018

Küchenstudio.io

Podcast LdN081IT-Problem 2: Das löchrige Anwaltspostfach von und .

6. Januar 2018
4. Januar 2018

ervjustiz

DE-Mail als teure und abhörbare Alternative?
Der ungeliebte “sichere Übermittlungsweg”: Die De-Mail aus Sicht des Gerichts von .

4. Januar 2018

INTERNET-LAW

beA: Der Berliner Flughafen der Anwaltschaft von .

3. Januar 2018

tua-breu

Die nächste beA-Blamage von .

3. Januar 2018

IWW

nicht ganz richtig: beA – das Ende noch vor dem Anfang? von .

2. Januar 2018
30. Dezember 2017

Legal Tribune Online

Desaster beim Anwaltspostfach - Ist das beA noch zu retten? von und .

28. Dezember 2017

Strafakte.de

Einspruch! von .

28. Dezember 2017

F.A.Z. Einspruch

Einspruch Exklusiv Kein beA zum neuen Jahr von .

28. Dezember 2017

Haufe

Besonderes elektronisches Postfach wurde wegen Sicherheitsmängeln gestoppt (Dokument auf der Website bei Haufe nicht mehr verfügbar)

28. Dezember 2017
28. Dezember 2017

Spiegel Online

Chaos um beA - Die Postfach-Pleite von und .

27. Dezember 2017

Podcast F.A.Z.-Einspruch

Podcast F.A.Z.-Einspruch Folge 5

27. Dezember 2017
27. Dezember 2017

Spiegel Online

Start des 34C3 von .

26. Dezember 2017

Automatische Erkennung der beA-Client Security

Beliebige Websites können feststellen, ob die beA-Client-Security läuft (Funktion hier entfernt)

Wenn Sie Firefox, Safari, Opera, Chrome oder Edge verwenden, kann mit einer gewissen Wahrscheinlichkeit nachvollzogen werden, ob Ihre beA-Client-Security läuft. Auch bei anderen Browsern könnte dies möglich sein. Damit sind Sie für beliebige Websites als Anwält*in erkennbar. Dies ist ein Sicherheitsrisiko, auf welches bereits Ralph Hecksteden und Markus Drenger hingewiesen hatten, welches im Secunet-Gutachten unter CCC2 aufgeführt wurde und welches offensichtlich nicht vollständig behoben wurde.

Welcher Art ist dieses Risiko? Außenstehende können Sie als Anwält*in identifizieren. Damit könnte Ihnen spezielle Anwaltswerbung gezeigt werden. Preise könnten für Sie nach oben (oder unten) angepasst werden. Websites könnten kritischen Content vor ihnen vorsichtshalber verbergen. Hackerangriffe können damit speziell auf Anwält*innen fokussieren.

Gefährden mich nur kritische Websites, die ich mit einem Anwaltsrechner sowieso nicht besuchen sollte? Die Erkennung lässt sich in Werbebanner verstecken. Damit könnte die Erkennung auch auf eigentlich unkritischen Websites erfolgen. Anwält*innen erhielten dann ein Werbebanner, welches z.B. auf eine nachgemachte Website zeigt. Dort könnte dann der eigentliche Angriff geschehen.

Wie können Sie sich schützen? Verwenden Sie zum Surfen im Netz einen Rechner, auf dem die beA-Client-Security nicht installiert ist. Alternativ beenden Sie vor dem Surfen stets die beA-Client-Security - oder besser noch, aktivieren Sie diese jeweils nur für das Abrufen und Versenden von beA-Nachrichten.

Was könnten die BRAK, Atos und Governikus tun? Das Problem war bekannt und könnte datenschutzrechtliche Relevanz haben. Während die erste Version dieser Erkennung auf einem relativ einfach zu behebenden Fehlers beruht, ist die jetzt erweiterte Timinganalyse vermutlich schwieriger zu verhindern. Bis zur Wiederinbetriebnahme des Postfachs sollte dies jedoch behoben werden.

Kann ich das ausprobieren? Die Erkennung der beA-Client-Security habe ich von dieser Website entfernt, da ich nicht sicher bin, ob das Problem bis zum Neustart des beA Anfang September gelöst sein wird. Ich habe der BRAK und anderen eine Testversion zur Verfügung gestellt. Sie können die Funktionsweise auch auf einem Video betrachten. Falls Sie selbst Tests machen wollen, sprechen Sie mich bitte darauf an.

Wie sicher ist diese Erkennung? Die Erkennung ist nicht hundertprozentig sicher. Sie identifiziert die beA-Client-Security nur indirekt. Dazu werden sowohl die Fehlermeldung '404' als auch das Timingverhalten genutzt. Bei Chrome unter Mac ist die Erkennung am wenigsten genau. Die Erkennung wurde nur grob und mit wenigen Tests gebaut. Kriminelle könnten das ggf. besser machen.

Kann diese Meldung auch anderweitig erscheinen? Der Port 9998 wird nicht nur von der beA-Client-Security verwendet. Dies bedeutet, dass es auch andere Applikationen gibt, die diesen Port verwenden und von diesem Test dann fälschlich als beA-Client-Security interpretiert werden. Der Schluss auf das Vorhandensein der beA-Client-Security ist daher auf Grund dieses Tests nur mit einer gewissen Wahrscheinlichkeit (ich schätze irgendwas zwischen 95-99%), aber nicht mit Sicherheit möglich. Vorabtests könnten ausschließen, dass diese anderen Systeme vorhanden sind und damit die Treffgenauigkeit dieses Tests auch in diesen Fällen erhöhen.

Wie problematisch ist diese Erkennung der beA-Client-Security? Aus datenschutzrechtlichen Erwägungen reicht die vorhandene Erkennungswahrscheinlichkeit bei weitem aus. Auch für Hacker ist es nicht wichtig, hundertprozentige Sicherheit über das Vorhandensein der beA-Client-Security zu haben. Da die beA-Client-Security jedoch deaktiviert werden kann und während des Abrufs von beA-Nachrichten der Aufruf von anderen Websites vermieden werden kann, lässt sich das Problem umgehen.

Gibt es Alternativen? Die Softwarearchitektur des beA-Clients hat auch Secunet nicht vollständig überzeugt. Daher haben diese in ihrem Gutachten auf Seite 81 vorgeschlagen, dass die BRAK erwägen solle, einen "Fat Client" anzubieten. Dieser hat dann - neben anderen Problemen - auch das Problem der Erkennbarkeit als Anwalt nicht mehr. Die BRAK müsste einen solchen Fat-Client nicht einmal selbst bauen. Anbieter von Anwaltssoftware integrieren beA-Client-Funktionalität in ihrer Software und könnten diese auch als separaten Fat-Client zur Verfügung stellen.

Die BRAK hat mir und anderen wie z.B. der Hanseatischen RAK gegenüber Stellung bezogen. Die Stellungnahme ist in einigen Punkten nicht korrekt:

BRAKmeine Bewertung
Zum einen ist es schon nicht richtig, dass für Dritte erkennbar ist, dass die Client Security läuft.Für eine "Erkennbarkeit" reicht mir eine hohe Wahrscheinlichkeit aus, dass die beA-Client-Security läuft, die ist gegeben.
Es ist allein erkennbar, dass der Port 9998 geöffnet ist.Firewalls öffnen und versperren Ports - nicht die beA-Client-Security. Ein offener Port ohne Anwendung dahinter antwortet nicht und wäre daher nicht erkennbar.
So haben auch Sie lediglich den Port, nicht aber die Client Security angesprochen.Es antwortet der in die beA-Client-Security integrierte Web-Server mit einer 404-Fehlermeldung
Auch die von Ihnen gezogene Schlussfolgerung ist unrichtig. Von dem fraglichen Port 9998 lässt sich gerade nicht darauf schließen, dass sich ein Rechtsanwalt oder eine Rechtsanwältin online befindet.Es ist richtig, dass ich mit der Antwort alleine die beA-Client-Security nicht sicher identifizieren kann. Da die beA-Client-Security zudem nicht nur von Rechtsanwält*innen installiert werden kann, bleibt eine gewisse Fehlerquote.
Denn Port 9998 wird nicht ausschließlich von der beA Client Security genutzt, sondern es können dort auch andere Anwendungen liegen, z.B. kann Splunk- oder The Palace-Software installiert sein.Sicher könnte die Antwort auch durch anderweitige Software erfolgen. Splunk und The Palace Chat sind zum einen nicht so weit verbreitet. Bei oberflächlichen Tests mit dem PalaceChat 3.0.47 und Splunk 7.1.2 für Mac OS X wurde der Port zudem nicht verwendet. Das bedeutet jedoch nicht, dass diese Software diesen Port nie verwenden würde. Sollte dies der Fall sein könnte durch spezielle Tests im Ausschlussverfahren auch dieses Fehlerrisiko reduziert werden.
Die Client Security reagiert überdies nur auf Anfragen aus der beA-Webanwendung und nicht auf Anfragen von Dritten.Diese Aussage ist falsch. Probieren Sie z.B. https://127.0.0.1:9998 bei aktiver beA-Client Security aus und Sie sehen eine 404-Meldung, die vom lokalen Webserver der beA-Client-Security stammt.
Jörn Erbguth, upgedated 11. Juli 2018

Gutachten Secunet

BRAK

Presseerklärung der BRAK mit Begleitschreiben und Abschlussgutachten
[Das Gutachten fand 53 Schwachstellen, davon 12 "betriebsverhindernde" und 20 "betriebsbehindernde". Die Mehrzahl der Schwachstellen war zum Stichtag 28.5. noch nicht behoben.]

20. Juni 2018

BRAK

Abschlussbericht der secunet Security Networks AG [Bericht passt noch nicht, wird aber passend gemacht. In zwei Wochen soll die überarbeitete Version vorliegen]

5. Juni 2018

Anwaltsverzeichnis abgeschaltet

Anwaltsverzeichnis aus Sicherheitsgründen abgeschaltet

Nach dem es gerüchteweise hieß, dass das Secunet-Gutachten zunächst nicht veröffentlicht wird, da Sicherheitsmängel darin festgestellt wären, die noch laufende Teile des beA betreffen, wurde jetzt das Anwaltsverzeichnis offline gestellt.

Der EGVP-Verteiler meldete um 13 Uhr: "Die Bundesrechtsanwaltskammer hat das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) vorsorglich vom Netz genommen, nachdem eine Sicherheitslücke gemeldet wurde. Das BRAV wird nach Behebung der Sicherheitslücke durch den Dienstleister Atos voraussichtlich Anfang nächster Woche wieder online gestellt."

Die BRAK folgte kurz danach mit einer entsprechenden Pressemitteilung [Link nicht mehr verfügbar] und Schreiben.

Gibt es danach noch einen Grund, der der Veröffentlichung des Gutachtens von Secunet im Wege steht?

Bei Golem meldet Hanno Böck, dass Grund für die Abschaltung ein erfolgreicher Hackversuch des Anwaltsregisters gewesen sei. Dieser sei möglich gewesen, da eine seit 2016 bekannte Sicherheitslücke beim Anwaltsregister enthalten war. Es sei aber darauf hingewiesen, dass im Gegensatz zu den übrigen Sicherheitslücken des beA, diese Sicherheitslücke nur den Server der BRAK betraf. Die Anwaltsrechner waren dadurch direkt nicht betroffen. Allerdings können solche Sicherheitslücken auf Servern zum Einschleusen von Schadcode verwendet werden, der ggf. andere Sicherheitslücken auf den Client-Rechnern ausnutzt.

[Das Anwaltsverzeichnis ist seit dem 16. April wieder online]

Jörn Erbguth, 13. April 2018

Voreilige Schlussfolgerungen

beA-Dienstleister hatte Problem gelöst

Stellen Sie sich vor, Sie würden das Netzwerk einer Anwaltskanzlei betreuen. Eines Tages erhielten Sie einen Hinweis, dass es möglich sei, in Ihr Netzwerk einzudringen und z.B. beliebige Dateien auszulesen. In einer Telefonkonferenz würden Sie darauf hingewiesen, dass dies ein gravierendes Sicherheitsproblem darstelle. Sie versprächen schnelle Abhilfe - täten aber nichts.

So in etwa stellt sich das Szenario für mich dar. Allerdings schrieb Governikus mir, dass:

Bereits im Mai 2017 haben wir für alle Governikus-Produkte, -Projekte und -Lösungen die OSCI-Bibliothek 1.7.1 ausgeliefert, im November 2017 wurde auf die Version 1.8.0-1 umgestellt.

Das hier beschriebene Problem war damit gelöst.

Ich habe das kontrolliert - die Version, die man aktuell mit dem Schulungsclient herunterlädt ist die Version 1.8.0-1. Ich möchte mich daher in aller Form bei Governikus für diese voreilige Falschmeldung entschuldigen.

Jörn Erbguth, 9. April 2018

Ende-zu-Ende-Verschlüsselung (E2EE)

Warum das HSM des beA keine Ende-zu-Ende-Verschlüsselung ist

Zwar wird beim beA die Nachricht an sich verschlüsselt übertragen, doch bei der BRAK liegt auch der Nachrichtenschlüssel vor. Damit könnte die BRAK das System so bauen, dass sie Zugriff auf die Nachrichten hat. Ende-zu-Ende-Verschlüsselung bedeutet nämlich, dass die Nachricht schon technisch unterwegs nicht entschlüsselt werden kann und man nicht darauf vertrauen muss, dass die Systeme und Parteien auf dem Übertragungsweg dies nicht tun. Es geht gerade darum, dass durch die Ende-zu-Ende-Verschlüsselung das Abhören der Nachricht auf dem Übertragungsweg technisch unmöglich ist - unabhängig wie die Übertragungssysteme gebaut sind. Dies kann man bei Wikipedia nachlesen und Herr Prof. Armknecht hat dies auf dem Symposium des EDV-Gerichtstags in Berlin zu beAplus am 5.3. nochmals bestätigt. Herr Dr. Abend - Vizepräsident der BRAK - hat in der Veranstaltung zudem gesagt, dass er im Zusammenhang mit dem beA nicht mehr von einer Ende-zu-Ende Verschlüsselung sprechen wird.

Warum das Abhören der Anwalts-Gerichtskommunikation ein Problem ist

Der Schriftsatz ans Gericht liegt doch dem Gericht vor und wird sogar der Gegenpartei zugestellt. Warum sollte hier Vertraulichkeit wichtig sein? Eine Staatsanwaltschaft braucht doch nicht aufwendig über eine richterliche Anordnung über die BRAK gehen, sondern kann einfach Akteneinsicht verlangen. Abhören können jedoch nicht nur Staatsanwaltschaften, sondern auch unsere Geheimdienste. Die Geheimdienste benötigen dazu keine richterliche Anordnung. Mit einem Zugriff auf das beA wären damit viele qualitativ neue Abhörmöglichkeiten gegeben:

  • Der gesamte Austausch zwischen Anwälten und Gerichten wird überwacht und z.B. nach bestimmten Personen, nach V-Leuten, nach Themen etc. überwacht. Taucht in einem Schriftsatz der Name einer V-Person auf, kann direkt reagiert werden. Wird eine Maßnahme der Regierung vor Gericht auch nur am Rande in Frage gestellt, so kann direkt reagiert werden. Gibt es Klagen, die einem Konzern gefährlich werden könnten, so kann reagiert werden.
  • Anwältinnen und Anwälte können damit systematisch überwacht werden. Wieviele Verfahren haben die Anwält_innen? Welche Art von Verfahren? Welche Mandanten?
  • Gerichte und Richter_innen können damit systematisch überwacht werden. Wie reagieren Richterinnen und Richter auf bestimmte Anträge? Wie schnell arbeiten sie?

Da eine solche Abhörschnittstelle systematisch und nicht nur im Einzelfall genutzt werden könnte, wäre es damit möglich, die gesamte Anwaltschaft und Justiz systematisch zu überwachen. Da diese Daten ggf. auch mit ausländischen Geheimdiensten geteilt werden, könnten auch fremde Dienste Alerts einstellen, wenn wirtschaftliche Interessen ihrer Firmen oder politische Interessen ihrer Regierungen in Gefahr sind.

Warum DE-Mail keine Alternative sein kann

Auf dem Symposium des EDV-Gerichtstags wurde DE-Mail als Alternative diskutiert. DE-Mail bietet keine Ende-zu-Ende Verschlüsselung und hat eine Abhörschnittstelle eingebaut. Trotzdem gilt es per Gesetz - aber nicht de fakto - als sicher. Herr Leslie Romeo - Head of De-Mail bei der 1&1 De-Mail GmbH - sagte dazu, dass eine abhörsichere Kommunikation über DE-Mail nur bei der Verwendung zusätzlicher Verschlüsselung gegeben sei. Diese zusätzliche Verschlüsselung würde jedoch zwischen Anwälten und Gerichten nicht eingesetzt. Persönlich hat mich an der Diskussion verwundert, dass diese abhörbare Kommunikation beim Symposium des EDV-Gerichtstags auf wenig Widerstand stieß. Wer dem HSM der BRAK misstraut, sollte nicht einmal daran denken, DE-Mail ohne zusätzliche Verschlüsselung zu verwenden.

Kein beA ohne (echte) Ende-zu-Ende Verschlüsselung?

Ralph Hecksteden hat seinen Artikel zur Ende-zu-Ende-Verschlüsselung ergänzt um den Hinweis, dass der Verordnungsgeber der RAVPV die Ende-zu-Ende-Verschlüsselung als elementares Grundelement des beA bezeichnet hat. Folgt man dieser Sicht, dürfte ein beA ohne Ende-zu-Ende-Verschlüsselung nicht betrieben werden.

Beitrag von Alexander Löschhorn in der MMR

Alexander Löschhorn analysiert in seinem Beitrag Pflicht zur Nutzung des besonderen elektronischen Anwaltspostfachs (beA) und zur anwaltlichen Verschwiegenheit (MMR 2018, 204, Paywall) die gesetzlichen und technischen Grundlagen. Dabei sieht er weder eine technische noch eine gesetzliche Notwendigkeit für die Umschlüsselung durch ein HSM. Er verweist auf das Notarpostfach, welches eine echte E2EE böte und auf die Sicherheitsrisiken, die mit einem HSM verbunden seien. Er sieht den Verdacht des Zugriffs durch staatliche Stellen als "nicht ausgeräumt" und benennt das Dementi der BRAK als unzureichend, dass "kein Nutzer im Betrieb des HSM Zugriff auf diese Schlüssel habe", da ein solcher Zugriff für den Zugriff auf die Nachrichteninhalte gar nicht erforderlich sei. Er mutmaßt zudem, dass die gesetzlichen funktionalen Anforderungen durch die BRAK maßgeblich beeinflusst worden seien. Er stellt die (frühere) Behauptung der BRAK als unglaubwürdig dar, dass es zum HSM keinen Generalschlüssel gäbe - ohne allerdings zu berücksichtigen, dass die BRAK bereits auf dem beAthon selbst eingeräumt hat, dass es einen solchen Generalschlüssel gibt.

8. März 2018 Update vom 23. April 2018

Klagen, Urteile, Parlamentsanfragen

Klage der GFF am AGH Berlin

Die Gesellschaft für Freiheitsrechte e.V. hat eine Klage gegen das beA koordiniert (Pressemitteilung).

17. Juni 2018

OLG Brandenburg

Beschluss zur Zulässigkeit einer Containersignatur
§ 4 Abs. 2 ERVV, der die bisherige Containersignatur verbietet, wird verfassungskonform so interpretiert, dass er nicht anwendbar ist, wenn die Akten bei Gericht noch auf Papier geführt werden und das beA nicht verfügbar ist. Die Zweifel an der Verhältnismäßigkeit scheinen nachvollziehbar zu sein, wenn zum einen die Notwendigkeit des Verbots der Containersignatur auf Grund fehlender digitalen Aktenführung noch nicht existiert und zum anderen der EGVP-Client die Containersignatur weiterhin anbietet und der beA-Client auf Grund Sicherheitsproblemen nicht verfügbar ist. Dabei wird der Raum der verfassungskonformen Auslegung freilich sehr weit interpretiert.

Anmerkung von Henning Müller (paywall).

6. März 2018

Bundesrechtsanwaltskammer / Bundesnotarkammer

Downloads (BRAK)

Anleitungen, Werbebroschüren und Mitteilungen bei der BRAK.

Pressemitteilungen (BRAK)

Presseerklärungen der BRAK zum beA.

Fragen und Antworten (BRAK)

FAQ der BRAK zum beA.

Die Entfernungsanleitung (BRAK)

Hier die Entfernungsanleitung zur kritischen Zertifikatsinstallation.

Die kritische Anleitung (BRAK)

Hier die Anleitung zur kritischen Zertifikatsinstallation.

Bundesnotarkammer

Seite der BNotK zum beA sowie deren FAQ-Dokument [Link nicht mehr verfügbar].

Videos

re:publica

Die Tragödie der Digitalisierung in Deutschland am Beispiel des besonderen elektronischen Anwaltspostfachs beA von Ulrike Meising und Jörn Erbguth auf der re:publica 2018

2. Mai 2018

Markus Drenger und Felix Rohrbach (beide CCC Darmstadt) auf Easterhegg2018

Video der Präsentation Anwaltspostfach & der ERV.
Fraglich sind Folien 76-83 (Minute 50) in der dargestellt wird, dass Governikus von Sicherheitslücken Anfang 2017 per Telefonkonferenz informiert wurde und der beA-Client trotzdem nicht mit dem verfügbaren Update versehen wurde.
Es ist zu klären, ob der Client tatsächlich nicht mit dem verfügbaren Update versehen worden ist. Governikus hat dies bestritten und geschrieben, dass im Mai und im November 2017 jeweils ein Update ausgeliefert worden wäre. Der aktuell installierbare Schulungsclient für Mac beinhaltet die aktualisierte Version der Library. Gleiches gilt für eine Installation unter Linux vom Dezember. Unter welchen Bedingungen die im Video Vortragenden dennoch auf die alte Version gestoßen sind, ist zu klären. Auf jeden Fall scheint das Update - entgegen meiner anderweitigen vorherigen Annahme - ausgeliefert worden zu sein.

30. März 2018

Wie man an den privaten Schlüssel des https-Zertifikats kommt

Video von Stefan Hessel zur Extraktion des Keys aus der Client Security.

27. Januar 2018

Markus Drenger und Felix Rohrbach (beide CCC Darmstadt) auf dem 34C3

Video bei Facebook, bei Youtube oder golem.

28. Dezember 2017

Pressemitteilungen / offene Briefe / Reden

DAV

Stellungnahme zum Gutachten von Secunet und zum angekündigten Zeitplan
[Der DAV fordert "die Beseitigung aller Fehler der Kategorie A und B". Bei 5.5.3 "HSM-Schlüssel existieren außerhalb des HSM" (Kategorie B) ist sich die BRAK noch nicht sicher, ob sie dies beheben will - und wenn dann erst zu Anfang 2019. Ginge die BRAK daher auf die Forderungen des DAV ein, wäre der Zeitplan der BRAK hinfällig.]

26. Juni 2018

BRAK

Pressemitteilung Nr. 7 Secunet berichtet über laufende Prüfung des beA [aber Gutachten wird (noch?) nicht veröffentlicht].

15. April 2018

BRAK

Pressemitteilung Abschaltung des Bundesweiten Amtlichen Anwaltsverzeichnisses (BRAV) [Link nicht mehr verfügbar] und Schreiben BRAK-Nr. 135/2018.

13. April 2018

BRAK

beA Rundbrief 06 (nicht mehr als Faksimile, aber als Zitat bei beA-ABC verfügbar) hierzu auch die Info der hanseatischen RAK

28. März 2018

BLK Arbeitsgruppe "IT-Standards in der Justiz"

IT-Sicherheit der EGVP-Infrastruktur

8. Februar 2018

Bundesverband der Unternehmensjuristen BUJ

Zum geplanten Neustart des beA 2.0

29. Januar 2018

BMJV / BRAK / Frag den Staat

Fragen des BMJV an die BRAK wg. des beA

26. Januar 2018

BRAK

Erste Ergebnisse des Sicherheitsdialogs beAthon mit Warnung vor Sicherheitslücke und Aufforderung zur Deaktivierung der bisherigen Client-Security.

26. Januar 2018

ATOS

Stellungnahme zum besonderen elektronischen Anwaltspostfach (beA) wiedergegeben auf der Seite der Kanzlei Hoenig.

26. Januar 2018

VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.V.

Bisher keine Vorfälle bekannt Presseinformation zur Sicherheit des OSCI-Protokolls.

25. Januar 2018

BRAK

Der Newsletter zum besonderen elektronischen Anwaltspostfach Ausgabe 3/2018 EGVP-Client länger nutzbar
Sowie weitere Antworten der BRAK auf Fragen zur Verschlüsselung, zur Begutachtung und zur Wiederinbetriebnahme des beA.

24. Januar 2018

BRAK

beAthon findet ohne Dienstleister ATOS und Governikus statt
Presseerklärung war kurzfristig auf dem Server der BRAK nicht verfügbar (404). Hier ggf. die Seite aus dem Cache.

24. Januar 2018
22. Januar 2018

Hanseatische Rechtsanwaltskammer Hamburg

Die Tests des beAs wurden 2015/2016 durch ATOS selbst beauftragt. Neuerliche Begutachtungen sollen nun durch einen vom BSI "empfohlenen" Experten im Auftrag der BRAK und wiederum durch einen von ATOS beauftragten externen Experten erfolgen. Die BRAK beauftragt dazu secunet, die aber zu diesem Auftrag nichts sagen können/dürfen.
Bericht über die Verhandlungen anlässlich der ordentlichen Präsidentenkonferenz am 18.1.2018 in Berlin des Präsidenten Otmar Kury. Die unter Nr. 3 angesprochene Anlage.

18. Januar 2018

Rede des amtierenden Justizministers Heiko Maas

DAV-Auftakt in Berlin: "Das Bundesjustizministerium hilft, wo es kann."

16. Januar 2018

Rechtsanwaltskammer München

Infokatalog zur Offline-Stellung des beA [Link nicht mehr verfügbar].

10. Januar 2018

Rechtsanwaltskammer Köln

Neue Entwicklungen beim beA

10. Januar 2018
10. Januar 2018

Rechtsanwaltskammer Koblenz

Störungen bei beA

10. Januar 2018
10. Januar 2018

Nina Diercks

offener Brief

7. Januar 2018

BRAK

"eine nicht zur Rechtsanwaltschaft zugelassene Person" (später gab es eine Entschuldigung)

27. Dezember 2017

Blogs und Inititativen

EDV-Gerichtstag

Rechtsfrage zum elektronischen Rechtsverkehr
Der Deutsche EDV-Gerichtstag sammelt und systematisiert Rechtsfragen zum elektronischen Rechtsverkehr und leitet sie an die Wissenschaft weiter.
Lesen Sie Fragen, die Antworten oder stellen Sie selber Fragen.

Initiative für eine Klage gegen die BRAK

Für ein Anwaltspostfach ohne Hintertüren eine Initiative der Gesellschaft für Freiheitsrechte e.V.

Rheinrecht - das Blog

ERV macht Spaß! von Andreas Schwartmann.

beA-ABC

Blog und Website von Ilona Cosack.

Schinagl Rechtsanwalt

Aktuelles beA von Michael Schinagl.

ralfzosel.de

Blog von Ralf Zosel.

Veranstaltungen

10. Juli 2018 13 Uhr (Vortrag um 16 Uhr)

re:publica

Die Tragödie der Digitalisierung in Deutschland am Beispiel des besonderen elektronischen Anwaltspostfachs beA Talk mit Jörn Erbguth und Ulrike Meising.
STATION Berlin, stage 8
Video

2. Mai 2018 16:30 Uhr

RAK Sachsen

Tagesordnung der Kammerversammlung enthält Antrag zur Akteneinsicht in den Vergabevorgang an ATOS.

23. März 2018
5. März 2018

Arbeitsgemeinschaft sozialdemokratischer Juristinnen und Juristen (ASJ), Berlin

beA - Bleibt das Anwaltsgeheimnis noch gewahrt?

20. Februar 2018

Rechtsanwaltskammer des Saarlandes

"Wie sicher ist das beA?" Das besondere elektronische Anwaltspostfach (beA) aus Sicht der IT-Sicherheit von Stefan Hessel und Frederik Möllers
zum Video der Veranstaltung.

9. Februar 2018

Frankfurter Anwaltsverein

Vortrag: Technische Probleme und Risiken des beA von Markus Drenger.

7. Februar 2018

Digitale Gesellschaft

69. Netzpolitischer Abend in Berlin.

2. Februar 2018
1. Februar 2018

beAthon

Veranstaltung der BRAK zum beA. Das beAthon ist dabei keine Art Hands-On Hackathon - wie der Namen vermuten lassen könnte. Sondern er ist ein auf vier Stunden angesetztes Gespräch, zu dem auch die Fachpresse eingeladen sei.

26. Januar 2018

legal tech & innovation forum Frankfurt

beA – beAgate – beAthon? Paneldiskussion Goethe Universität Frankfurt – Campus Westend – Hörsaal HZ4
Hier ein schöner Bericht dazu.

25. Januar 2018 19:30 Uhr

DAV

beA - Wie geht es weiter?
Hier das Video der Veranstaltung.

22. Januar 2018, 14:00-18:00 Uhr

BRAK

Präsidentenkonferenz

18. Januar 2018

CCC Darmstadt

Vortrag: Das elektronische Anwaltspostfach TU Darmstadt, Raum C120
Hier das Video des Vortrags.

16. Januar 2018, 19:30 Uhr

Elektronischer Rechtsverkehr in anderen Ländern

e-Curia

Wenn man wirklich nur Dokumente hin- und herschicken möchte: ERV auf EU-Ebene (Wikipedia)

26.9.2017

Impressum und Datenschutzhinweis

Impressum

Dies ist eine Seite der Homepage von Jörn Erbguth. Zur Hauptseite

Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Fehlermeldungen und Ergänzungen per mail an mich.

Jörn Erbguth, Chemin du Champ d'Anier 15, 1209 Genf, Schweiz

Datenschutzhinweis

Diese Website nutzt keine Cookies. IP-Adressen werden nur in gekürzter Form vom Provider Strato AG, Berlin protokolliert, so dass keine Identifizierung einzelner Besucher möglich ist. Die protokollierten Zugriffsdaten dienen zur Fehleranalyse und zur Reichweitenmessung. Google Analytics oder andere Analysetools von Drittanbietern kommen nicht zum Einsatz.