Petition für eine rechtssichere Versanddokumentation im beA (von RA Christian Franz)
Wenn wir e-Banking genauso wie e-Justiz betreiben würden, dann hätten wie heute ein
besonderes elektronisches Postfach zum Austausch von Banknachrichten
statt e-Banking Apps und Websites.
Alle, die das beA wegen fehlender echter Ende-zu-Ende-Verschlüsselung (E2EE) nicht nutzen wollen,
sollten auch kein Fax ans Gericht senden. Im Gegensatz zu beA wissen wir, dass Faxe abgehört werden können.
Zudem ist bereits die Verbindung eines Fax-Druckers mit dem lokalen Computernetzwerk ein erhebliches Sicherheitsrisiko.
Diese Website minimiert den Einsatz von Third-Party-Tools und sammelt nur ein Minimum an Daten. Sehen Sie dazu auch Impressum/Datenschutzerklärung
Am 10.12.21 wurde eine Sicherheitslücke CVE-2021-44228 in der Bibliothek log4je bekannt, die eine Übernahme Ihres Rechners beim Besuch von Websites ermöglichen würde. Eine erste Analyse durch j-lawyer ergab, dass der Code der Sicherheitslücke zwar in der beA Client Security enthalten wäre, dort die Sicherheitslücke aber nicht ausnutzbar wäre. Inzwischen hat die BRAK eine Warnung ausgesprochen und das beA deaktiviert. Inzwischen wurde ein Update des Clients (Version 3.9.0.7) bereitgestellt, welches diese Schwachstelle nicht mehr hat. Im Regelfall erfolgt ein Hinweis auf die Aktualisierung automatisch beim Starten der beA Client Security.
Warnung und Update der BRAK | Tweet von jLawyer |
Weitere Artikel auch bei Ralph Hecksteden
Süßes oder Saures? Hinter den Kulissen des Anwaltspostfachs beA von Ilona Cosack
Ein Bericht zur neuen Benutzeroberfläche.
"Signatur würde Vertrauen in das System stärken" von Hasso Suliak
Interview mit Martin Schafhausen, leider ohne Diskussion was die Signatur denn bestätigen könnte und wer sie anbringen würde - auch nicht was die Anforderungen des § 130a Abs. 5 Satz 2 betrifft.
Elektronischer Rechtsverkehr von Wolfram Viefhues (Hrsg. und Autor) sowie Ilona Cosack (Autorin). Letztere insbesondere mit RN51ff. zur Auswirkung der BRAO-Novelle auf das beA sowie RN 77ff. zur Eingangsbestätigung.
"Geringere Rechtssicherheit als das Telefax" von Hasso Suliak
Die BRAK weist darauf hin, dass mit der Weiterentwicklung zum Vertrauenswürdigen Herkunftsnachweis (VHN), dem sogenannten VHN2, zeitnah die Möglichkeit geschaffen werden würde, neben dem Versand einer Nachricht über einen sicheren Übermittlungsweg zugleich die Korrektheit der übermittelten Anlagen auf Grundlage der in der signierten VHN-Datei enthaltenen Prüfsummen zu prüfen bzw. nachzuweisen. Die Umsetzung im beA erfolge bereits mit dem Release 3.9, das noch in diesem Jahr zur Verfügung gestellt werden solle. Die Nutzung des VHN2, insbesondere durch die Gerichte, setzte die Vorbereitung aller Kommunikationspartner im EGVP-Verbund voraus, sodass die tatsächliche Umstellung auf den VHN2 koordiniert durch die Justiz zu einem späteren Zeitpunkt erfolgen würde. Voraussichtlich würde die Umstellung mit der Einführung der besonderen elektronischen Bürger- und Organisationenpostfächer zum 1. Januar 2022 erfolgen. Damit könnte sich die Problematik erledigen.
Keine Panik: Der Nachweis des beA-Postausgangs aus Gerichtssicht von Henning Müller
Der Nachweis der BRAK würde den Eingang bei Gericht belegen. Es wird empfohlen, selbst die schlichte Text/HTML-Datei "export.html" zu signieren um wenigstens belegen zu können, dass nach der Eigensignatur keine Manipulation stattgefunden hat.
BRAK bestätigt: beA nicht sicher einsetzbar von Christian Franz
Nachdem die BRAK zugeben musste, dass der bisherige Mechanismus des beA für Empfangsbestätigungen fristwahrender Schriftsätze von Beginn an funktionslos war, schwenkt sie jetzt um. Doch auch der angebliche Ersatzmechanismus läuft leer. Der nachstehende Satz der BRAK ist [...] schlicht gelogen: [Die *_export.hml-Datei] kann im Bedarfsfall dem Gericht vorgelegt werden, denn sie repräsentiert die Eingangsbestätigung im Sinne von § 130a Abs. 5 ZPO.
Wieder Ärger mit dem beA? von Hasso Suliak
Die BRAK kündigt eine kurzfristige Stellungnahme an, um die der Artikel ggf. ergänzt wird.
Compliance in den Zeiten der Cholera von Christian Franz
Die abgeschaffte Eingangsbestätigung des beA war nie eine Bestätigung des Eingangs oder des Versands einer bestimmten Nachricht. Diese in der Schnittstelle fehlende Funktion funktionierte nie richtig und wurde nun auch im Web-Client ersatzlos gestrichen. Ein angeblicher Vorteil des beA – der nachweisbare Zugang einer bestimmten Nachricht – war damit nie vorhanden. Das beA verhält sich damit in diesem Punkt wie normale e-Mail, welche ebenfalls keine Sende- oder Empfangsbestätigung bietet. Unterm Strich wäre daher normale verschlüsselte und signierte e-Mail wegen seiner Ende-zu-Ende Verschlüsselung dem beA überlegen.
Update auf Version 3.8.x von Ilona Cosack
Anwaltliche Sorgfaltspflichten im elektronischen Rechtsverkehr von Benedikt Windau
Anmerkung zum Urteil des OLG Dresden vom 1.6.2021 (4 U 351/21)
Hilfe, mein beA funktioniert nicht mehr! – Ein Update von Ilona Cosack
»Das Projekt entspricht nicht dem Stand der Technik« von Sandra Schönlebe
Elektronisches Anwaltspostfach muss laut Bundesgerichtshof nicht vollständig verschlüsselt werden. Ein Gespräch mit Linus Neumann
Das besondere elektronische Anwaltspostfach ist hinreichend sicher (ohne Autorenangabe)
(Dies ist keine Tatsachenfeststellung, sondern die rechtliche Einschätzung des BGH)
Anwaltspostfach beA: Anwaltskammer gibt Gutachten und Verträge frei von Stefan Krempl
Über eine IFG-Anfrage sind inzwischen einige Dokumente zur Entwicklung des beA verfügbar.
Anwaltspostfach beA: Bundesregierung findet Entschlüsselungsrisiko "akzeptabel" von Stefan Krempl
Die Bundesregierung stärkt der Bundesrechtsanwaltskammer beim kontroversen Betrieb des besonderen elektronischen Anwaltspostfachs den Rücken.
Bekannte BeA-Sicherheitslücke blieb lange offen von Hanno Böck
Eine durch SEC Consult 2015 in einem Gutachten festgestellte Cross-Site-Scripting-Sicherheitslücke sei 2 Jahre lang nicht behoben worden. Die Bundesrechtsanwaltskammer hätte auf Anfrage von Golem.de erklärt, dass hierfür Atos verantwortlich gewesen wäre und sich die Bundesrechtsanwaltskammer auf eine telefonische Bestätigung der Behebung der mit einfachen Mitteln selbst verifizierbaren Sicherheitslücke verlassen hätte.
Aktive Nutzungspflicht im beA ab 2021 von Mike Schinagl
Kollisionskurs mit verwaisten und unsicheren beA-Postfächern – Haftungsfallen in Serie
Michael Schinagl spricht in diesem Beitrag eine Vielzahl aktueller Probleme des Anwaltspostfachs an:
Anwaltskammer Opfer von Ransomware-Angriff von Hanno Böck
Ein ungeschützter MySQL-Server sorgte für den Ausfall einer Info-Webseite zum Anwaltspostfach BeA
[Kann es sein, dass die BRAK seit einigen Wochen Opfer eines Ransomware-Angriffs geworden ist und selbst nichts davon weiß?]
Aktualisierung der beA Client-Security mit neuem Installationsprogramm – am besten vor dem 15.10.2020
[Die BRAK gibt nun wohl doch eine deutlich längere Frist zur Aktualisierung.]
Originalfassung von BeA-Sicherheitsgutachten freigeklagt von Hanno Böck
Wieder Ärger rund ums beA von Susanne Reinemann
Neue beA Client Security für das besondere elektronische Anwaltspostfach und Hochdruck für die Hersteller von Anwaltssoftware von Ilona Cosack
Brief (per e-Mail) von Christian Franz
Die sehr knappen Fristen zum Austausch der beA-Client-Security verringern die Möglichkeit, Tests in ausreichendem Maß durchzuführen. Das ist nicht nur ein Risiko für Sicherheit und Verfügbarkeit. Es könnte auch darauf hinweisen, dass die Entwicklung noch immer nicht nach dem Stand der Technik durchgeführt wird.
Anwaltspostfach reloaded von Michael Schinagl
Kommentar zur Lage des beA im Umfeld des elektronischen Rechtsverkehrs - aus Spaß wird Ernst
Ende-zu-Ende-Klage von Mike Schinagl
Das beA ist sicher - AGH Berlin weist Klage von Anwälten ab von Pia Lorenz und Hasso Suliak
Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach von Hanno Böck
Gericht: Durchgehende Verschlüsselung beim Anwaltspostfach nicht nötig von Stefan Krempl
Anwaltsgerichtshof Berlin ohne beA-Zugang von Andreas Jede
Wieder eine beA-Panne: Archive ohne Signatur von Volker Weber |
BFH zu Fristversäumnis: beA-Schriftsatz wegen Sonderzeichen nicht weitergeleitet
Besonderes elektronisches Anwaltspostfach kann kein Deutsch von Andreas Sebayang
Anwaltsgerichtshof Berlin ohne beA-Zugang von Andreas Jede
Zur Einführung des beA für Rechtsanwaltsgesellschaften von Peter Burckhardt
beA – typische Probleme zwischen Rückenlehne und Monitor von Henning Müller
BRAK muss den Original-Prüfbericht von Secunet offenlegen von Pia Lorenz
BRAK vergleicht sich mit Atos wegen beAGate von Pia Lorenz
BRAK muss Einsicht in beA-Abschlussbericht gewähren von Jessika Kallenbach
Ein Blick hinter die Kulissen: Wie kommen beA-Nachrichten bei Gericht an? von Ilona Cosack
beA seit Donnerstag nur eingeschränkt verfügbar von Pia Lorenz
Wie geht es beim Anwaltspostfach beA weiter? von Ilona Cosack
Störungen bei elektronischen Gerichtsbriefkästen (EGVP) von Joachim Jahn
Notoperation am Anwaltspostfach beA von Volker Weber
Die Erreichbarkeit des beA ist erbärmlich schlecht. Deshalb zieht die BRAK ein notwendiges Update auf Mittwochabend vor.
Atos legt Nachtschicht ein, das Update beim Anwaltspostfach beA wird auf den 24. April 2019 vorgezogen von Ilona Cosack
Die andauernden Anmeldeprobleme beim besonderen elektronischen Anwaltspostfach beA machen eine Nachtschicht von Atos am Mittwoch, 24. April 2019, ab 18 Uhr erforderlich.
[behoben] Bundesweite Störung beim beA | Ende und Ursache unklar
Vergaberechtler zur Neuvergabe des beA - "Rechtswidrig wieder keine europaweite Ausschreibung" von Pia Lorenz
BRAK schreibt das beA neu aus von Anke Stachow
Das beA wird neu ausgeschrieben - Viel Sicherheit, wenig Vision von Jörn Erbguth
Anwaltspostfach wird neu ausgeschrieben von Hanno Böck
Das beA löscht jetzt Nachrichten von Pia Lorenz
Bundesrechtsanwaltskammer schreibt beA neu aus von Volker Weber
Ab 1. April 2019 werden beA-Nachrichten automatisch gelöscht von Andrea Brandenburg
Automatisches Löschen von Nachrichten beim Anwaltspostfach beA von Ilona Cosack
Zum 1. April 2019 beginnt die BRAK mit dem automatischen Löschen von Nachrichten im Anwaltspostfach beA
Anwaltspostfach beA steht wieder zur Verfügung von Ilona Cosack
Anwaltspostfach beA: nach 13 Tagen steht es wieder zur Verfügung
beA macht Faxen von Ilona Cosack
Das besondere elektronische Anwaltspostfach (beA) schwächelt. Seit dem 31. Januar 2019 gibt es Schwierigkeiten bei der Anmeldung und dem Versand aus der Justiz.
Probleme beim beA - BRAK empfiehlt bei eiligen Sachen "andere Versandmöglichkeiten" von Hasso Suliak
BRAK: "beA nicht grundsätzlich offline", allerdings bestünden "für eine Vielzahl von Anwendern Probleme bei der Anmeldung am beA".
[Richtig wäre wohl gewesen: Anwaltspostfach massiv gestört aber nicht komplett ausgefallen]
(Fast) so einfach wie E-Mail ... Elektronische Gerichtspost (ERV)
Eine informative Broschüre zum elektronischen Rechtsverkehr. (Im Kontext der Nutzung der Kanzleisoftware LawFirm.)
beA: Kanzleiadresse statt persönliches Postfach soll bald möglich sein von Christiane Schiffer
Die BRAK will Atos das beA abnehmen von Pia Lorenz
Elektronischer Rechtsverkehr - beA läuft – passive Nutzungspflicht greift von Wolfram Viefhues, Jennifer Witte, Ilona Cosack und Thomas Lapp
(gleichzeitig als e-Broschüre beim Deutschen Anwaltverlag veröffentlicht)
Geht doch! Elektronischer Rechtsverkehr auch ohne beA von Henning Müller
Endlich: auf Empfang - Einige Gedanken zum holprigen Start des besonderen elektronischen Anwaltspostfachs – was jetzt zu tun ist von Martin Schafhausen
Unsicheres Anwaltspostfach: beA meldet den Anwalt nicht ab von Volker Weber
Anwaltspostfach BeA - Geheimhaltung von Nachrichten ist nicht so wichtig von Hanno Böck
[Über die Zurückstufung einer Sicherheitslücke durch die Präsidentenkonferenz und weiteren Angriffsmöglichkeiten von Innentäter*innen, die ich dem Punkt 5.4.1 des Secunet-Gutachtens (Verwendung von Javascript beim beA_Client) zuordnen würde.]
Auch BAG akzeptiert keine Containersignatur von Henning Müller
Anwaltspostfach - Der Gegner weiß, ob Sie schon angemeldet sind von Pia Lorenz
Ist es wirklich eine anwaltliche Pflicht, die Nichterreichbarkeit der Kolleg*in auszunutzen, oder ist es eher rechtsmissbräuchlich bewusst eine Nachricht dorthin zu senden, wo die Kolleg*in sie nicht sieht?
Elektronisches Anwaltspostfach - „Haarsträubende Konspirationsszenarien“ zum Bea (Paywall) von Constantin van Lijnden
"Also sind wir auf die damalige Justizministerin Sabine Leutheusser-Schnarrenberger zugetreten und haben sie überzeugt, dass man die Sache andersherum aufziehen müsse: Die Anwaltschaft sollte eine Kommunikationslösung entwickeln, und die Gerichte würden sich damit abstimmen müssen. Das hielt und halte ich aus Sicht der Anwälte für einen Gewinn. Für die Brak hatte das die Nebenwirkung, dass uns mit dem Vorschlag auch gleich die Verantwortung für das Projekt zufiel."
"Wer meint, dass das Bea mit der Padding-Problematik nicht starten dürfe, der müsste konsequenterweise auch fordern, dass das EGVP bis zur Lösung des Problems vom Netz genommen wird."
beA: Anwaltspostfach verrät inaktive Nutzer zum Schaden für Mandanten von Volker Weber
Anwaltspostfach beA: Miserable Sicherheitsvorkehrungen auf bea.brak.de von Mike Kuketz
Die an sich für den Betrieb des beA nicht erforderliche Wordpress Info-Website ist nicht gut gesichert. Angreifer*innen könnten hier Malware platzieren, die Anwält*innen im Vertrauen auf die BRAK installieren.
Einen Tag später meldet Mike Kuketz: beA: Sicherheitsvorkehrungen auf bea.brak.de erhöht - Schwachstelle beseitigt.
beA: Das Anwaltspostfach kommt mit Sicherheitslücken von Hanno Böck
Das beA startet - Von Null auf 100? von Pia Lorenz
beA am Donnerstag nicht erreichbar - Anmeldung vor Neustart nur noch am Freitag möglich von Pia Lorenz
beA startet (wieder): Was ist zu tun? Was werden die Gerichte tun? von Henning Müller
Start frei für das besondere elektronische Anwaltspostfach (beA) von Ilona Cosack
Das Anwaltspostfach vor dem Neustart - Die BRAK erklärt das beA für sicher von Pia Lorenz
AGH Berlin zum kaputten Anwaltspostfach - Keine Nutzungspflicht ohne Nutzungsmöglichkeit von Pia Lorenz
Anwaltspostfach kurz vor dem Neustart - Keine Testphase für das beA von Pia Lorenz
beA: BRAK soll zu spät gehandelt haben von Joachim Jahn
Trotz Schwachstelle bleibt es dabei - Das beA kommt am 3. September von Pia Lorenz
Anwaltspostfach, nächste Runde - Sollte das beA noch später kommen? von Pia Lorenz
Schon wieder das beA von Miriam Vollmer
Fahrplanänderung beim Bea von Constantin van Lijnden
BGH zum besonderen elektronischen Anwaltspostfach - Kein Grund für einen Stopp des beA von Martin Huff
Das Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (beA) (partiell hinter Paywall) von Frederik Möllers und Stefan Hessel
Das Gutachten belegt eindrucksvoll, wie schlecht es um die IT-Sicherheit des beA bestellt ist. Angesichts der massiven Sicherheitsprobleme entspricht die (getestete) Version der Software nicht dem Stand der Technik.
BRAK will Wiederinbetriebnahme des beA von Christoph Müller
[Die "Zeitmaschine" der Entwickler des beA-Clients könnte sich dadurch erklären, dass der Installer die aktuellen Bibliotheken herunterlädt. Genauso kann der beA-Client weitere Aktualisierungen herunterladen. Das lässt sich gut nachvollziehen, wenn man die Internet-Verbindung beim Start der beA-Client-Security abschaltet und dann die entsprechende Fehlermeldung kommt.]
BeA, die BRAK und die Zeitmaschine von Joachim Sokolowski
Elektronisches Anwaltspostfach - beA-Registrierung wieder möglich von Hasso Suliak
Download für beA-Client-Security – DAV wirbt für beA-Testphase von Nicolas Lührig
Klage wegen beA: Rechtsanwaltskammer soll Software-Sicherheitstests herausgeben von Arne Semsrott
Anwälte bekommen Rechnungen fürs beA - Zahlen für nichts? von Pia Lorenz
NRV und Verdi fordern mehr Zeit für elektronische Gerichtsakte "Das beA-Debakel darf sich keinesfalls wiederholen" - hier der offene Brief
[Auch wenn die Probleme gut angesprochen werden, scheint mir die Schlussfolgerung fraglich, das derzeitige (Schnecken-)Tempo müsse entschleunigt werden.]
Neustart des elektronischen Anwaltspostfachs - Massive Kritik am Zeitplan der BRAK von Hasso Suliak
Gutachten zum unsicheren Anwaltspostfach Ohne Vertrauen geht es nicht von Jörn Erbguth
Nach beA-Pannen: Ab 4. Juli soll der Neustart beginnen – was Sie jetzt wissen müssen von Tobias Fülbeck
BRAK veröffentlicht Sicherheitsgutachten zum beA und Fahrplan zum Neustart von Nicolas Lührig
Neuer Starttermin fürs Anwaltspostfach - Wann das beA wieder online gehen sol von Pia Lorenz
Besonderes elektronisches Anwaltspostfach: beA-Abschlussgutachten - und viele offene Fragen von Volker Weber
Anwaltspostfach soll im September online gehen (Paywall) von Constantin van Lijnden
Wie geht es weiter mit dem beA? von Tanja Nitschke
„Unsicherer als jede Whatsapp-Nachricht“ - Eine Reihe von Anwälten haben Klage gegen die Inbetriebnahme des elektronischen Anwaltspostfachs erhoben. Die eingesetzte Verschlüsselung sei anfällig für Angriffe von Constantin van Lijnden
Anwälte haben beA-Klage gegen Bundesrechtsanwaltskammer eingereicht
[Achtung, Inhalte unter dieser URL wechseln, Dokument daher nicht dauerhaft verfügbar]
Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht von Hanno Böck
Special electronic lawyer mailbox: lawyers file suit in a von Jörg Heidrich
Besonderes elektronisches Anwaltspostfach: Rechtsanwälte reichen Klage ein von Jörg Heidrich
Elektronisches Anwaltspostfach - Anwälte reichen Klage gegen die BRAK ein von Hasso Suliak
Streit um Veröffentlichung des Secunet-Gutachtens - BRAK lässt beA-Abschlussbericht zurückgehen von Hasso Suliak
Unsicheres Anwaltspostfach: BRAK und Deutscher Anwaltverein zoffen sich von Volker Weber
Brandbrief nach Kritik am Umgang mit beAGate BRAK attackiert den DAV scharf von Hasso Suliak
Das beA nach der BRAK-Sonderversammlung - Ärger in Berlin von Hasso Suliak
Secunet-Gutachten für Anwaltspostfach beA verzögert sich von Ilona Cosack
Unsicheres Anwaltspostfach bleibt abgeschaltet / BRAK wählt neuen Präsidenten von Volker Weber
EGVP-Bürger Client wird einen Monat über die Inbetriebnahme des beA hinaus zur Verfügung stehen (Screenshot) vgl. auch BRAK-Newsletter 8/2018
[Angeblich "kein Support", was bedeuten würde, dass Anwälte diese Software nicht einsetzen dürften - effektiv werden Sicherheitsprobleme aber behoben]
Anwaltspostgeheimnis - Geheimniskrämerei um Sicherheitspannen beim elektronischen Anwaltspostfach von Tim Gerber
Elektronischer Rechtsverkehr - Digitalisierung allerorten – allerdings (immer noch) ohne beA hrsg. von Wolfram Viefhues
Mit Beitrag von Jennifer Witte "beA – der aktuelle Stand"
Sonder-Hauptversammlung der BRAK am 28.Mai - Präsidentenwahl wird vorgezogen von Hasso Suliak.
Rechtsthemen auf der Republica 2018 - Ist das beA der neue BER? von Markus Sehl.
Bericht von der Hauptversammlung der Bundesrechtsanwaltskammer am 27.04.2018 von Marcus Mollnau.
Das beA in der BRAK-Hauptversammlung Die Kammerpräsidenten in der Pflicht von Pia Lorenz.
Das Anwaltspostfach in der BRAK-Hauptversammlung - Neuer beA-Beitrag für 2019 beschlossen von Pia Lorenz.
"die große Mehrheit der Präsidentinnen und Präsidenten [...] unsere Arbeit [...] schätzt"
Wegen beA - RAK Saarland will dem BRAK-Präsidium die Entlastung verweigern von Pia Lorenz.
[Neues Gutachten listet mehr als 20 Sicherheitslücken, davon 12 gravierende auf.]
„Einfach unqualifiziert“ — Hintergrundgespräch mit CCC-Mitglied Markus Drenger zum beA
Krisensitzung zum beA – nun auch Anwaltsverzeichnis offline von Jessika Kallenbach.
Sicherheitsprobleme beim besonderen elektronischen Anwaltspostfach: Jetzt ist auch das Anwaltsverzeichnis offline von Volker Weber.
Neue Sicherheitslücke rund ums beA - BRAK schaltet Rechtsanwaltsregister ab von Pia Lorenz und Christian Dülpers.
Rechtsanwaltsregister musste abgeschaltet werden von Hanno Böck.
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet von Hanno Böck.
Außerordentliche Präsidentenkonferenz zum beA - Schreibt die BRAK das Anwaltspostfach neu aus? von Pia Lorenz.
beA: Besonderes Anwaltspostfach nach neuen Sicherheitsproblemen bis mindestens Mitte Mai offline von Volker Weber.
Pflicht zur Nutzung des besonderen elektronischen Anwaltspostfachs (beA) und zur anwaltlichen Verschwiegenheit - Gesetzliche und technische Grundlagen (Paywall) von Alexander Löschhorn (siehe auch E2EE)
Bundesrechtsanwaltskammer - beA bleibt bis mindestens Mitte Mai offline von Sebastian Reiling.
Anwaltspostfach - Kein beA vor Juni von Pia Lorenz.
BeA: Secunet findet noch mehr Lücken im Anwaltspostfach von Hanno Böck.
Erste Ergebnisse der Sicherheitsanalyse: Anwaltspostfach beA bleibt vorerst weiterhin offline von Ilona Cosack
beA kommt frühestens Mitte Mai 2018; intransparente BRAK (fortgeführter beA-Blog) von Mike Schinagl.
Kammerversammlung in Sachsen vorzeitig abgebrochen - Misstrauensantrag gegen das BRAK-Präsidium verhindert von Pia Lorenz.
beA-Skandal bei der RAK Sachsen von Thomas Papenmeier.
Aufruf der Rechtsanwaltskammer Berlin - Anwälte sollen der BRAK Druck machen
RAK Berlin fordert: beA muss Open-Source-Software werden! Aufruf der RAK Berlin: Für eine sichere elektronische Kommunikation / Für Open-Source-Software und öffentliche Sicherheitsaudits
Elektronisches Anwaltspostfach - Verklagenswerte Zustände (Titel des Beitrags wurde inzwischen auf "Warum Anwälte ihrem elektronischen Postfach misstrauen" geändert) von Wolfgang Janisch und Hakan Tanriverdi.
Spendenaufruf für ein sicheres Anwaltspostfach - Prominente Anwälte wollen die BRAK verklagen von Pia Lorenz.
Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen von Hanno Böck.
Verschlüsselung beim beA: GFF will gegen Bundesrechtsanwaltskammer klagen von Volker Weber.
Berliner Justizsenator hält De-Mail-Adressen der Gerichte geheim von Tim Gerber.
Kleine Information zum beA und die Kammerversammlung der Rechtsanwaltskammer Sachsen von Christoph Müller.
Unerreichbar - Wie die Justiz den elektronischen Rechtsverkehr behindert von Tim Gerber.
German Lawyers Call For Their Profession's Bug-Ridden, Soon-To-Be Mandatory, Email System To Be Open Sourced von Glyn Moody.
Tagungsbericht IRIS 2018 von Alexander Konzelmann.
Berliner Anwälte: BRAK-Spitze soll zurücktreten von Hendrik Wieduwilt.
Kammerversammlung Berlin 2018 von Miriam Vollmer.
beA: Berliner Anwaltskammer fordert Rücktritt der Projekt-Verantwortlichen von Detlef Borchers.
Postfach-Desaster: Berliner fordern Rücktritt des BRAK-Präsidiums von Christiane Schiffer.
Elektronisches Anwaltspostfach - Berliner Anwälte: BRAK-Spitze soll zurücktreten von Hendrik Wieduwilt.
Berliner Anwälte nach dem beA-Gate Kammerversammlung fordert Rücktritt des BRAK-Präsidiums von Pia Lorenz.
Müssen Anwälte eine Alternative zum beA einrichten? von Carsten Kindermann.
Besonderes Anwaltspostfach: EDV-Gerichtstag diskutiert beA und darüber hinaus von Detlef Borchers.
Bericht: beA+ mit besserer Software und optimierter Ausrichtung auf den Kanzleialltag von Thomas Lapp (u.a.).
Juristen träumen vom besonderen Anwaltspostfach von Klaus Ahrens
[Vielleicht ist der Grund für das Scheitern des beA ja in der im Artikel ausgedrückten Furcht vor jeglicher Digitalisierung der Justiz zu sehen]
Update zum Thema E2EE von Ralph Hecksteden.
De-Mail statt BeA: Wege aus dem Rechtsvakuum von Christian Friemel.
Die Saarländische Landesvertretung in Berlin war Gastgeber des beAplus-Symposiums des Deutschen EDV-Gerichtstages e.V. von Ilona Cosack.
E-Justiz in der Sackgasse - Was wird aus dem besonderen elektronischen Anwaltspostfach? von Christian Scheininger und Martin Weigel (Paywall).
German lawyers demand access to source code of ‘special electronic mailbox’ von Gijs Hillenius.
Anwälte warten immer noch auf das elektronische Postfach von Heike Anger.
Anwälte warten immer noch auf das elektronische Postfach von Heike Anger.
Welche Amtssprache hat das digitale Deutschland? von Martin Schallbruch.
Elektronischer Rechtsverkehr - Rückschritte statt Fortschritte beim beA? – Sicherheitsfragen im Fokus von Wolfram Viefhues (Hrsg.).
Besonderes elektronisches Anwaltspostfach: Schadenersatzforderung und Vertröstungen von Martin Weigel.
Bea: Keine Gebührenerstattung, keine Schonfrist von Hendrik Wieduwilt.
Keine Überraschungseier vor Ostern: Gutachten für Anwaltspostfach beA lässt auf sich warten von Ilona Cosack.
beA-Desaster erreicht Bundestag: Rechtsausschuss befragt BRAK von Nicolas Lührig.
Anwaltspostfach im Rechtsausschuss - BRAK will Schadensersatz für beA-Gate von Pia Lorenz [Dokument nicht mehr verfügbar].
BRAK fordert Schadensersatz wegen "beA" von Joachim Jahn.
Gestopptes elektronisches Anwaltspostfach - Parlament fragt nach (jetzt ergänzt und neuer Titel: Misstrauen gegen die BRAK-Führungsspitze, danach erneut ergänzt und neuer Titel: Anwälte starten Crowdfunding für beA-Klage zwecks E2EE-Verschlüsselung)
beAgate – Technischer Hintergrund und rechtliche Aspekte des beA-Ausfalls im Dezember 2017 (Paywall) von Frederik Möllers und Stephanie Vogelgesang.
Mythen und Fakten - aktuelle Entwicklungen beim beA von Tanja Nitschke.
Das elektronische Anwaltspostfach beA: De-Mail, die Zweite? von Marcel Mock.
Abgebrakte Antworten Kommentar zur Antwort der BRAK auf die IFG-Anfrage.
beA – Digital. Einfach. Sicher? von Patrick Prior.
Verschlüsselungspflicht für Anwälte? Intersoft sorgt für Verwirrung von Niko Härting.
Das Logbuch Spezial zum besonderen elektronischen Anwaltspostfach von Tim Pritlove.
Hic sunt leones: Anwaltspostfach beA kann bald wieder in Betrieb gehen von Ilona Cosack.
Besonderes elektronisches Anwaltspostfach – beA: Braucht man wirklich diese Insellösungen? von Stephan Leschke.
Ein Plädoyer für das unsichere Fax, welches international gerade ausstirbt und uns schon immer mit seiner schlechten Bildqualität beglückt hat. Nein - der Artikel ist keine Satire.
EGVP bleibt online bis Ende Mai 2018 von Annika Wolf.
Desaster um das Anwaltspostfach - Die FDP fragt nach Konsequenzen von Tanja Podolski.
Aufsichtsbehörde äußert sich zur Verschlüsselungspflicht von Anwälten
beA-shutdown – Alarmglocken für IT-Sicherheit und Datenschutz schrillen von Thomas Degen und Ulrich Emmert.
beAthon - das Drama geht weiter von Jörn Erbguth mit einem Update.
So geht es mit dem Anwaltspostfach weiter von Hanno Böck.
beAthon zum Anwaltspostfach - Es ist noch schlimmer. Aber es wird besser von Jörn Erbguth.
BRAK warnt nach beAthon - Anwälte sollen beA-Client sofort deinstallieren von Christian Dülpers.
Zum Faxen verdammt - Die Anwaltskammer hat das digitale Postfach in den Sand gesetzt – und blamiert den Berufsstand von Hendrik Wieduwilt.
Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren von Sascha Kuhrau.
Sicherheitsdebakel beim Anwaltspostfach beA - Rechtsanwaltskammer rät Anwälten zur Deaktivierung ihrer Software von Hanno Böck.
Grüne sehen Zweifel an „beA“ nicht ausgeräumt von Joachim Jahn.
Sicherheitslücken - Digitales Anwaltspostfach muss überarbeitet werden von Peter Welchering.
Besonderes elektronisches Anwaltspostfach: Zur Sicherheit sollen Rechtsanwälte die beA Client Security deaktivieren von Volker Weber.
+++BEA ist tot+++Maschinen werden abgeschaltet+++ von Marion Proft.
Anwaltspostfach beA – BRAK empfiehlt Deaktivierung der alten beA Client Security von Ilona Cosack.
Anwaltspostfach beA – Panel-Diskussion beim Legal Tech Innovation Forum Frankfurt von Ilona Cosack.
Anwaltspostfach beA – Bestandsaufnahme und Ausblick von Katrin Kirchert.
BeAthon bei der BRAK von Tobias Freudenberg.
Zukunft des beA: Was ist eigentlich beim „beAthon“ passiert? Tipp: beA-Client-Security deinstallieren von Sebastian Reiling.
Bundesrechtsanwaltskammer - Anwälte sollen BeA sofort deinstallieren von Hanno Böck.
beA-Dienstleister Atos erklärt Problem für gelöst "Sicherheit und Integrität sind wiederhergestellt" von Christian Dülpers.
beAthon auf den letzten Metern? von Constantin van Lijnden.
Was die BRAK dem BMJV antwortet von Hendrick Wieduwilt.
Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA von Hanno Böck.
Besonderes elektronisches Anwaltspostfach: Atos hält die eigene Lösung für sicher von Volker Weber.
Experten fordern mehr Transparenz im Umgang mit der beA-Panne von Anke Stachow.
Besonderes elektronisches Anwaltspostfach: Das Chaos nimmt zu von Volker Weber.
Elektronischer Rechtsverkehr bei Gericht - Erstmal mehr Papier von Henning Zander.
Atos sagt Teilnahme am BeAthon ab - beA-Krisensitzung jetzt ohne beA-Macher von Pia Lorenz.
ATOS - Hersteller von Anwaltspostfach will keine Fragen beantworten von Hanno Böck.
Mit Video-Interview welches Hauke Gierow mit Hanno Böck führt.
beA – wie geht es weiter? Eine konstruktive Betrachtung von Nora Zunker
Besonderes elektronisches Anwaltspostfach: Deutscher Anwaltverein fragt "beA - Wie geht es weiter?" von Volker Weber
init – der Wochenausblick: beA und das WEF von Volker Weber
Massive Kritik am beA von Joachim Jahn
Experten diskutieren übers Anwaltspostfach - Ist das beA noch zu retten? von Annelie Kaufmann
Freie Software kann das beA retten von Michael Stehmann
Unsicheres Anwaltspostfach - EGVP-Client bleibt länger am Netz, IT-Experten fordern freien beA-Programmcode von Pia Lorenz.
Anwaltspostfach beA – Zeitplan für die Wiederinbetriebnahme von Ilona Cosack
Sie haben keine Post! Elektronisches Anwaltspostfach wird zum Debakel von Joerg Heidrich (Paywall)
beA - Soldan will Anwälten das Internet ausdrucken von Hauke Gierow
Wegen beA-Desaster wird EGVP für Anwaltschaft bis Ende Mai verlängert von Nicolas Lührig
Umstrittenes Anwaltspostfach beA - Die digitale Dauerbaustelle von Markus Böhm
Organisationen und Juristen fordern: Das besondere elektronische Anwaltspostfach muss Freie Software werden von Max Mehl
BRAK weist Verantwortung für beAGate von sich - Anwälte müssen Umlage 2018 zahlen von Pia Lorenz
Vor der BRAK-Hauptversammlung - Anwälte wollen die beA-Umlage nicht zahlen von Pia Lorenz
besonderes elektronisches Anwaltspostfach beA - einfach. digital. kaputt. von Volker Weber
BRAK-Präsidentenkonferenzen zum beA in Nachrichten aus Berlin
Meltdown, Spectre, beA – der nächste Supergau vor der Tür von Daniella Domokos
beA-Desaster: Was jetzt passieren muss von Tobias Fülbeck.
Wie das besondere elektronische Anwaltspostfach (beA) noch zu retten ist von Max Mehl
Einspruch Exklusiv Wie steht’s um Bea? von Constantin van Lijnden.
beA-Karte bestellen – Jetzt oder nie? von Ralf Zosel.
Chaos um beA - Die Postfach-Pleite von Joachim Jahn.
Kultur von Ulrike Meising.
Reaktionen auf BRAK-Erklärung nach der beA-Sondersitzung "Schlicht falsch oder zumindest irreführend" von Pia Lorenz und Christian Dülpers.
BRAK-Präsidentenkonferenz zum Anwaltspostfach "Die Entwicklung des beA war erforderlich" von Pia Lorenz.
BER oder beA (das besondere elektronische Anwaltspostfach) – was wird früher fertig? von Julius Schoor.
Podcast LdN081IT-Problem 2: Das löchrige Anwaltspostfach von Philip Banse und Ulf Buermeyer.
Anwaltspostfach weiterhin offline - Noch mehr Sicherheitslücken, keine Regelung der Nutzungspflicht von Pia Lorenz.
Noch mehr Sicherheitslücken im Anwaltspostfach von Hanno Böck.
DE-Mail als teure und abhörbare Alternative?
Der ungeliebte “sichere Übermittlungsweg”: Die De-Mail aus Sicht des Gerichts von Henning Müller.
beA: Der Berliner Flughafen der Anwaltschaft von Thomas Stadler.
Die nächste beA-Blamage von Joachim Breu.
Justizminister setzt Anwaltskammer wegen beA unter Druck von Joachim Jahn.
nicht ganz richtig: beA – das Ende noch vor dem Anfang? von André Feske.
Digitalisierung - Warum eGovernment in Deutschland scheitert von Steffen Voß.
Desaster beim Anwaltspostfach - Ist das beA noch zu retten? von Pia Lorenz und Christian Dülpers.
Einspruch! von Mirko Laudon.
Einspruch Exklusiv Kein beA zum neuen Jahr von Constantin van Lijnden.
Besonderes elektronisches Postfach wurde wegen Sicherheitsmängeln gestoppt (Dokument auf der Website bei Haufe nicht mehr verfügbar)
34C3: Das besondere Anwaltspostfach beA als besondere Stümperei von Detlef Borchers.
Chaos um beA - Die Postfach-Pleite von Markus Böhm und Judith Horchert.
Podcast F.A.Z.-Einspruch Folge 5
Sicherheitsprobleme: Anwaltspostfach bleibt vorerst offline von Martin Ströder.
Wegen Hacker-Gefahr gestoppt: Sicherheitslücken im „elektronischen Anwaltspostfach“ von Hendrik Wieduwilt.
Sicherheitslücken - Anwaltspostfach bleibt offline, Zertifikat muss deinstalliert werden
Das beA sollte durch eine externe Expertengruppe begutachtet werden
Start des 34C3 von Markus Böhm.
App zum Zugriff auf beA
N & P Legal Soft UG vertreiben im Appstore eine App, die den Zugriff auf beA-Nachrichten vie Smartphone ermöglicht.
Presseerklärung der BRAK mit Begleitschreiben und Abschlussgutachten
[Das Gutachten fand 53 Schwachstellen, davon 12 "betriebsverhindernde" und 20 "betriebsbehindernde". Die Mehrzahl der Schwachstellen war zum Stichtag 28.5. noch nicht behoben.]
Das Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (beA) (partiell hinter Paywall) von Frederik Möllers und Stefan Hessel
Das Gutachten belegt eindrucksvoll, wie schlecht es um die IT-Sicherheit des beA bestellt ist. Angesichts der massiven Sicherheitsprobleme entspricht die (getestete) Version der Software nicht dem Stand der Technik.
Gutachten zum unsicheren Anwaltspostfach Ohne Vertrauen geht es nicht von Jörn Erbguth
Abschlussbericht der secunet Security Networks AG [Bericht passt noch nicht, wird aber passend gemacht. In zwei Wochen soll die überarbeitete Version vorliegen]
Wenn Sie Firefox, Safari, Opera, Chrome oder Edge verwenden, kann mit einer gewissen Wahrscheinlichkeit nachvollzogen werden, ob Ihre beA-Client-Security läuft. Auch bei anderen Browsern könnte dies möglich sein. Damit sind Sie für beliebige Websites als Anwält*in erkennbar. Dies ist ein Sicherheitsrisiko, auf welches bereits Ralph Hecksteden und Markus Drenger hingewiesen hatten, welches im Secunet-Gutachten unter CCC2 aufgeführt wurde und welches offensichtlich nicht vollständig behoben wurde.
Welcher Art ist dieses Risiko? Außenstehende können Sie als Anwält*in identifizieren. Damit könnte Ihnen spezielle Anwaltswerbung gezeigt werden. Preise könnten für Sie nach oben (oder unten) angepasst werden. Websites könnten kritischen Content vor ihnen vorsichtshalber verbergen. Hackerangriffe können damit speziell auf Anwält*innen fokussieren.
Gefährden mich nur kritische Websites, die ich mit einem Anwaltsrechner sowieso nicht besuchen sollte? Die Erkennung lässt sich in Werbebanner verstecken. Damit könnte die Erkennung auch auf eigentlich unkritischen Websites erfolgen. Anwält*innen erhielten dann ein Werbebanner, welches z.B. auf eine nachgemachte Website zeigt. Dort könnte dann der eigentliche Angriff geschehen.
Wie können Sie sich schützen? Verwenden Sie zum Surfen im Netz einen Rechner, auf dem die beA-Client-Security nicht installiert ist. Alternativ beenden Sie vor dem Surfen stets die beA-Client-Security - oder besser noch, aktivieren Sie diese jeweils nur für das Abrufen und Versenden von beA-Nachrichten.
Was könnten die BRAK, Atos und Governikus tun? Das Problem war bekannt und könnte datenschutzrechtliche Relevanz haben. Während die erste Version dieser Erkennung auf einem relativ einfach zu behebenden Fehlers beruht, ist die jetzt erweiterte Timinganalyse vermutlich schwieriger zu verhindern. Bis zur Wiederinbetriebnahme des Postfachs sollte dies jedoch behoben werden.
Wie sicher ist diese Erkennung? Die Erkennung ist nicht hundertprozentig sicher. Sie identifiziert die beA-Client-Security nur indirekt. Dazu werden sowohl die Fehlermeldung '404' als auch das Timingverhalten genutzt. Bei Chrome unter Mac ist die Erkennung am wenigsten genau. Die Erkennung wurde nur grob und mit wenigen Tests gebaut. Kriminelle könnten das ggf. besser machen.
Kann diese Meldung auch anderweitig erscheinen? Der Port 9998 wird nicht nur von der beA-Client-Security verwendet. Dies bedeutet, dass es auch andere Applikationen gibt, die diesen Port verwenden und von diesem Test dann fälschlich als beA-Client-Security interpretiert werden. Der Schluss auf das Vorhandensein der beA-Client-Security ist daher auf Grund dieses Tests nur mit einer gewissen Wahrscheinlichkeit (ich schätze irgendwas zwischen 95-99%), aber nicht mit Sicherheit möglich. Vorabtests könnten ausschließen, dass diese anderen Systeme vorhanden sind und damit die Treffgenauigkeit dieses Tests auch in diesen Fällen erhöhen.
Wie problematisch ist diese Erkennung der beA-Client-Security? Aus datenschutzrechtlichen Erwägungen reicht die vorhandene Erkennungswahrscheinlichkeit bei weitem aus. Auch für Hacker ist es nicht wichtig, hundertprozentige Sicherheit über das Vorhandensein der beA-Client-Security zu haben. Da die beA-Client-Security jedoch deaktiviert werden kann und während des Abrufs von beA-Nachrichten der Aufruf von anderen Websites vermieden werden kann, lässt sich das Problem umgehen.
Gibt es Alternativen? Die Softwarearchitektur des beA-Clients hat auch Secunet nicht vollständig überzeugt. Daher haben diese in ihrem Gutachten auf Seite 81 vorgeschlagen, dass die BRAK erwägen solle, einen "Fat Client" anzubieten. Dieser hat dann - neben anderen Problemen - auch das Problem der Erkennbarkeit als Anwalt nicht mehr. Die BRAK müsste einen solchen Fat-Client nicht einmal selbst bauen. Anbieter von Anwaltssoftware integrieren beA-Client-Funktionalität in ihrer Software und könnten diese auch als separaten Fat-Client zur Verfügung stellen.
Die BRAK hat mir und anderen wie z.B. der Hanseatischen RAK gegenüber Stellung bezogen. Die Stellungnahme ist in einigen Punkten nicht korrekt:
BRAK | meine Bewertung |
---|---|
Zum einen ist es schon nicht richtig, dass für Dritte erkennbar ist, dass die Client Security läuft. | Für eine "Erkennbarkeit" reicht mir eine hohe Wahrscheinlichkeit aus, dass die beA-Client-Security läuft, die ist gegeben. |
Es ist allein erkennbar, dass der Port 9998 geöffnet ist. | Firewalls öffnen und versperren Ports - nicht die beA-Client-Security. Ein offener Port ohne Anwendung dahinter antwortet nicht und wäre daher nicht erkennbar. |
So haben auch Sie lediglich den Port, nicht aber die Client Security angesprochen. | Es antwortet der in die beA-Client-Security integrierte Web-Server mit einer 404-Fehlermeldung |
Auch die von Ihnen gezogene Schlussfolgerung ist unrichtig. Von dem fraglichen Port 9998 lässt sich gerade nicht darauf schließen, dass sich ein Rechtsanwalt oder eine Rechtsanwältin online befindet. | Es ist richtig, dass ich mit der Antwort alleine die beA-Client-Security nicht sicher identifizieren kann. Da die beA-Client-Security zudem nicht nur von Rechtsanwält*innen installiert werden kann, bleibt eine gewisse Fehlerquote. |
Denn Port 9998 wird nicht ausschließlich von der beA Client Security genutzt, sondern es können dort auch andere Anwendungen liegen, z.B. kann Splunk- oder The Palace-Software installiert sein. | Sicher könnte die Antwort auch durch anderweitige Software erfolgen. Splunk und The Palace Chat sind zum einen nicht so weit verbreitet. Bei oberflächlichen Tests mit dem PalaceChat 3.0.47 und Splunk 7.1.2 für Mac OS X wurde der Port zudem nicht verwendet. Das bedeutet jedoch nicht, dass diese Software diesen Port nie verwenden würde. Sollte dies der Fall sein könnte durch spezielle Tests im Ausschlussverfahren auch dieses Fehlerrisiko reduziert werden. |
Die Client Security reagiert überdies nur auf Anfragen aus der beA-Webanwendung und nicht auf Anfragen von Dritten. | Diese Aussage ist falsch. Probieren Sie z.B. https://127.0.0.1:9998 bei aktiver beA-Client Security aus und Sie sehen eine 404-Meldung, die vom lokalen Webserver der beA-Client-Security stammt. |
Stellungnahme der BRAK vom 14. August 2018:
Sehr geehrter Herr Erbguth,
vielen Dank auch an dieser Stelle für Ihre Hinweise. Tatsächlich hat uns auch secunet bestätigt, dass über manche Browser auch Dritte erkennen können, ob eine Anwendung den Port 9998 verwendet und also mit hoher Wahrscheinlichkeit auch die Client Security auf dem betreffenden Rechner läuft.
secunet hat uns aber ebenso bestätigt, dass ihre Aussagen im Gutachten weiterhin uneingeschränkt Bestand haben. Die Information, dass auf einem Rechner mit hoher Wahrscheinlichkeit die Client Security installiert ist, hat zudem keine Auswirkung auf die Integrität, die Verfügbarkeit oder die Vertraulichkeit des beA-Systems.
Die BRAK sieht sich deshalb nicht veranlasst, eine andere Bewertung bzgl. des Fahrplans zur Wiederinbetriebnahme des beA vorzunehmen und plant weiterhin, das beA entsprechend des letzten Beschlusses der HV wieder zu starten. Eine Beseitigung der von Ihnen angesprochenen Erkennbarkeit ist aktuell – jedenfalls vor dem 3.9.2018 – nicht geplant.
Mit freundlichen Grüßen
Ein Archiv der EGVP und beA Fehlermeldungen von Markus Drenger
Störungsdokumentation (aktueller Stand der BRAK)
Nach dem es gerüchteweise hieß, dass das Secunet-Gutachten zunächst nicht veröffentlicht wird, da Sicherheitsmängel darin festgestellt wären, die noch laufende Teile des beA betreffen, wurde jetzt das Anwaltsverzeichnis offline gestellt.
Der EGVP-Verteiler meldete um 13 Uhr: "Die Bundesrechtsanwaltskammer hat das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) vorsorglich vom Netz genommen, nachdem eine Sicherheitslücke gemeldet wurde. Das BRAV wird nach Behebung der Sicherheitslücke durch den Dienstleister Atos voraussichtlich Anfang nächster Woche wieder online gestellt."
Die BRAK folgte kurz danach mit einer entsprechenden Pressemitteilung [Link nicht mehr verfügbar] und Schreiben.
Gibt es danach noch einen Grund, der der Veröffentlichung des Gutachtens von Secunet im Wege steht?
Bei Golem meldet Hanno Böck, dass Grund für die Abschaltung ein erfolgreicher Hackversuch des Anwaltsregisters gewesen sei. Dieser sei möglich gewesen, da eine seit 2016 bekannte Sicherheitslücke beim Anwaltsregister enthalten war. Es sei aber darauf hingewiesen, dass im Gegensatz zu den übrigen Sicherheitslücken des beA, diese Sicherheitslücke nur den Server der BRAK betraf. Die Anwaltsrechner waren dadurch direkt nicht betroffen. Allerdings können solche Sicherheitslücken auf Servern zum Einschleusen von Schadcode verwendet werden, der ggf. andere Sicherheitslücken auf den Client-Rechnern ausnutzt.
[Das Anwaltsverzeichnis ist seit dem 16. April wieder online]
Stellen Sie sich vor, Sie würden das Netzwerk einer Anwaltskanzlei betreuen. Eines Tages erhielten Sie einen Hinweis, dass es möglich sei, in Ihr Netzwerk einzudringen und z.B. beliebige Dateien auszulesen. In einer Telefonkonferenz würden Sie darauf hingewiesen, dass dies ein gravierendes Sicherheitsproblem darstelle. Sie versprächen schnelle Abhilfe - täten aber nichts.
So in etwa stellt sich das Szenario für mich dar. Allerdings schrieb Governikus mir, dass:
Bereits im Mai 2017 haben wir für alle Governikus-Produkte, -Projekte und -Lösungen die OSCI-Bibliothek 1.7.1 ausgeliefert, im November 2017 wurde auf die Version 1.8.0-1 umgestellt.
Das hier beschriebene Problem war damit gelöst.
Ich habe das kontrolliert - die Version, die man aktuell mit dem Schulungsclient herunterlädt ist die Version 1.8.0-1. Ich möchte mich daher in aller Form bei Governikus für diese voreilige Falschmeldung entschuldigen.
Zwar wird beim beA die Nachricht an sich verschlüsselt übertragen, doch bei der BRAK liegt auch der Nachrichtenschlüssel vor. Damit könnte die BRAK das System so bauen, dass sie Zugriff auf die Nachrichten hat. Ende-zu-Ende-Verschlüsselung bedeutet nämlich, dass die Nachricht schon technisch unterwegs nicht entschlüsselt werden kann und man nicht darauf vertrauen muss, dass die Systeme und Parteien auf dem Übertragungsweg dies nicht tun. Es geht gerade darum, dass durch die Ende-zu-Ende-Verschlüsselung das Abhören der Nachricht auf dem Übertragungsweg technisch unmöglich ist - unabhängig wie die Übertragungssysteme gebaut sind. Dies kann man bei Wikipedia nachlesen und Herr Prof. Armknecht hat dies auf dem Symposium des EDV-Gerichtstags in Berlin zu beAplus am 5.3. nochmals bestätigt. Herr Dr. Abend - Vizepräsident der BRAK - hat in der Veranstaltung zudem gesagt, dass er im Zusammenhang mit dem beA nicht mehr von einer Ende-zu-Ende Verschlüsselung sprechen wird.
Der Schriftsatz ans Gericht liegt doch dem Gericht vor und wird sogar der Gegenpartei zugestellt. Warum sollte hier Vertraulichkeit wichtig sein? Eine Staatsanwaltschaft braucht doch nicht aufwendig über eine richterliche Anordnung über die BRAK gehen, sondern kann einfach Akteneinsicht verlangen. Abhören können jedoch nicht nur Staatsanwaltschaften, sondern auch unsere Geheimdienste. Die Geheimdienste benötigen dazu keine richterliche Anordnung. Mit einem Zugriff auf das beA wären damit viele qualitativ neue Abhörmöglichkeiten gegeben:
Da eine solche Abhörschnittstelle systematisch und nicht nur im Einzelfall genutzt werden könnte, wäre es damit möglich, die gesamte Anwaltschaft und Justiz systematisch zu überwachen. Da diese Daten ggf. auch mit ausländischen Geheimdiensten geteilt werden, könnten auch fremde Dienste Alerts einstellen, wenn wirtschaftliche Interessen ihrer Firmen oder politische Interessen ihrer Regierungen in Gefahr sind.
Auf dem Symposium des EDV-Gerichtstags wurde DE-Mail als Alternative diskutiert. DE-Mail bietet keine Ende-zu-Ende Verschlüsselung und hat eine Abhörschnittstelle eingebaut. Trotzdem gilt es per Gesetz - aber nicht de fakto - als sicher. Herr Leslie Romeo - Head of De-Mail bei der 1&1 De-Mail GmbH - sagte dazu, dass eine abhörsichere Kommunikation über DE-Mail nur bei der Verwendung zusätzlicher Verschlüsselung gegeben sei. Diese zusätzliche Verschlüsselung würde jedoch zwischen Anwälten und Gerichten nicht eingesetzt. Persönlich hat mich an der Diskussion verwundert, dass diese abhörbare Kommunikation beim Symposium des EDV-Gerichtstags auf wenig Widerstand stieß. Wer dem HSM der BRAK misstraut, sollte nicht einmal daran denken, DE-Mail ohne zusätzliche Verschlüsselung zu verwenden.
Ralph Hecksteden hat seinen Artikel zur Ende-zu-Ende-Verschlüsselung ergänzt um den Hinweis, dass der Verordnungsgeber der RAVPV die Ende-zu-Ende-Verschlüsselung als elementares Grundelement des beA bezeichnet hat. Folgt man dieser Sicht, dürfte ein beA ohne Ende-zu-Ende-Verschlüsselung nicht betrieben werden.
Alexander Löschhorn analysiert in seinem Beitrag Pflicht zur Nutzung des besonderen elektronischen Anwaltspostfachs (beA) und zur anwaltlichen Verschwiegenheit (MMR 2018, 204, Paywall) die gesetzlichen und technischen Grundlagen. Dabei sieht er weder eine technische noch eine gesetzliche Notwendigkeit für die Umschlüsselung durch ein HSM. Er verweist auf das Notarpostfach, welches eine echte E2EE böte und auf die Sicherheitsrisiken, die mit einem HSM verbunden seien. Er sieht den Verdacht des Zugriffs durch staatliche Stellen als "nicht ausgeräumt" und benennt das Dementi der BRAK als unzureichend, dass "kein Nutzer im Betrieb des HSM Zugriff auf diese Schlüssel habe", da ein solcher Zugriff für den Zugriff auf die Nachrichteninhalte gar nicht erforderlich sei. Er mutmaßt zudem, dass die gesetzlichen funktionalen Anforderungen durch die BRAK maßgeblich beeinflusst worden seien. Er stellt die (frühere) Behauptung der BRAK als unglaubwürdig dar, dass es zum HSM keinen Generalschlüssel gäbe - ohne allerdings zu berücksichtigen, dass die BRAK bereits auf dem beAthon selbst eingeräumt hat, dass es einen solchen Generalschlüssel gibt.
Stellungnahme
In einem Parallelverfahren zum Verfahren der GFF werden interessante Punkte thematisiert. Warum wurde nicht die Ursprungsversion des Gutachtens von Secunet herangezogen? In wie weit wurde verifiziert, dass die Mängel, die im Gutachten von Secunet bemängelt wurden, tatsächlich behoben worden sind? Was ist mit den nicht behobenen Mängeln [Z.B. der Erkennbarkeit von Anwält*innen im Netz]? Hat das Gericht sich das inzwischen hoffentlich vorhandene Sicherheitskonzept zeigen lassen? Das Gutachten habe den Server nur nach Aktenlage betrachtet.
Wie funktioniert es, ein Gutachten, welches massive Sicherheitsmängel bescheinigt, als Sicherheitsnachweis zu bewerten?
AGH Berlin: Ende-zu-Ende verschlüsseltes besonderes elektronisches Anwaltspostfach (beA) nicht erforderlich
[Die Begründung ist bezeichnend: Als die Verordnungsgeber*in in der Begründung der RAVPV von einer Ende-zu-Ende-Verschlüsselung geschrieben habe, ging es ihm gar nicht um eine solche Verschlüsselung, sondern sie meinte das fälschlicherweise so charakterisierte System der BRAK]
Pressemitteilung der GFF
Beschluss vom 10.9.2019 - 2 S 14/19
Ein Rechtsanwalt ist verpflichtet, bei Unerreichbarkeit des gerichtlichen Faxgeräts zur Fristwahrung das besondere elektronische Anwaltspostfach (beA) zu nutzen.
Beschluss vom 5. Juni 2019 – IX B 121/18
Designbug beim beA: Dateinamen sind begrenzt auf bestimmte Zeichen. Fehlerbehandlung bei der Verarbeitung dieser Sendungen weist grobe Lücken auf. Folge: Wiedereinsetzung in den vorherigen Stand.
Schreiben des BfDI an die BRAK
Wenig überraschend ist die BRAK Verantwortliche und Atos Auftragsverarbeiterin. Die Rechtsgrundlage für das beA wäre DSGVO-konform. Die fehlende E2E wird angesprochen und statt einer Einschätzung auf das Secunet-Gutachten verwiesen. Weitere im Gutachten erwähnte Mängel werden erwähnt und nur damit kommentiert, dass der BfDI davon ausginge, dass diese zeitnah behoben würden.
Aus meiner Sicht eine rein juristisch-organisatorische Prüfung, die dem Anspruch des Datenschutzes nicht gerecht wird. Weder wird geprüft, ob die Mängel tatsächlich behoben werden, noch sich mit den technischen Risiken inhaltlich (technisch und juristisch) auseinandergesetzt. Eine Prüfung darf sich bei der Bewertung von Risiken (wie z.B. fehlende E2E) nicht auf Gutachten verlassen, sondern muss selbst bewerten. Ebenfalls ausgespart wurden Dinge, wie die Erkennbarkeit als Anwält*in durch beliebige Websites, für die die BRAK nach wie vor keinen Zeitraum genannt hat, wann diese behoben werden.
Spendensammlung für die IFG-Anfrage von Stefan Hessel zur Korrespondenz über das beA zwischen BMJV und BRAK.
IFG-Anfrage zum Zurücksetzen der beA-Schulungspostfächer von Stefan Hessel
Die Gesellschaft für Freiheitsrechte e.V. hat eine Klage gegen das beA koordiniert (Pressemitteilung).
Beschluss zur Zulässigkeit einer Containersignatur
§ 4 Abs. 2 ERVV, der die bisherige Containersignatur verbietet, wird verfassungskonform so interpretiert, dass er nicht anwendbar ist, wenn die Akten bei Gericht noch auf Papier geführt werden und das beA nicht verfügbar ist. Die Zweifel an der Verhältnismäßigkeit scheinen nachvollziehbar zu sein, wenn zum einen die Notwendigkeit des Verbots der Containersignatur auf Grund fehlender digitalen Aktenführung noch nicht existiert und zum anderen der EGVP-Client die Containersignatur weiterhin anbietet und der beA-Client auf Grund Sicherheitsproblemen nicht verfügbar ist. Dabei wird der Raum der verfassungskonformen Auslegung freilich sehr weit interpretiert.
Anmerkung von Henning Müller (paywall).
Ausschreibung für den Betrieb und die Weiterentwicklung. Siehe auch die Presseinformation sowie Unterlagen im Downloadbereich.
Anleitungen, Werbebroschüren und Mitteilungen bei der BRAK.
Presseerklärungen der BRAK zum beA.
FAQ der BRAK zum beA.
Wohl vor der Wiederinbetriebnahme auch keine Unterstützung von Terminal-Servern.
Hier die Entfernungsanleitung zur kritischen Zertifikatsinstallation.
Hier die Anleitung zur kritischen Zertifikatsinstallation.
Seite der BNotK zum beA sowie deren FAQ-Dokument [Link nicht mehr verfügbar].
What The Fax?! Hacking your network likes it's 1980 again von Yaniv Balmas and Eyal Itkin
Ein Grund mehr warum Fax keine sichere Alternative ist.
Die Tragödie der Digitalisierung in Deutschland am Beispiel des besonderen elektronischen Anwaltspostfachs beA von Ulrike Meising und Jörn Erbguth auf der re:publica 2018
Video der Präsentation Anwaltspostfach & der ERV.
Fraglich sind Folien 76-83 (Minute 50) in der dargestellt wird, dass Governikus von Sicherheitslücken Anfang 2017 per Telefonkonferenz informiert wurde und der beA-Client trotzdem nicht mit dem verfügbaren Update versehen wurde.
Es ist zu klären, ob der Client tatsächlich nicht mit dem verfügbaren Update versehen worden ist. Governikus hat dies bestritten und geschrieben, dass im Mai und im November 2017 jeweils ein Update ausgeliefert worden wäre. Der aktuell installierbare Schulungsclient für Mac beinhaltet die aktualisierte Version der Library. Gleiches gilt für eine Installation unter Linux vom Dezember. Unter welchen Bedingungen die im Video Vortragenden dennoch auf die alte Version gestoßen sind, ist zu klären. Auf jeden Fall scheint das Update - entgegen meiner anderweitigen vorherigen Annahme - ausgeliefert worden zu sein.
Video von Stefan Hessel zur Extraktion des Keys aus der Client Security.
Pressemitteilung: GFF kämpft weiter für ein sicheres „besonderes elektronisches Anwaltspostfach“ (beA) von Anna Livia Mattes
Pressemitteilung GFF warnt vor der Nutzung des „besonderen elektronischen Anwaltspostfachs“ (beA)
Schreiben des Präsidenten Marcus Mollnau
Pressemitteilung Nr. 23 secunet bestätigt Behebung von beA-Schwachstellen
am 01./02.09.2018 vorübergehend kein Download der Client Security und keine Erstregistrierung
Schreiben des Präsidenten Herbert Schons
["Good night and good luck"]
Initiativstellungnahme 37/2018 zum besonderen elektronischen Anwaltspostfach
[Der DAV fordert die Behebung der Padding-Schwachstelle vor der Wiederinbetriebnahme.]
Stellungnahme 28/2018 zum Gutachten von Secunet und zum angekündigten Zeitplan
[Der DAV fordert "die Beseitigung aller Fehler der Kategorie A und B". Bei 5.5.3 "HSM-Schlüssel existieren außerhalb des HSM" (Kategorie B) ist sich die BRAK noch nicht sicher, ob sie dies beheben will - und wenn dann erst zu Anfang 2019. Ginge die BRAK daher auf die Forderungen des DAV ein, wäre der Zeitplan der BRAK hinfällig.]
Offener Brief an den Präsidenten Detlef Haselbach und den Vorstand der RAK Sachsen und die Antwort.
Pressemitteilung Nr. 7 Secunet berichtet über laufende Prüfung des beA [aber Gutachten wird (noch?) nicht veröffentlicht].
Pressemitteilung Abschaltung des Bundesweiten Amtlichen Anwaltsverzeichnisses (BRAV) [Link nicht mehr verfügbar] und Schreiben BRAK-Nr. 135/2018.
beA Rundbrief 06 (nicht mehr als Faksimile, aber als Zitat bei beA-ABC verfügbar) hierzu auch die Info der hanseatischen RAK
Der Newsletter zum besonderen elektronischen Anwaltspostfach Ausgabe 6/2018
Kammerversammlung der RAK Berlin spricht dem Präsidenten und einem Vizepräsidenten der BRAK das Misstrauen aus Presseinformation der RAK Berlin
Antrag an die RAK Berlin für Offenlegung des Quellcodes sowie der Sachverständigengutachten weitere Infos dazu auf der Seite von RA Michael Schinagl.
Erste Ergebnisse des Sicherheitsdialogs beAthon mit Warnung vor Sicherheitslücke und Aufforderung zur Deaktivierung der bisherigen Client-Security.
Stellungnahme zum besonderen elektronischen Anwaltspostfach (beA) wiedergegeben auf der Seite der Kanzlei Hoenig.
Bisher keine Vorfälle bekannt Presseinformation zur Sicherheit des OSCI-Protokolls.
Der Newsletter zum besonderen elektronischen Anwaltspostfach Ausgabe 3/2018 EGVP-Client länger nutzbar
Sowie weitere Antworten der BRAK auf Fragen zur Verschlüsselung, zur Begutachtung und zur Wiederinbetriebnahme des beA.
beAthon findet ohne Dienstleister ATOS und Governikus statt
Presseerklärung war kurzfristig auf dem Server der BRAK nicht verfügbar (404). Hier ggf. die Seite aus dem Cache.
PM 4/18: beA - Sicherheit geht vor
Die Tests des beAs wurden 2015/2016 durch ATOS selbst beauftragt. Neuerliche Begutachtungen sollen nun durch einen vom BSI "empfohlenen" Experten im Auftrag der BRAK und wiederum durch einen von ATOS beauftragten externen Experten erfolgen. Die BRAK beauftragt dazu secunet, die aber zu diesem Auftrag nichts sagen können/dürfen.
Bericht über die Verhandlungen anlässlich der ordentlichen Präsidentenkonferenz am 18.1.2018 in Berlin des Präsidenten Otmar Kury. Die unter Nr. 3 angesprochene Anlage.
DAV-Auftakt in Berlin: "Das Bundesjustizministerium hilft, wo es kann."
Schreiben des Präsidenten der RAK Nürnberg zur außerordentlichen Präsidentenkonferenz am 09.01.2018
Infokatalog zur Offline-Stellung des beA [Link nicht mehr verfügbar].
Bericht über die außerordentliche Präsidentenkonferenz vom 9.1.2018
"eine nicht zur Rechtsanwaltschaft zugelassene Person" (später gab es eine Entschuldigung)
Rechtsfrage zum elektronischen Rechtsverkehr
Der Deutsche EDV-Gerichtstag sammelt und systematisiert Rechtsfragen zum elektronischen Rechtsverkehr und leitet sie an die Wissenschaft weiter.
Lesen Sie Fragen, die Antworten oder stellen Sie selber Fragen.
Für ein Anwaltspostfach ohne Hintertüren eine Initiative der Gesellschaft für Freiheitsrechte e.V.
ERV macht Spaß! von Andreas Schwartmann.
Blog und Website von Ilona Cosack.
Aktuelles beA von Michael Schinagl.
Blog von Ralf Zosel.
Das beA-Desaster – Ursachen des Scheiterns des Anwaltspostfachs und Perspektiven für eine erfolgreiche Digitalisierung des Rechts Vortrag von Jörn Erbguth
Hoesch & Partner, Frankfurt
Die Tragödie der Digitalisierung in Deutschland am Beispiel des besonderen elektronischen Anwaltspostfachs beA Talk mit Jörn Erbguth und Ulrike Meising.
STATION Berlin, stage 8
Video
Tagesordnung der Kammerversammlung enthält Antrag zur Akteneinsicht in den Vergabevorgang an ATOS.
Brauchen wir das beA+ mit besserer Software und optimierter Ausrichtung auf den Kanzleialltag? Saarländische Landesvertretung, Berlin
"Wie sicher ist das beA?" Das besondere elektronische Anwaltspostfach (beA) aus Sicht der IT-Sicherheit von Stefan Hessel und Frederik Möllers
zum Video der Veranstaltung.
Vortrag: Technische Probleme und Risiken des beA von Markus Drenger.
69. Netzpolitischer Abend in Berlin.
Status des beA und digitale Anwaltschaft Schillertheater 2, Berlin
Aufzeichnung des Live-Streams
Veranstaltung der BRAK zum beA. Das beAthon ist dabei keine Art Hands-On Hackathon - wie der Namen vermuten lassen könnte. Sondern er ist ein auf vier Stunden angesetztes Gespräch, zu dem auch die Fachpresse eingeladen sei.
beA – beAgate – beAthon? Paneldiskussion Goethe Universität Frankfurt – Campus Westend – Hörsaal HZ4
Hier ein schöner Bericht dazu.
beA - Wie geht es weiter?
Hier das Video der Veranstaltung.
Präsidentenkonferenz
Vortrag: Das elektronische Anwaltspostfach TU Darmstadt, Raum C120
Hier das Video des Vortrags.
Besonderes elektronisches Anwaltspostfach - Die Grünen hätten da mal ein paar Fragen von Pia Lorenz.
Auszüge aus einer Publikation zur Funktionsweise des beA: Ende-zu-Ende Verschlüsselung im besonderen elektronischen Anwaltspostfach (beA)
Wenn man wirklich nur Dokumente hin- und herschicken möchte: ERV auf EU-Ebene (Wikipedia)
Zehn Jahre elektronischer Rechtsverkehr in Portugal von Cristina Dein
Dies ist eine Seite der Homepage von Jörn Erbguth. Zur Hauptseite
Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Fehlermeldungen und Ergänzungen per mail an mich.
Jörn Erbguth, Chemin du Champ d'Anier 15, 1209 Genf, Schweiz
Diese Website nutzt keine Cookies. IP-Adressen werden nur in gekürzter Form vom Provider servertown.ch, Bremgarten, Schweiz protokolliert, so dass keine Identifizierung einzelner Besucher möglich ist. Die protokollierten Zugriffsdaten dienen zur Fehleranalyse und zur Reichweitenmessung. Google Analytics oder andere Analysetools von Drittanbietern kommen nicht zum Einsatz. Die Youtube-Videos werden erst bei Klick darauf eingebunden und gestartet, so dass vorher keinerlei Information an Youtube gesendet wird. Sobald jedoch auf das Video geklickt wird, so wird das Video von Youtube angezeigt. Damit erhält Youtube zwangsweise Ihre Daten - auch wenn die URL youtube-nocookie.com verwendet wird. Aber es ist eine Augenwischerei, dass youtube mit dieser Option die Daten zur Profilbildung nicht erhalten würde. Wenn Sie das vermeiden möchten, hilft es nur, keine Youtube-Videos anzusehen - ob eingebettet oder nicht.
Sie haben ggf. aus dem Schweizer DSG sowie der europäischen DSGVO Auskunftsrechte, können das Löschen der Daten verlangen und sich an die zuständigen Datenschutzaufsichtsbehörden wenden. Dies ist entweder der Eidgenössische Datenschutzbeauftragter oder der Datenschutzbeauftragter, der für Sie zuständig ist. Da ich fast keine Daten von Ihnen sammele wird die Auskunft in der Regel jedoch recht kurz ausfallen.