beA: Störungen behoben

Die Dienstleisterin der Bundesrechtsanwaltskammer, die Atos Information Technology GmbH, teilte heute Vormittag mit, dass die beA-Störungen behoben sind. Die Anmeldung am System, die Nachrichtenübermittlung und die Signaturprüfung sind wieder ohne Einschränkungen möglich.

Sollten weiterhin Probleme auftreten, wenden Sie sich bitte an das beA-Service-Desk unter beaservicedesk@ atos.net, Telefon: 030/520009444.
Die Fehleranalyse ist noch nicht abgeschlossen. Die BRAK kann daher noch keine weiteren Angaben zu den Ursachen der Ausfälle machen.

Aktuelle Informationen zum beA sind jederzeit unter https://bea.brak.de abrufbar.

beA: Störung behoben, Gerichte wieder adressierbar

Im Anschluss an unserer heutige Meldung können wir mitteilen, dass nach Information der BRAK die Gerichte aus dem beA wieder adressierbar sind. Auch das BRAV, das bundesweite einheitliche Anwaltsverzeichnis, ist wieder verfügbar.

beA: wegen technischer Störung sind Gerichte im beA nicht adressierbar


Die BRAK informierte heute, dass wegen technischer Probleme aktuell Gerichte aus dem beA nicht adressierbar sind. Sie empfiehlt, eilige Schriftsätze per Fax oder auf dem Postweg zu übermitteln. Die Zustellung von Anwalt zu Anwalt ist hiervon nicht betroffen.

Das BRAV, das bundesweite einheitliche Anwaltsverzeichnis, ist aktuell nicht nutzbar. Der Dienstleister der BRAK arbeitet daran, alle Funktionen schnellstmöglich wieder zur Verfügung zu stellen.

beA nicht von Sicherheitslücke beim elektronischen Personalausweis betroffen

Meldungen zu einer Sicherheitslücke bei der Authentifizierung mittels des elektronischen Personalausweises betreffen das besondere elektronische Anwaltspostfach (beA) nicht. Das IT-Magazin Golem hatte beschrieben, dass eine Bibliothek, die sog. Autent SDK der Firma Governikus, eine Sicherheitslücke aufweist, die in bestimmten Konstellationen dazu ausgenutzt werden könnte, dass ein Angreifer sich als eine andere Person ausgibt; Golem hatte es als unklar bezeichnet, welche Rolle dies für das beA spiele.

Diese den elektronischen Personalausweis betreffende Sicherheitslücke war für das beA aber nie relevant, denn im beA-System wird die betroffene Funktion der Autent SDK gar nicht genutzt. Governikus hat die Autent SDK aktualisiert und die Sicherheitslücke geschlossen; das beA-System verwendet ohnehin bereits die aktualisierte Version. Dies hat sich die BRAK von der Entwicklerin des beA-Systems, der Firma Atos, und der Governikus KG (s. auch hier) bestätigen lassen.

Hessische Sozialgerichte versenden nur noch über beA

Nachdem die hessische Justiz darüber informierte, Vorschusskostenrechnungen an die Bevollmächtigten der Kostenschuldner nur noch über deren besonderes elektronisches Anwaltspostfach (beA) zu versenden, gab das Hessische Landessozialgericht mit einer Pressemitteilung  vom 22.10.2018 bekannt, dass in der Sozialgerichtsbarkeit in Hessen auch Schriftsätze an Rechtsanwältinnen und Rechtsanwälte nur noch ausschließlich über das beA versandt werden.

 

 

Elektronische Kostenrechnungen der hessischen Justiz über beA

Das Hessische Ministerium der Justiz teilte der BRAK sowie den hessischen Rechtsanwaltskammern mit, dass die hessische Justiz mit dem Start des besonderen elektronischen Anwaltspostfachs von der Möglichkeit Gebrauch macht, Vorschusskostenrechnungen an die Bevollmächtigten der Kostenschuldner über deren beA zu versenden.
Das Ministerium wies darauf hin, dass eine direkte Versendung der Gerichtskostenrechnungen an die Kostenschuldnerinnen oder Kostenschuldner in diesen Fällen nicht mehr erfolgt. Lediglich eventuell notwendige Mahnungen werden noch direkt an die zahlungspflichtigen Personen gesandt.
Das bedeutet, dass Rechtsanwältinnen und Rechtsanwälte, die Gerichtsverfahren in Hessen führen, jederzeit damit rechnen müssen, dass ihnen Vorschussrechnungen in ihr beA gesandt werden.
Wir möchten daher darauf hinweisen, dass Kolleginnen und Kollegen, die sich noch nicht im beA registriert haben, Haftungsfälle drohen, z.B. weil eine Zustellung einer Klage aufgrund nichtgezahlten Gerichtskostenvorschusses unterbleibt.
Bitte stellen Sie daher sicher, dass Sie im beA erstregsitriert sind und Sie über eingehende Nachrichten informiert werden

beA: Wiederinbetriebnahme seit 3. September 2018

Seit dem 3. September 2018, 08:00 Uhr, ist das beA wieder unter www.bea-brak.de erreichbar. Wie die BRAK informierte, waren die funktionalen Tests am vergangenen Wochenende erfolgreich, so dass die Freigabe zur Wiederinbetriebnahme erteilt wurde. Das Senden und Empfangen von Nachrichten ist also seit heute Morgen wieder möglich, die passive Nutzungspflicht für alle Rechtsanwältinnen und Rechtsanwälte lebte wieder auf.

Grundsätzliche technische Probleme sind der BRAK derzeit nicht bekannt. In Einzelfällen kann es Probleme bei der Anmeldung geben, die nach Erkenntnissen der BRAK auf lokale Einstellungen an den Rechnern der Kolleginnen und Kollegen zurückzuführen sind. Für Fragen zu diesen Themen steht der beA-Support unter

E-Mail: bea-servicedesk@atos.net
Telefon: 030/52 0009 444 (Mo. bis Fr. von 8.00 bis 20.00 Uhr)

zur Verfügung.

In dem beA-Sondernewsletter vom 3. September 2018 erfahren, was ab dem Re-Start des beA zu beachten ist.

beA: secunet bestätigt Behebung von beA-Schwachstellen

Der Präsident der Bundesrechtsanwaltskammer (BRAK) informierte heute, das secunet die Beseitigung der Schwachstellen des beA, welche gemäß des Sicherheitsgutachtens von secunet vor einem Re-Start des beA zu erfolgen hatte, bestätigte. Damit kann das beA wie angekündigt am 3. September 2018 wieder online gehen. Die Wiederinbetriebnahme des beA bedingt, dass der Download der Client Security und die Erstregistrierung im beA-System am 1. und 2. September 2018 nicht möglich sein werden. Weitere Informationen zum Re-Start des beA finden Sie auch hier.

Presseerklärung der BRAK vom 20. August 2018:

Das beA-System wird am 03.09.2018 wieder freigeschaltet. Die Sicherheitsgutachterin der Bundesrechtsanwaltskammer (BRAK), die Fa. secunet, hat die Beseitigung der in ihrem Gutachten beschriebenen Schwachstellen entsprechend der Beschlüsse der außerordentlichen Präsidentenkonferenz der BRAK vom 27.06.2018 (vgl. Presseerklärung der BRAK Nr. 19 v. 27.06.2018) bestätigt. Damit steht der Wiederinbetriebnahme des beA nichts mehr im Wege.

Die übrigen Schwachstellen der Kategorie B werden im laufenden Betrieb beseitigt, ebenso die Schwachstelle 4.5.3 gemäß Beschluss der Hauptversammlung vom 08.08.2018 (vgl. Presseerklärung der BRAK Nr. 22 v. 08.08.2018).

Die BRAK weist ausdrücklich darauf hin, dass im Rahmen der Wiederinbetriebnahme und während des Hochfahrens des Gesamtsystems aus technischen Gründen am 01./ 02.09.2018 vorübergehend kein Download der Client Security und keine Erstregistrierung möglich sein wird. Auch das Bundesweite Amtliche Anwaltsverzeichnis wird an diesen beiden Tagen zeitweilig nicht erreichbar sein.

„Ich freue mich, dass die BRAK das beA-System endlich wieder in Betrieb nehmen kann“, so BRAK-Präsident Ekkehart Schäfer. „Alle Kolleginnen und Kollegen haben jetzt Planungssicherheit.“

 

 

 

beA startet wieder – ein Update

„Wie geht es weiter mit dem beA – und vor allem: wann?“ Was sich in der letzten Ausgabe erst teilweise beantworten ließ, hat zwischenzeitlich konkrete Formen angenommen: Das Sicherheitsgutachten zum beA wurde vorgelegt, die BRAK-Präsidentenkonferenz gab grünes Licht, die erste Phase der Wiederinbetriebnahme startete am 4.7.2018. Doch eins nach dem anderen …

Wie es dazu kam

Das BRAK-Präsidium hatte am 22.12.2017 entschieden, dass das beA wegen gemeldeter Sicherheitsrisiken offline gehen muss. Diese betrafen die beA Client Security, also den Teil des beA-Systems, den alle Anwältinnen und Anwälte auf ihren Rechnern installieren müssen, um die beA-Webanwendung nutzen zu können. Da nicht alle Zweifel an der Beseitigung der Sicherheitslücke ausgeräumt werden konnten, entschied das BRAK-Präsidium am 26.12.2017, das beA so lang offline zu lassen, bis alle sicherheitsrelevanten Fragestellungen zweifelsfrei geklärt sind.

Der Fahrplan

Bereits im Januar dieses Jahres, als das beA-System gerade erst vom Netz genommen worden war, beschloss die BRAK-Präsidentenkonferenz – bestehend aus den 28 Präsidentinnen und Präsidenten der Rechtsanwaltskammern – einen Fahrplan zur Wiederinbetriebnahme des beA: Eine vom Bundesamt für Sicherheit in der Informationstechnik empfohlene IT-Sicherheitsspezialistin sollte die Sicherheit des beA-Systems prüfen, während die Entwicklerin des beA, die Firma Atos, parallel an der Behebung der bekannt gewordenen Schwachstellen arbeitete. Zudem wurde mit dem „beAthon“ ein Dialog mit kritischen IT-Experten geführt, deren Hinweise die BRAK dankbar aufnahm. Erst nach Vorlage des Gutachtens sollte die Präsidentenkonferenz dann darüber befinden, wann das beA wieder in Betrieb geht.

Der Zwischenbericht

Dieser Fahrplan wurde abgearbeitet und im Laufe der Zeit weiter ausdifferenziert: Die von der BRAK beauftragte IT-Sicherheitsspezialistin, die Firma secunet Security Networks AG, prüfte über die beA Client Security hinaus auch die Sicherheitskonzeption des esamten beA-Systems einschließlich des Hardware Security Moduls (HSM). Dabei berücksichtigte secunet auch die Ergebnisse des „beAthon“.

Mitte April lieferte secunet einen Zwischenbericht ab. Das Fazit lautete: Sämtliche festgestellten Schwachstellen des beA sind behebbar, der grundlegende Aufbau des beA-Systems ist nicht in Frage gestellt. Die Ergebnisse dieses Zwischenberichts berücksichtigte Atos bei seinen weiteren Reparaturarbeiten.

Im Hintergrund

Parallel diskutierten die BRAK-Präsidentenkonferenz und das BRAK-Präsidium, wie in Sachen Wiederinbetriebnahme des beA weiter vorzugehen sei. In einer Reihe von Sitzungen wurde unter anderem erörtert, unter welchen ganz konkreten Voraussetzungen das beA-System wieder in Betrieb gehen soll, ob es eine Vorlaufphase vor dem eigentlichen Restart des beA geben sollte, wie mit den durch die regionalen Rechtsanwaltskammern zu erhebenden beA-Beiträgen an die BRAK umgegangen werden soll, wie mit dem BRAK-Haushalt für die weitere Entwicklung des beA zu verfahren ist, und vieles mehr. Hierüber wurde in den letzten Ausgaben des BRAK-Magazins umfänglich berichtet.

Zudem war die BRAK regelmäßig in Kontakt mit weiteren in den elektronischen Rechtsverkehr involvierten Akteuren, insbesondere mit der Justiz von Bund und Ländern. Diese stellte und stellt den eigentlich bereits abgekündigten kostenlosen Client zur Nutzung des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) bis über die Wiederinbetriebnahme des beA hinaus zur Verfügung und bietet damit eine Übergangslösung zur Nutzung des elektronischen Rechtsverkehrs.

Das Abschlussgutachten

Mit Spannung wurde das Abschlussgutachten von secunet erwartet. Es lag zunächst in einer Vorversion vor, die Vertreter der Firma secunet am 4.6.2018 dem BRAK-Präsidium vorstellten. Dabei ergab sich, dass noch einige Erläuterungen und Konkretisierungen notwendig waren, denn das aus IT-sicherheitstechnischer Sicht erstellte Gutachten sollte – wie im Januar beschlossen – Grundlage für die Entscheidung der BRAK-Präsidentenkonferenz über die Wiederinbetriebnahme des beA sein und musste daher für sie verständlich abgefasst sein. Nachdem die finale Fassung des Gutachtens vorlag, berief das BRAK-Präsidium umgehend die Präsidentenkonferenz für den 27.6.2018 ein, die dann über die weiteren Schritte zur Wiederinbetriebnahme des beA zu entscheiden hatte.

Im Abschlussgutachten stellt secunet die Ergebnisse der von ihr durchgeführten technischen Analyse und Konzeptprüfung des beA vor und bestätigt das beA als geeignetes System zur vertraulichen Kommunikation im elektronischen Rechtsverkehr. Das Verschlüsselungskonzept biete technisch gesehen ausreichenden Schutz für die Vertraulichkeit der vom beA übermittelten Nachrichten.

In dem Gutachten wurden verschiedene Schwachstellen des beA-Systems im Detail dargestellt und danach klassifiziert, ob sie einer Wiederinbetriebnahme des Systems entgegenstehen („betriebsverhindernd“) oder ob sie sich als weniger schwerwiegend darstellen und daher auch im laufenden Betrieb behoben werden könnten („betriebsbehindernd“ bzw. „sonstige“). Überwiegend hatte Atos die beschriebenen Schwachstellen bereits behoben; das hatte secunet durch Retests verifiziert. Verbliebene Schwachstellen sollten bis zur Wiederinbetriebnahme behoben werden bzw. weniger problematische Schwachstellen können auch danach im laufenden Betrieb behoben werden.

Das Gutachten hat die BRAK auf ihrer Website (https://bea.brak.de/sicherheit-im-bea/) veröffentlicht.

Der Beschluss zur Wiederinbetriebnahme

Die BRAK-Präsidentenkonferenz bewertete die für die beA Client Security und die beA-Webanwendung beschriebenen Risiken aus fachlicher (anwaltlicher) Sicht und beschloss daraufhin, das beA in zwei Stufen wieder in Betrieb zu nehmen:

Zunächst sollte zum 4.7.2018 die aktualisierte beA Client Security zur Verfügung gestellt und der Anwaltschaft eine angemessene Zeit zum Download und zur Installation gegeben werden; während dieser Zeit sollte auch die Erstregistrierung am beA für diejenigen nachholbar sein, die das nicht bereits vor Ende 2017 erledigt hatten. Den Eintritt in diese Phase machte die Präsidentenkonferenz abhängig davon, dass bestimmte verbliebene Schwachstellen in der Client Security behoben sind und dass secunet die Behebung bestätigt hat.

In der zweiten Phase, geplant ab dem 3.9.2018, soll das gesamte beA-System wieder online geschaltet werden. Ab diesem Zeitpunkt soll also die Anmeldung am Postfach sowie das Senden und Empfangen von Nachrichten wieder möglich sein. Den Eintritt in die zweite Phase machte die Präsidentenkonferenz abhängig davon, dass bestimmte (in dem Beschluss genannte) weitere Schwachstellen bis dahin behoben wurden und secunet die Behebung bestätigt hat.

Während des laufenden Betriebs sollen schließlich zwei weitere Schwachstellen beseitigt werden, welche die sog. Hardware Security Module (HSM) betreffen. Zudem soll auch das Betriebs- und Sicherheitskonzept für das beA weiter optimiert werden. Diese Maßnahmen sollen nach dem Beschluss der Präsidentenkonferenz spätestens in den ersten Monaten des Jahres 2019 abgeschlossen sein (vgl. BRAK-PE Nr. 19/2018 v. 27.6.2018).

Phase 1 gestartet

Die Firma secunet gab sodann grünes Licht hinsichtlich der beiden vor dem Start der Phase 1 noch zu behebenden Schwachstellen (BRAK-PE Nr. 20/2018 v. 3.7.2018). Seit dem 4.7.2018 steht die beA Client Security zum Download bereit (unter https://bea-brak.de) und die Erstregistrierung am beA ist für diejenigen, die dies bisher noch nicht getan haben, möglich. Informationen dazu finden Sie im folgenden Beitrag.

Und wie geht es weiter?

Die zweite Phase, in der das beA-System wieder vollumfänglich verfügbar ist, soll nach dem Beschluss der BRAK-Präsidentenkonferenz am 3.9.2018 beginnen – sofern secunet bis dahin bestätigt hat, dass bestimmte Schwachstellen tatsächlich behoben wurden. Die BRAK wird über die weiteren Entwicklungen umgehend über ihre Online-Medien informieren.

Aktuelle Infos rund um das beA

FAQ:
https://bea.brak.de/faq-zur-nutzung-des-bea/

beA-Newsletter
https://www.brak.de/bea-newsletter

 

Rechtsanwältin Dr. Tanja Nitschke, Mag. rer. publ., BRAK, Berlin

Berlin, 14.08.2018 (Veröffentlichung aus dem BRAK-Magazin Heft 4/2018)

beA startet wieder – was muss man jetzt machen?

Seit dem 4.7.2018 läuft die erste Phase des beA-Restarts. Ein paar Handgriffe sind nun zu erledigen, um mit dem beA (wieder) arbeiten zu können. Welche dies sind, hängt davon ab, ob man vor dem Ausfall des beA Ende 2017 bereits mit dem beA gearbeitet hat oder nicht.

Für Wieder-Einsteiger

Wer schon vor Ende 2017 das beA genutzt hat, muss im Wesentlichen die aktualisierte Version der beA Client Security auf seinem Rechner installieren. In dieser Version wurden die Schwachstellen, die damals dazu führten, dass das beA-System offline geschaltet wurde, behoben. Davor ist es notwendig, die bereits auf dem Rechner (bzw. den Rechnern seiner Kanzlei) installierte alte Version der beA Client Security zu deinstallieren (falls das nicht bereits geschehen ist). Anleitungen dafür hält die BRAK auf ihrer beA-Website bereit (https://bea.brak.de/was-muss-man-jetzt-tun/Client Security-installieren/).

Übrigens: Berechtigungen, die man vor Ende 2017 anderen Personen, z.B. Kanzleipersonal oder Vertretern, am eigenen Postfach eingeräumt hat, bleiben erhalten. Es ist also nicht etwa nötig, alle Berechtigungen nochmals neu zu vergeben.

Für beA-Neulinge

Wer das beA in seiner Kanzlei bislang noch nicht eingerichtet hat, hat noch etwas mehr zu tun: Zunächst einmal braucht jeder Postfachinhaber eine beA-Karte, um sein Postfach nutzen zu können. Wer bislang noch keine Karte bei der Zertifizierungsstelle der Bundesnotarkammer (https://bea.bnotk.de) bestellt hat, sollte dies rasch nachholen. Dazu muss man seine Adresse für den elektronischen Rechtsverkehr, die sog. SAFE-ID kennen, die man unter www.rechtsanwaltsregister.org nachsehen kann.

Nötig ist außerdem ein Kartenlesegerät. Informationen hierzu und zu weiterer sinnvoller technischer Ausstattung (z.B. Scanner) finden sich auf der beA-Website (https://bea.brak.de/was-muss-man-jetzt-tun/technische-ausstattung-beschaffen/).

Als nächstes muss die beA Client Security installiert werden. Hier gilt dasselbe wie für Wieder-Einsteiger. Bevor man das beA nutzen kann, muss man sich erstmals am beA-System registrieren. Dazu muss der Kartenleser am Rechner angeschlossen sein und man sollte seine beA-Karte und die dazugehörige PIN parat haben. In der beA-Webanwendung (https://bea-brak.de) führen Anwältinnen und Anwälte die „Registrierung für Benutzer mit eigenem Postfach“ durch. Grob gesagt, ordnet man dabei seine beA-Karte dem eigenen Benutzerprofil zu. Sodann muss eine Sicherheitsfrage hinterlegt werden, die der telefonische Support zur Authentifizierung abfragt, wenn man diesen kontaktiert.

Schließlich kann man eine E-Mail-Adresse (oder mehrere) hinterlegen, an die das beA-System automatisch eine Information sendet, wenn eine Nachricht im Postfach eingegangen ist. So verpasst man keinen Posteingang, ohne das beA selbst ständig kontrollieren zu müssen. Eine Anleitung und Tipps zur Erstregistrierung finden sich auf der beA-Website (https://bea.brak.de/was-muss-man-jetzt-tun/erstregistrierung/).

Apropos Kanzleiorganisation…

Klären sollte man auch, für wie viele Personen man beA-Karten Mitarbeiter benötigt, und diese Karten gleich mit- oder noch nachbestellen. Sinnvollerweise sind dies alle Mitarbeiter der Kanzlei, die auch bisher schon Postein- und -ausgänge versorgen. Dabei ist zu beachten, dass jeder Mitarbeiter eine eigene Karte nutzen muss (und nicht etwa die des Anwalts oder eines Kollegen!), denn die Karte und die dazugehörige PIN dürfen nicht an andere Personen weitergegeben werden (vgl. § 26 I RAVPV).

Mitarbeiter müssen zunächst vom Postfachinhaber im beA-System angelegt werden. Dann müssen auch sie sich erstregistrieren und sodann muss ihnen der Postfachinhaber im Einzelnen erlauben, was sie in seinem Postfach sehen bzw. tun dürfen (sog. Rechtevergabe). Eine Anleitung dafür findet sich z.B. im beA-Newsletter 4/2017 (im Archiv unter www.brak.de/bea-newsletter). Außerdem können z.B. auch Kollegen im Falle einer Urlaubsvertretung bestimmte, auch zeitlich befristete, Zugriffsrechte auf das eigene Postfach eingeräumt werden. Anmeldung am Postfach, Anlegen von Benutzern und Rechtevergabe sind aber erst möglich, wenn das beA-System wieder online ist.

 

Rechtsanwältin Dr. Tanja Nitschke, Mag. rer. publ., BRAK, Berlin

Berlin, 14.08.2018 (Veröffentlichung aus dem BRAK-Magazin Heft 4/2018)