Schlagwort: beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

Nachdem unsere Kanzlei schon seit März weitgehend problemlos mit beA arbeitet, haben sich die letzten Wochen die Ausfälle gehäuft: Mehrmals war aufgrund von Netzwerkproblemen das beA nicht erreichbar.

Heute dann eine neue Überraschung: Ein Zertifikat, das für die beA-Anwendung erforderlich ist, ist ausgelaufen und muss nun manuell installiert werden. Die BRAK wurde nach eigenen Angaben erst gestern informiert.

Eine Anleitung zur Installation des Zertifikats stellt die BRAK hier bereit.

Sollte das beA nach diesen Schritten noch nicht gehen, habe ich die Erfahrung gemacht, dass eine Neuinstallation des beA-Clients Abhilfe schafft.

Als großer Befürworter des elektronischen Rechtsverkehrs darf ich an dieser Stelle doch eine Kritik äußern: Vorfälle wie der heutige führen leider bei den beA-Skeptikern nicht zu einer Akzeptanz des Systems. Gerade nicht so IT-affine Anwälte werden bei der Durchführung solcher Abhilfemaßnahmen Probleme haben.

Auch die neue RA MICRO Schnittstelle. die noch sehr viele Fehler aufweist und teilweise mehrmals täglich gepatcht wird von RA MICRO, spielt den Kritikern leider in die Hände.

Update am 22.12.2017, 17:06 Uhr: Laut einer Meldung von heise wurde anstatt des öffentlichen Schlüssels der private Schlüssel durch den beA-Client verteilt. Da der private Schlüssel kompromittiert wurde, musste er für ungültig erklärt werden, womit die manuelle Installation notwendig wurde. heise bezeichnet den Vorfall als "schwere Panne". Zurecht.

Update am 24.12.2017: Die Anleitung zur Installation des Zertifikats ist mittlerweile offline. Das beA ist über Weihnachten im Wartungsmodus. Wie Golem berichtet führt die Installation des Zertifikats dazu, dass sich gefälschte Webseiten als Originale ausgeben könnten. In die https-Architektur wird damit eine riesige Sicherheitlücke gerissen. Nutzer sollten das Zertifikat der BRAK umgehend wieder deinstallieren.

Die Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) hat den Bundesrat passiert.

Damit gibt es mit dem Inkrafttreten am 01.01.2018, rechtzeitig zum Beginn der passiven Nutzungspflicht des beA, bundesweit einheitliche Regelungen, welche Dateiformate beim elektronischen Rechtsverkehr zulässig sind. Bisher hat dies jedes Bundesland einzeln geregelt, manche Bundesländer ließen etwa auch .doc und .rtf-Dateien zu. Ab sofort sind nur noch PDF-Dateien und bei Bildern auch TIF-Dateien zulässig, wenn die bildliche Darstellung verlustfrei nicht in PDF möglich ist.

Der Bundesrat nahm eine wichtige Änderung vor: Die Pflicht, die PDF-Dokumente durchsuchbar einzureichen gilt erst ab dem 1. Juli 2019. Ursprünglich war eine Verpflichtung schon ab dem 1. Juli 2018 vorgesehen.

RA-MICRO hat Informationen zu der beA-Schnittstelle veröffentlicht.

Danach ist eine Integration in den E-Workflow geplant. Der Zugriff auf das beA-Postfach soll über Softwarezertifikate erfolgen. Für jeden beA-Nutzer muss also ein solches bestellt werden (Kosten derzeit 4,90 € netto pro Jahr), wenn eine Einbindung des Postfachs in RA-MICRO erfolgen soll.

Die Veröffentlichung der RA-MICRO-Version ist für Ende 2017/Anfang 2018 geplant.

Gut ist, dass auch die manuelle Schnittstelle über den Export in der E-Akte erhalten bleiben soll. Damit ist man technisch unabhängig, wenn einmal die RA-MICRO-Integration bzw. die beA-Schnittstelle nicht funktionieren sollte.

Auch positiv: Es soll einen Senden-Button an beA direkt in Word geben sowie eine Erweiterung des Adressfensters um beA-Adressen. Spannend wird die Frage sein, ob hier auch die SAFE-IDs hinterlegt werden. Da diese das einzige zuverlässige Unterscheidungskriterium sind und das einzige Zuordnungsmerkmal, ob es sich um ein beA-, Gerichts-, Notar- (beN) oder Behördenpostfach (beBPo) handelt, sollte auf die SAFE-ID im ERV erhöhte Aufmerksamkeit gelegt werden. Interessant wird hier auch die Frage sein, wie einer Kanzlei die Postfächer der einzelnen Anwälte zugewiesen werden können.

Ab heute, 18. Oktober 2017, sind auch das Oberlandesgericht München, das Landgericht München I und das Amtsgericht München in allen ZPO- und FamFG-Verfahren über das beA erreichbar, (vgl. Anlage 2 BayERVV Justiz).

Damit sind alle bayerischen Gerichte in diesen Verfahren angeschlossen.

Nachdem Bayern in den letzten Jahren beim Anschluss der Gerichte an den elektronischen Rechtsverkehr eher zu den langsameren Bundesländern gehörte, hat Bayern extrem aufgeholt und gehört jetzt zu den Vorreitern. Alle Amts-, Land- und Oberlandesgerichte in ZPO- und FamFG-Verfahren, alle Arbeits-, Verwaltungs-, Sozial- und Finanzgerichte sind jetzt über den elektronischen Rechtsverkehr erreichbar.

Jetzt ging es dann doch unerwartet schnell. Seit dem 1. Oktober 2017 sind alle Bayerischen Arbeitsgerichte per beA erreichbar aufgrund der Verordnung zur Änderung der E-Rechtsverkehrsverordnung Arbeitsgerichte (ERVV ArbG) vom 15.9.2017 (GVBl. 2017, 494).

Laut dem beA-Newsletter 40/2017 vom 05.10.2017 werden die Bayerischen Arbeitsgerichte bereits ab dem 1. Januar 2018 beginnen, mit den Rechtsanwälten nur noch elektronisch zu kommunizieren, also auch den Versand zu nutzen.

Ein technisches Detail zum beA-Postfach:

Exportiert man eine Nachricht in der Webanwendung, werden alle mit der Nachricht versandten Dateien in einen ZIP-Ordner gepackt und dieser zusammen mit einer P7s-Zertifikatsdatei zum Download bereitgestellt.

Wir machen es in unserer Kanzlei so, dass wir diesen ZIP-Ordner zusammen mit der Zertifikatsdatei in unserer Anwaltssoftware abspeichern, um damit einen rechtssicheren Nachweis zu haben, was über beA versandt wurde, auch deshalb, weil das beA selbst nicht als Dokumentenverwaltung zur dauerhaften Speicherung gedacht ist. Dies sieht auch die RAVPV vor, die der BRAK in § 27 eine Löschungsmöglichkeit einräumt.

Jetzt kam aber die Überraschung: Die Signierung der Nachrichten erfolgt wohl noch nicht richtig. Prüft man die P7s-Datei mit einer Signatursoftware, so erscheint eine Fehlermeldung, dass die Signatur ungültig sei:

Nach etwas Recherche hat sich die Sache aufgeklärt: Im beA-Newsletter 17/2017 vom 26. April 2017 steht etwas versteckt beim Thema “Container-Signatur”:

So wird zum Beispiel beim Export einer Nachricht aus dem beA ein ZIP-Container ausgegeben, der zusammen mit einer (einfachen) Signatur, also einer Container-Signatur, auf dem lokalen System gespeichert wird.

Mit anderen Worten: Es wird eine Signatur angebracht, aber keine qualifizierte Signatur, die im Rahmen des Prüfberichts der Signatursoftware als “gültig” angezeigt wird. Es kann damit aber die Authentizität der ZIP-Datei festgestellt werden.

Ursprünglicher Artikel vom 16.08.2017 mit Update am 21.09.2017: Artikel aktualisiert, Informationen vom beA-Newsletter eingearbeitet

Ab heute sind auch die Gerichte des Landgerichtsbezirks München II per beA erreichbar (Amtsgerichte Dachau, Ebersberg, Fürstenfeldbruck, Garmisch-Partenkirchen, Miesbach, Starnberg, Weilheim i.OB, Wolfratshausen).

Ab heute ist es soweit: Die Gerichte des Landgerichtsbezirks Traunstein sind per beA erreichbar.

Wir werden in unserer Kanzlei in Zukunft versuchen, alle Schriftsätze darüber einzureichen.