Weitere Sicherheitslücke im beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

beA: BRAK lässt Nutzer unsicheres Zertifikat installieren

Nachdem unsere Kanzlei schon seit März weitgehend problemlos mit beA arbeitet, haben sich die letzten Wochen die Ausfälle gehäuft: Mehrmals war aufgrund von Netzwerkproblemen das beA nicht erreichbar.

Heute dann eine neue Überraschung: Ein Zertifikat, das für die beA-Anwendung erforderlich ist, ist ausgelaufen und muss nun manuell installiert werden. Die BRAK wurde nach eigenen Angaben erst gestern informiert.

Eine Anleitung zur Installation des Zertifikats stellt die BRAK hier bereit.

Sollte das beA nach diesen Schritten noch nicht gehen, habe ich die Erfahrung gemacht, dass eine Neuinstallation des beA-Clients Abhilfe schafft.

Als großer Befürworter des elektronischen Rechtsverkehrs darf ich an dieser Stelle doch eine Kritik äußern: Vorfälle wie der heutige führen leider bei den beA-Skeptikern nicht zu einer Akzeptanz des Systems. Gerade nicht so IT-affine Anwälte werden bei der Durchführung solcher Abhilfemaßnahmen Probleme haben.

Auch die neue RA MICRO Schnittstelle. die noch sehr viele Fehler aufweist und teilweise mehrmals täglich gepatcht wird von RA MICRO, spielt den Kritikern leider in die Hände.

Update am 22.12.2017, 17:06 Uhr: Laut einer Meldung von heise wurde anstatt des öffentlichen Schlüssels der private Schlüssel durch den beA-Client verteilt. Da der private Schlüssel kompromittiert wurde, musste er für ungültig erklärt werden, womit die manuelle Installation notwendig wurde. heise bezeichnet den Vorfall als "schwere Panne". Zurecht.

Update am 24.12.2017: Die Anleitung zur Installation des Zertifikats ist mittlerweile offline. Das beA ist über Weihnachten im Wartungsmodus. Wie Golem berichtet führt die Installation des Zertifikats dazu, dass sich gefälschte Webseiten als Originale ausgeben könnten. In die https-Architektur wird damit eine riesige Sicherheitlücke gerissen. Nutzer sollten das Zertifikat der BRAK umgehend wieder deinstallieren.

ERVV passiert Bundesrat

Die Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) hat den Bundesrat passiert.

Damit gibt es mit dem Inkrafttreten am 01.01.2018, rechtzeitig zum Beginn der passiven Nutzungspflicht des beA, bundesweit einheitliche Regelungen, welche Dateiformate beim elektronischen Rechtsverkehr zulässig sind. Bisher hat dies jedes Bundesland einzeln geregelt, manche Bundesländer ließen etwa auch .doc und .rtf-Dateien zu. Ab sofort sind nur noch PDF-Dateien und bei Bildern auch TIF-Dateien zulässig, wenn die bildliche Darstellung verlustfrei nicht in PDF möglich ist.

Der Bundesrat nahm eine wichtige Änderung vor: Die Pflicht, die PDF-Dokumente durchsuchbar einzureichen gilt erst ab dem 1. Juli 2019. Ursprünglich war eine Verpflichtung schon ab dem 1. Juli 2018 vorgesehen.

Datenschützer kritisiert unverschlüsselte E-Mails bei Berufsgeheimnisträgern

In seinem 8. Tätigkeitsbericht für den Landtag kritisiert der sächsische Datenschutzbeauftragte Andreas Schurig, dass die viele Rechtsanwälte unverschlüsselt über E-Mail kommunizieren. Er begründet dies mit “Zeit und Kostendruck” (8. Tätigkeitsbericht, Ziffer 8.13, Seite 8, zum Bericht bei heise.de).

Weiter schreibt er:

Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, dass Rechtsanwälte ihre EMails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden.

Hier kann ich nur widersprechen: Es liegt nicht daran, dass wir Rechtsanwälte nicht verschlüsseln möchten, sondern dass zum Verschlüsseln bei der asymmetrischen Verschlüsselung immer zwei Personen notwendig sind. Der Mandant muss also auch etwa PGP/GPG einsetzen. Obwohl dies kostenlos möglich ist, ist anscheinend die technische Hürde noch so hoch, dass Mandanten dies nicht wünschen. Selbst in meinem IT-Recht-Umfeld, in dem die meisten Mandanten technisch versiert sind.

Ich biete den Mandanten immer an, verschlüsselt zu kommunizieren, allerdings ist ihnen dies meist zu umständlich. Wirklich daran ändern wird sich nur etwas, wenn die PGP-/GPG-Verschlüsselung in der Bevölkerung mehr Verbreitung findet. Initiativen, wie sie etwa United Internet (GMX, Web.de), Mailbox.org oder Posteo mit der Implementation von PGP im Webmailer mit dem Plugin Mailvelope oder auch ProtonMail ergreifen, sind sehr wichtig, haben aber zumindest meiner Erfahrung nach noch nicht zu einem Umdenken bei den meisten Internetnutzern geführt.

Die Alternative kann nicht sein – wie von Sachsens oberstem Datenschützer gefordert – Schriftsätze im Entwurf zukünftig wieder per Post an den Mandanten zu verschicken, sondern ist der konsequente Einsatz von Verschlüsselung.

Seit kurzem gibt es ja noch eine Möglichkeit der verschlüsselten Kommunikation: Den EGVP-Bürger-Client, mit dem sich Bürger ein Postfach einrichten und mit dem Rechtsanwalt über dessen besonderes persönliches Anwaltspostfach (beA) Ende-zu-Ende verschlüsselt kommunizieren können. Das System hat aber zwei Schwächen: Ich befürchte, dass wenige Mandanten sich den Client extra installieren und sich ein Postfach einrichten werden; darüber hinaus erfolgt keine Identifizierung, sodass im Prinzip jeder ein Postfach auf den Namen seines Nachbarn einrichten könnte. Aber es ist ein weiterer Weg, eine verschlüsselte Kommunikation zu ermöglichen.

 

RA-MICRO veröffentlicht Informationen zur beA-Schnittstelle

RA-MICRO hat Informationen zu der beA-Schnittstelle veröffentlicht.

Danach ist eine Integration in den E-Workflow geplant. Der Zugriff auf das beA-Postfach soll über Softwarezertifikate erfolgen. Für jeden beA-Nutzer muss also ein solches bestellt werden (Kosten derzeit 4,90 € netto pro Jahr), wenn eine Einbindung des Postfachs in RA-MICRO erfolgen soll.

Die Veröffentlichung der RA-MICRO-Version ist für Ende 2017/Anfang 2018 geplant.

Gut ist, dass auch die manuelle Schnittstelle über den Export in der E-Akte erhalten bleiben soll. Damit ist man technisch unabhängig, wenn einmal die RA-MICRO-Integration bzw. die beA-Schnittstelle nicht funktionieren sollte.

Auch positiv: Es soll einen Senden-Button an beA direkt in Word geben sowie eine Erweiterung des Adressfensters um beA-Adressen. Spannend wird die Frage sein, ob hier auch die SAFE-IDs hinterlegt werden. Da diese das einzige zuverlässige Unterscheidungskriterium sind und das einzige Zuordnungsmerkmal, ob es sich um ein beA-, Gerichts-, Notar- (beN) oder Behördenpostfach (beBPo) handelt, sollte auf die SAFE-ID im ERV erhöhte Aufmerksamkeit gelegt werden. Interessant wird hier auch die Frage sein, wie einer Kanzlei die Postfächer der einzelnen Anwälte zugewiesen werden können.

beA: Ab heute auch OLG München, LG München I und AG München erreichbar

Ab heute, 18. Oktober 2017, sind auch das Oberlandesgericht München, das Landgericht München I und das Amtsgericht München in allen ZPO- und FamFG-Verfahren über das beA erreichbar, (vgl. Anlage 2 BayERVV Justiz).

Damit sind alle bayerischen Gerichte in diesen Verfahren angeschlossen.

Nachdem Bayern in den letzten Jahren beim Anschluss der Gerichte an den elektronischen Rechtsverkehr eher zu den langsameren Bundesländern gehörte, hat Bayern extrem aufgeholt und gehört jetzt zu den Vorreitern. Alle Amts-, Land- und Oberlandesgerichte in ZPO- und FamFG-Verfahren, alle Arbeits-, Verwaltungs-, Sozial- und Finanzgerichte sind jetzt über den elektronischen Rechtsverkehr erreichbar.

Bayerische Arbeitsgerichte per beA erreichbar

Jetzt ging es dann doch unerwartet schnell. Seit dem 1. Oktober 2017 sind alle Bayerischen Arbeitsgerichte per beA erreichbar aufgrund der Verordnung zur Änderung der E-Rechtsverkehrsverordnung Arbeitsgerichte (ERVV ArbG) vom 15.9.2017 (GVBl. 2017, 494).

Laut dem beA-Newsletter 40/2017 vom 05.10.2017 werden die Bayerischen Arbeitsgerichte bereits ab dem 1. Januar 2018 beginnen, mit den Rechtsanwälten nur noch elektronisch zu kommunizieren, also auch den Versand zu nutzen.

beA: Signatur der exportierten Nachrichten (Update)

Ein technisches Detail zum beA-Postfach:

Exportiert man eine Nachricht in der Webanwendung, werden alle mit der Nachricht versandten Dateien in einen ZIP-Ordner gepackt und dieser zusammen mit einer P7s-Zertifikatsdatei zum Download bereitgestellt.

Wir machen es in unserer Kanzlei so, dass wir diesen ZIP-Ordner zusammen mit der Zertifikatsdatei in unserer Anwaltssoftware abspeichern, um damit einen rechtssicheren Nachweis zu haben, was über beA versandt wurde, auch deshalb, weil das beA selbst nicht als Dokumentenverwaltung zur dauerhaften Speicherung gedacht ist. Dies sieht auch die RAVPV vor, die der BRAK in § 27 eine Löschungsmöglichkeit einräumt.

Jetzt kam aber die Überraschung: Die Signierung der Nachrichten erfolgt wohl noch nicht richtig. Prüft man die P7s-Datei mit einer Signatursoftware, so erscheint eine Fehlermeldung, dass die Signatur ungültig sei:

Nach etwas Recherche hat sich die Sache aufgeklärt: Im beA-Newsletter 17/2017 vom 26. April 2017 steht etwas versteckt beim Thema “Container-Signatur”:

So wird zum Beispiel beim Export einer Nachricht aus dem beA ein ZIP-Container ausgegeben, der zusammen mit einer (einfachen) Signatur, also einer Container-Signatur, auf dem lokalen System gespeichert wird.

Mit anderen Worten: Es wird eine Signatur angebracht, aber keine qualifizierte Signatur, die im Rahmen des Prüfberichts der Signatursoftware als “gültig” angezeigt wird. Es kann damit aber die Authentizität der ZIP-Datei festgestellt werden.

Ursprünglicher Artikel vom 16.08.2017 mit Update am 21.09.2017: Artikel aktualisiert, Informationen vom beA-Newsletter eingearbeitet