BeA

Für alle Themen, die in der Rechtspraxis auftauchen, inkl. Fragen zu Kanzlei-Software

Moderator: Verwaltung

Antworten
Benutzeravatar
doctor
Mega Power User
Mega Power User
Beiträge: 1656
Registriert: Montag 23. Januar 2012, 00:40
Ausbildungslevel: Au-was?

Re: BeA

Beitrag von doctor »

Secunet findet noch mehr Lücken im Anwaltspostfach

https://www.golem.de/news/bea-secunet-f ... 33601.html
joee78
Power User
Power User
Beiträge: 457
Registriert: Samstag 30. Juli 2011, 23:50
Ausbildungslevel: RA

Re: BeA

Beitrag von joee78 »

Jetzt ist auch das bundesweite Anwaltsverzeichnis betroffen:

https://www.heise.de/newsticker/meldung ... 24204.html

Es scheint hier ein grundsätzliches Problem in der Konstruktion des beA vorzuliegen, welches nicht allein durch bloße Updates gelöst werden kann. Es stellt sich hier mittlerweile die gleiche Frage wie beim BER. :-k
Sind Sie ein Mensch? Sowas Ähnliches, ich bin Anwalt.

Blade II
Benutzeravatar
Tibor
Fossil
Fossil
Beiträge: 16441
Registriert: Mittwoch 9. Januar 2013, 23:09
Ausbildungslevel: Ass. iur.

Re: BeA

Beitrag von Tibor »

"Just blame it on the guy who doesn't speak English. Ahh, Tibor, how many times you've saved my butt."
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: BeA

Beitrag von Ara »

Und ab September solls wieder gehen: https://www.lto.de/recht/juristen/b/bea ... september/

Was ich bei der Verschlüsselungskritik nicht verstehe ist, vor was man Angst hat?

Wenn man ein BeA-Befürworter ist, dann kann ich die Kritik im Kern noch verstehen. Dann ist man enttäuscht, dass man keine wirklich sichere End-to-end-verschlüsselung hat.

Wenn man das BeA aber eh aus Prinzip ablehnt ist das doch völlig egal? Es besteht nur eine passive Nutzungspflicht.

Wer soll die Daten abfangen? Dem Staat ist alles egal was von und zu Gericht geht. Da hat er ganz andere Zugriffsmöglichkeiten. Jemand „Drittes“? Also 99,9 Prozent der Kommunikation mit dem Gericht ist völlig irrelevant, weil alles was das Gericht so mitteilt im Grundsatz auch in ner öffentlichen Verhandlung fallen kann. Darüber hinaus ist ein Angriff aufs Fax natürlich auch viel einfacher.

So bleibt die Anwalt-zu-anwalt-kommunikation: Wenn es so sensibel ist dann nutz ich weder BeA noch Post noch Fax, sondern mach das Face to Face.

Ich sags ganz ehrlich: Bei uns erfolgt grundsätzlich aktuell fast jegliche Kommunikation mit den Mandanten unverschlüsselt über Emails. Da sind auch sensible Informationen. Ich habe noch keinen Mandanten gesehen (außer er nutzt so neumodisches Zeug nicht) der auf die Vorteile der Mail verzichten wollte.

Die Mandate wo es wirklich äußerst sensibel ist, wird auch nicht per normalem Telefon, Fax oder Post kommuniziert.

Von daher teile ich die grundlegende Kritik (ich bin eigentlich Fan von der BeA-Idee), aber ein schwach verschlüsseltes Postfach reicht für 99,9% aus und für den Rest weicht man wie heute auf Alternativen aus.
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Liz
Mega Power User
Mega Power User
Beiträge: 3237
Registriert: Sonntag 22. Oktober 2017, 17:03
Ausbildungslevel: Anderes

Re: BeA

Beitrag von Liz »


Ara hat geschrieben:
Wer soll die Daten abfangen? Dem Staat ist alles egal was von und zu Gericht geht. Da hat er ganz andere Zugriffsmöglichkeiten. Jemand „Drittes“? Also 99,9 Prozent der Kommunikation mit dem Gericht ist völlig irrelevant, weil alles was das Gericht so mitteilt im Grundsatz auch in ner öffentlichen Verhandlung fallen kann. Darüber hinaus ist ein Angriff aufs Fax natürlich auch viel einfacher.
Wenn man zu Verschwörungstheorien neigt, mag man Angst vor NSA & Co. und überhaupt so neumodischen Kram haben. Aber das dürfte sowieso egal sein. Im Zweifelsfall scannt schon heute der gegnerische Anwalt die komplette Akte und lädt sie in seine Cloud hoch.
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

Es geht vor allem darum, dass für das beA einen Haufen Geld für Schwachsinn ausgegeben wird, mit dem im Ergebnis nur die Kammern und irgendwelche Dienstleister finanziert werden. Warum hat man nicht einfach ein Modell übernommen, dass in einem der anderen Mitgliedstaaten schon funktioniert?

Die Kammerpräsidien bestehen eben leider zum Großteil aus Dilettanten, die sich auf Kosten der anderen Anwälte noch eine Mark dazuverdienen wollen. Das ist der eigentliche Skandal. Hier wird das Geld anderer Leute ausgegeben (bzw. zum Fenster rausgeworfen).
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Benutzeravatar
Tikka
Mega Power User
Mega Power User
Beiträge: 3048
Registriert: Montag 23. Februar 2009, 09:48
Ausbildungslevel: Schüler

Re: BeA

Beitrag von Tikka »

Ara hat geschrieben: Donnerstag 21. Juni 2018, 07:37 Und ab September solls wieder gehen: https://www.lto.de/recht/juristen/b/bea ... september/

Was ich bei der Verschlüsselungskritik nicht verstehe ist, vor was man Angst hat?

Wenn man ein BeA-Befürworter ist, dann kann ich die Kritik im Kern noch verstehen. Dann ist man enttäuscht, dass man keine wirklich sichere End-to-end-verschlüsselung hat.

Wenn man das BeA aber eh aus Prinzip ablehnt ist das doch völlig egal? Es besteht nur eine passive Nutzungspflicht.

Wer soll die Daten abfangen? Dem Staat ist alles egal was von und zu Gericht geht. Da hat er ganz andere Zugriffsmöglichkeiten. Jemand „Drittes“? Also 99,9 Prozent der Kommunikation mit dem Gericht ist völlig irrelevant, weil alles was das Gericht so mitteilt im Grundsatz auch in ner öffentlichen Verhandlung fallen kann. Darüber hinaus ist ein Angriff aufs Fax natürlich auch viel einfacher.

So bleibt die Anwalt-zu-anwalt-kommunikation: Wenn es so sensibel ist dann nutz ich weder BeA noch Post noch Fax, sondern mach das Face to Face.

Ich sags ganz ehrlich: Bei uns erfolgt grundsätzlich aktuell fast jegliche Kommunikation mit den Mandanten unverschlüsselt über Emails. Da sind auch sensible Informationen. Ich habe noch keinen Mandanten gesehen (außer er nutzt so neumodisches Zeug nicht) der auf die Vorteile der Mail verzichten wollte.

Die Mandate wo es wirklich äußerst sensibel ist, wird auch nicht per normalem Telefon, Fax oder Post kommuniziert.

Von daher teile ich die grundlegende Kritik (ich bin eigentlich Fan von der BeA-Idee), aber ein schwach verschlüsseltes Postfach reicht für 99,9% aus und für den Rest weicht man wie heute auf Alternativen aus.
Das sehe ich alles ähnlich. Ich habe überhaupt nichts gegen den elektronischen Rechtsverkehr. Im Gegenteil. Ich finde nur das beA wie es ist einfach suboptimal.
Es wird jegliche usability für eine vorgegaukelte Sicherheit aufgegeben.

Zur Zeit wird für die Gerichtspost Briefpost und Fax benutzt, die beide, wenn man so mag, vollkommen unsicher sind und für den Schriftverkehr mit Mandanten immer mehr E-Mail. Hier im Unternehmen ja sowieso.

Wer mit hoher krimineller Energie unterwegs ist, kommt an die Daten wahrscheinlich ohnehin ran. Und wenn nicht über das supersichere bea dann wie schon heute ganz analog wenn die Dateien dann ausgedruckt unbewacht in der Geschäftsstelle, dem unverschlossenen Richterzimmer oder eben in der Cloud, vom Anwalt praktischerweise hochgeladen, herumliegen.

Ich befürchte es wird so wie immer laufen, wenn man einen benutzerunfreundlichen Prozess ins Leben ruft: Die Benutzer schaffen sich Workarounds ...und die sind garantiert unsicher. Und dann war die ganze Übung für die Katz.

In einem großen Untenehmen regelmäßig zu beobachten :)
Keine Experimente! Wählt Adenauer.
Benutzeravatar
thh
Super Mega Power User
Super Mega Power User
Beiträge: 5278
Registriert: Dienstag 18. August 2009, 15:04
Ausbildungslevel: Interessierter Laie

Re: BeA

Beitrag von thh »

Tikka hat geschrieben: Donnerstag 21. Juni 2018, 09:24Zur Zeit wird für die Gerichtspost Briefpost und Fax benutzt, die beide, wenn man so mag, vollkommen unsicher sind und für den Schriftverkehr mit Mandanten immer mehr E-Mail. Hier im Unternehmen ja sowieso.
Ich teile durchaus die Ansicht, dass man für die Praxis esoterische Sicherheitsbedenken nicht übertreiben soll, muss aber dennoch widersprechen:

Briefpost und Fax sind weitaus sicherer als unverschlüsselter E-Mail-Verkehr (damit ist nicht notwendig eine Ende-zu-Ende-Verschlüsselung gemeint; dasselbe Ziel lässt sich auch mit einer Transportverschlüsselung erreichen, die keinen Fallback auf unverschlüsselten Versand hat und das Zertifikat der Gegenstelle prüft, aber das hat man in der freien Wildbahn in der Breite eben nicht) oder eine andere Form der unverschlüsselten E-Mail-Kommunikation.

Und dass der Austausch personenbezogener Daten per (unverschlüsselter) E-Mail außerhalb geschützter Netze nicht akzeptabel ist, ist ebenfalls offenkundig.

Beides sind daher keine tauglichen Gegenargumente gegen das beA.
Benutzeravatar
Tibor
Fossil
Fossil
Beiträge: 16441
Registriert: Mittwoch 9. Januar 2013, 23:09
Ausbildungslevel: Ass. iur.

Re: BeA

Beitrag von Tibor »

thh hat geschrieben: Donnerstag 21. Juni 2018, 10:20 Und dass der Austausch personenbezogener Daten per (unverschlüsselter) E-Mail außerhalb geschützter Netze nicht akzeptabel ist, ist ebenfalls offenkundig.
Es ist aber total üblich. Als Regulator muss man eben schauen, dass man nicht Regeln aufstellt, die nicht gesellschaftlicher Konsens sein können. Es wäre bspw. töricht anzunehmen, dass die Bevölkerung mit flächendeckendem Tempo 30 in den Städten und Tempo 70 auf Fernstraßen leben könnte und wollte. Genauso wird die Email (unverschlüsselt) weiterhin genutzt werden, solange nicht herbe Konsequenzen drohen (arbeits- und dienstrechtliche Konsequenzen des Nutzers). Das Gesetz / die Norm kann und soll zwar regelnd auf das Verhalten der Bürger einwirken, aber wenn es "zu hart" ist, findet es keine Akzeptanz.
"Just blame it on the guy who doesn't speak English. Ahh, Tibor, how many times you've saved my butt."
Benutzeravatar
immer locker bleiben
Fossil
Fossil
Beiträge: 10448
Registriert: Mittwoch 28. November 2007, 18:06
Ausbildungslevel: RA

Re: BeA

Beitrag von immer locker bleiben »

Tikka hat geschrieben: Donnerstag 21. Juni 2018, 09:24 Ich finde nur das beA wie es ist einfach suboptimal.
"Suboptimal" ist noch eine nette Umschreibung für das "beA, wie es ist."

Man könnte allerdings auch die These vertreten, das es im Moment gar nicht "ist." :D
You might remember me from such posts as this.
Bild
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: BeA

Beitrag von Ara »

thh hat geschrieben: Donnerstag 21. Juni 2018, 10:20 Briefpost und Fax sind weitaus sicherer als unverschlüsselter E-Mail-Verkehr (damit ist nicht notwendig eine Ende-zu-Ende-Verschlüsselung gemeint; dasselbe Ziel lässt sich auch mit einer Transportverschlüsselung erreichen, die keinen Fallback auf unverschlüsselten Versand hat und das Zertifikat der Gegenstelle prüft, aber das hat man in der freien Wildbahn in der Breite eben nicht) oder eine andere Form der unverschlüsselten E-Mail-Kommunikation.
Das hängt vom Angriffsszenario ab. Wenn es darum geht, dass jemand zufällig mal Kommunikation "mitbekommt", ist die Email sicher unsicher. Wenn es aber um einen gezielten Angriff geht, dann habe ich bei Emails schon eher Probleme. Ich weiß nämlich nicht, wann sie wo ist. Ein Einbruch bei den großen Mailanbietern ist extrem schwierig. Für nen Wlan-Angriff muss ich lokal vor Ort sein und auch relativ hohen Aufwand betreiben.

Bei einem gezielten Angriffsszenario würde ich das Fax nehmen. Da portiere ich einfach die Faxnummer vom Gericht auf n SIP-Anbieter, das geht innerhalb von wenigen Tagen. Den Vertrag bei der Telekom lass ich mit neuer Nummer bestehen, dann gibts nicht mal n Anruf von der Kundenrückgewinnung. Das Gericht wird sich maximal wundern, warum es nen kurzen Ausfall der Nummer hat. Anschließend leite ich alle Faxe die ich bekomme an die neue Nummer des Gerichts weiter. Auffallen tut es erst jemanden, wenn er bei ausgehenden Faxen feststellt, dass er ne neue Nummer hat.

Ich versichere dir, es würde Monate wenn nicht gar Jahre dauern, bis jemand bei einer Behörde merkt, dass die ausgehende Faxnummer nicht mehr stimmt. Selbst wenn es wer bemerken würde, wäre es ihm im Zweifel egal.

Dass es noch nicht passiert ist (zumindest wissen wir davon nichts :P) liegt wohl daran, dass die Faxe relativ uninteressant sind. Aber dass der Angriff funktioniert, wissen wir ja von Onlinebanking-Angriffen. Da werden auch regelmäßig einfach mal Handynummern wegportiert oder zweitkarten beantragt und schon hat man Zugriff auf die Mobile-TAN.
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

thh hat geschrieben: Donnerstag 21. Juni 2018, 10:20
Tikka hat geschrieben: Donnerstag 21. Juni 2018, 09:24Zur Zeit wird für die Gerichtspost Briefpost und Fax benutzt, die beide, wenn man so mag, vollkommen unsicher sind und für den Schriftverkehr mit Mandanten immer mehr E-Mail. Hier im Unternehmen ja sowieso.
Ich teile durchaus die Ansicht, dass man für die Praxis esoterische Sicherheitsbedenken nicht übertreiben soll, muss aber dennoch widersprechen:

Briefpost und Fax sind weitaus sicherer als unverschlüsselter E-Mail-Verkehr (damit ist nicht notwendig eine Ende-zu-Ende-Verschlüsselung gemeint; dasselbe Ziel lässt sich auch mit einer Transportverschlüsselung erreichen, die keinen Fallback auf unverschlüsselten Versand hat und das Zertifikat der Gegenstelle prüft, aber das hat man in der freien Wildbahn in der Breite eben nicht) oder eine andere Form der unverschlüsselten E-Mail-Kommunikation.

Und dass der Austausch personenbezogener Daten per (unverschlüsselter) E-Mail außerhalb geschützter Netze nicht akzeptabel ist, ist ebenfalls offenkundig.

Beides sind daher keine tauglichen Gegenargumente gegen das beA.
Worauf basiert diese Hypothese? Ich bin schon an einigen Gerichten an der Poststelle vorbeigelaufen, und hätte mich an Faxeingängen bedienen können. Das Gleiche gelten für Putzfrau und Wachmann (oder Putzmann und Wachfrau), die man mit einem Fuffi durchaus mal dazu bewegen könnte, in die Faxausgabe zu greifen.
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Atropos
Super Power User
Super Power User
Beiträge: 727
Registriert: Montag 19. November 2007, 19:53

Re: BeA

Beitrag von Atropos »

Ist nicht das eigentliche Problem an Emails nicht unbedingt der Übertragungsweg, sondern die Absicherung des Accounts? Wenn darauf mal Zugriff gewonnen wird, kommt ein Angreifer eben sofort an unglaublich viele Mengen an Daten ran, was bei Akten in Papierform nicht so leicht ist.

Außerdem arbeiten Hacker nach meinem Verständnis oft nicht nach dem Motto "Ich will bei Person X Daten zum Fall Y stehlen" sondern eher "Bei wem hat ein oberflächlicher Scan Sicherheitslücken gezeigt - können wir da was abgreifen?". Letzteres geht bei allen digitalen Dingen einfach besser.

Beispiel: Es gibt ja schon einen Fall, dass in Macau ansässige Chinesen in den USA dafür angeklagt wurden, amerikanische Law Firms gehackt und dann mit den erlangten Informationen Insider-Trading betrieben zu haben: https://www.reuters.com/article/us-cybe ... SKBN14G1D5. Fände ich spontan schwer vorstellbar in einer analogen Welt?
Benutzeravatar
thh
Super Mega Power User
Super Mega Power User
Beiträge: 5278
Registriert: Dienstag 18. August 2009, 15:04
Ausbildungslevel: Interessierter Laie

Re: BeA

Beitrag von thh »

Kasimir hat geschrieben: Donnerstag 21. Juni 2018, 10:47
thh hat geschrieben: Donnerstag 21. Juni 2018, 10:20 Briefpost und Fax sind weitaus sicherer als unverschlüsselter E-Mail-Verkehr (damit ist nicht notwendig eine Ende-zu-Ende-Verschlüsselung gemeint; dasselbe Ziel lässt sich auch mit einer Transportverschlüsselung erreichen, die keinen Fallback auf unverschlüsselten Versand hat und das Zertifikat der Gegenstelle prüft, aber das hat man in der freien Wildbahn in der Breite eben nicht) oder eine andere Form der unverschlüsselten E-Mail-Kommunikation.
Worauf basiert diese Hypothese?
Auf der Betrachtung des Übertragungsweges.
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: BeA

Beitrag von Ara »

Atropos hat geschrieben: Sonntag 24. Juni 2018, 15:24 Ist nicht das eigentliche Problem an Emails nicht unbedingt der Übertragungsweg, sondern die Absicherung des Accounts? Wenn darauf mal Zugriff gewonnen wird, kommt ein Angreifer eben sofort an unglaublich viele Mengen an Daten ran, was bei Akten in Papierform nicht so leicht ist.
1. Das ist nicht zwingend ein Problem. Die Mails können ja sofort auf dem Mailserver gelöscht werden.
2. Sind mehr und mehr Faxe auch heute natürlich digital und werden nicht mehr ausgedruckt. Da haste dann das selbe Problem.
Atropos hat geschrieben: Sonntag 24. Juni 2018, 15:24 Außerdem arbeiten Hacker nach meinem Verständnis oft nicht nach dem Motto "Ich will bei Person X Daten zum Fall Y stehlen" sondern eher "Bei wem hat ein oberflächlicher Scan Sicherheitslücken gezeigt - können wir da was abgreifen?". Letzteres geht bei allen digitalen Dingen einfach besser.
Das kommt ganz drauf an. Letzteres macht bei Gerichten und Anwälten aber keinen Sinn. Was will ich als "Hacker" denn damit, wenn ich die Gerichtspost habe? Hier ist eigentlich nur ein gezielter Angriff überhaupt sinnvoll denkbar.
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Antworten