BeA

Für alle Themen, die in der Rechtspraxis auftauchen, inkl. Fragen zu Kanzlei-Software

Moderator: Verwaltung

Antworten
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

Phaidros hat geschrieben:Siehe zum Thema Weitergabe/Hinterlegung auch den beA-Newsletter 42/2017, "Ich unterschreib‘ doch nicht blanko!":
Als Inhaber/in einer beA-Karte sind Sie gesetzlich verpflichtet (§ 26 I RAVPV), die Karte keiner weiteren Person zu überlassen und die dem Zertifikat zugehörige Zertifikats-PIN geheim zu halten. [...] Bei entsprechender Rechteverteilung kann Ihr Kanzleipersonal Sie maximal bei der Arbeit mit Ihrem beA unterstützen, ohne dass die beschriebenen Risiken eintreten. Dazu braucht jeder Mitarbeiter eine eigene beA-Karte Mitarbeiter [...]
(Hervorhebung d. Verf.)

(Und ab dem 1. Januar kann/darf/muss man auch seine gespaltene Persönlichkeit in einer zweiten Kanzlei mit einer zweiten eigenen beA-Karte versehen.)
Diese in dem BRAK-Beitrag geäußerte Auffassung und Praxis ist denkbar wesensfremd. "Sie unterschreiben doch nicht blanko." Ja klar, jeder Anwalt unterschreibt jedenfalls quasi blanko. Ich unterschreibe z.B. einen Schriftsatz (der mir komplett vorgelegt wird) auf der letzten Seite und dann ggf. noch die Seiten der Beglaubigungen. Aber habe ich die Kontrolle, ob die Reno den Schriftsatz korrekt faxt und nicht vielleicht eine veränderte Fassung? Nein, natürlich nicht. Dazu müsste ich den Schriftsatz paraphieren, was niemand macht.

Zudem ist § 26 RVPV denkbar stümperhaft. In Abs. 2 wird durchgängig von "unbefugten Personen" gesprochen. Das lässt durchaus den Schluss zu, dass es neben des neben der Person des Karteninhabers (sonst hätte man diese an dieser Stelle im Sinne einer Negativabgrenzung aufführen können), weitere befugte Personen gibt. Und wie gesagt, es geht auch jeglicher Realität vorbei. Natürlich darf ich Hilspersonen wie Boten einschalten.

Das Problem ist, dass die technische Umsetzung so steinzeitlich erfolgt ist, dass man die Hände über dem Kopf zusammenschlagen möchte. Eine IT-Lösung mit eigener Zugangskarte? Es wird sich nur eine Lösung durchsetzen, von der man von überall und ohne Karte zugreifen kann. Deshalb sind auch Verfahren wie der elektronische Personalausweis, DE-Mail, ePost etc. krachend gescheitert. Die ganzen Konzepte sind von der Usability nicht durchdacht und auf dem Stand von vor 10 Jahren. Heute nutzt auch niemand mehr TAN-Papierlisten oder sonstige physische Hilfsmittel, sondern Zugang zum Konto und Überweisungen sind per TAN (Two Factor Identification) möglich. Warum sollte das nicht auf für das beA gehen? Es gibt keine Weiterleitung per E-Mail, keine App. Bei jeder Bank kann ich heute Millionentransaktionen per App und Fingerabdruck Identifizierung am Mobiltelefon machen, aber auf das beA soll man nur über ein gesondertes Portal zugreifen können? Das ist so albern, dass es schon wieder traurig ist.
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Benutzeravatar
Einwendungsduschgriff
Fossil
Fossil
Beiträge: 14744
Registriert: Mittwoch 28. Juni 2006, 19:16
Ausbildungslevel: Doktorand

Re: BeA

Beitrag von Einwendungsduschgriff »

Kasimir hat geschrieben:
Phaidros hat geschrieben:Siehe zum Thema Weitergabe/Hinterlegung auch den beA-Newsletter 42/2017, "Ich unterschreib‘ doch nicht blanko!":
Als Inhaber/in einer beA-Karte sind Sie gesetzlich verpflichtet (§ 26 I RAVPV), die Karte keiner weiteren Person zu überlassen und die dem Zertifikat zugehörige Zertifikats-PIN geheim zu halten. [...] Bei entsprechender Rechteverteilung kann Ihr Kanzleipersonal Sie maximal bei der Arbeit mit Ihrem beA unterstützen, ohne dass die beschriebenen Risiken eintreten. Dazu braucht jeder Mitarbeiter eine eigene beA-Karte Mitarbeiter [...]
(Hervorhebung d. Verf.)

(Und ab dem 1. Januar kann/darf/muss man auch seine gespaltene Persönlichkeit in einer zweiten Kanzlei mit einer zweiten eigenen beA-Karte versehen.)
Diese in dem BRAK-Beitrag geäußerte Auffassung und Praxis ist denkbar wesensfremd. "Sie unterschreiben doch nicht blanko." Ja klar, jeder Anwalt unterschreibt jedenfalls quasi blanko. Ich unterschreibe z.B. einen Schriftsatz (der mir komplett vorgelegt wird) auf der letzten Seite und dann ggf. noch die Seiten der Beglaubigungen. Aber habe ich die Kontrolle, ob die Reno den Schriftsatz korrekt faxt und nicht vielleicht eine veränderte Fassung? Nein, natürlich nicht. Dazu müsste ich den Schriftsatz paraphieren, was niemand macht.

Zudem ist § 26 RVPV denkbar stümperhaft. In Abs. 2 wird durchgängig von "unbefugten Personen" gesprochen. Das lässt durchaus den Schluss zu, dass es neben des neben der Person des Karteninhabers (sonst hätte man diese an dieser Stelle im Sinne einer Negativabgrenzung aufführen können), weitere befugte Personen gibt. Und wie gesagt, es geht auch jeglicher Realität vorbei. Natürlich darf ich Hilspersonen wie Boten einschalten.

Das Problem ist, dass die technische Umsetzung so steinzeitlich erfolgt ist, dass man die Hände über dem Kopf zusammenschlagen möchte. Eine IT-Lösung mit eigener Zugangskarte? Es wird sich nur eine Lösung durchsetzen, von der man von überall und ohne Karte zugreifen kann. Deshalb sind auch Verfahren wie der elektronische Personalausweis, DE-Mail, ePost etc. krachend gescheitert. Die ganzen Konzepte sind von der Usability nicht durchdacht und auf dem Stand von vor 10 Jahren. Heute nutzt auch niemand mehr TAN-Papierlisten oder sonstige physische Hilfsmittel, sondern Zugang zum Konto und Überweisungen sind per TAN (Two Factor Identification) möglich. Warum sollte das nicht auf für das beA gehen? Es gibt keine Weiterleitung per E-Mail, keine App. Bei jeder Bank kann ich heute Millionentransaktionen per App und Fingerabdruck Identifizierung am Mobiltelefon machen, aber auf das beA soll man nur über ein gesondertes Portal zugreifen können? Das ist so albern, dass es schon wieder traurig ist.
Würde es Dich jetzt wundern, wenn mir nach diesem Posting nur Pippi Langstrumpf als Assoziation einfällt? Ich finde es ehrlich gesagt etwas befremdlich, wenn Du Deine faktisch unvertretbare Rechtsauffassung nun mit einem Hinweis auf die "stümperhafte" Rechtssetzung abtust. Das wirkt wenig souverän. Warum sagst Du nicht einfach: Okay, habe mich geirrt, aber der Gesetzgeber hätte das anders regeln müssen. (?)

Wer sich einmal intensiv mit IT-Sicherheit beschäftigt hat, schüttelt den Kopf über diesen App-Wahn und diese einfache "Usability", die alle Welt so gerne möchte. Aber gut, wer seine Datensicherheit und IT-Sicherheit zugunsten unausgereifter Systeme abgeben möchte: nur zu. Ist ein wenig so, als würde man mit einem Fahrradhelm ein hochgezüchtetes Rennmotorrad fahren wollen.

(Nebenbei: ich sehe genug paraphrierte Schriftsätze. Macht also doch jemand. Überraschung. Und selbstverständlich nutze ich noch TAN-Listen.)
Hier gibt's nichts zu lachen, erst recht nichts zu feiern.
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

Einwendungsduschgriff hat geschrieben:
Kasimir hat geschrieben:
Phaidros hat geschrieben:Siehe zum Thema Weitergabe/Hinterlegung auch den beA-Newsletter 42/2017, "Ich unterschreib‘ doch nicht blanko!":
Als Inhaber/in einer beA-Karte sind Sie gesetzlich verpflichtet (§ 26 I RAVPV), die Karte keiner weiteren Person zu überlassen und die dem Zertifikat zugehörige Zertifikats-PIN geheim zu halten. [...] Bei entsprechender Rechteverteilung kann Ihr Kanzleipersonal Sie maximal bei der Arbeit mit Ihrem beA unterstützen, ohne dass die beschriebenen Risiken eintreten. Dazu braucht jeder Mitarbeiter eine eigene beA-Karte Mitarbeiter [...]
(Hervorhebung d. Verf.)

(Und ab dem 1. Januar kann/darf/muss man auch seine gespaltene Persönlichkeit in einer zweiten Kanzlei mit einer zweiten eigenen beA-Karte versehen.)
Diese in dem BRAK-Beitrag geäußerte Auffassung und Praxis ist denkbar wesensfremd. "Sie unterschreiben doch nicht blanko." Ja klar, jeder Anwalt unterschreibt jedenfalls quasi blanko. Ich unterschreibe z.B. einen Schriftsatz (der mir komplett vorgelegt wird) auf der letzten Seite und dann ggf. noch die Seiten der Beglaubigungen. Aber habe ich die Kontrolle, ob die Reno den Schriftsatz korrekt faxt und nicht vielleicht eine veränderte Fassung? Nein, natürlich nicht. Dazu müsste ich den Schriftsatz paraphieren, was niemand macht.

Zudem ist § 26 RVPV denkbar stümperhaft. In Abs. 2 wird durchgängig von "unbefugten Personen" gesprochen. Das lässt durchaus den Schluss zu, dass es neben des neben der Person des Karteninhabers (sonst hätte man diese an dieser Stelle im Sinne einer Negativabgrenzung aufführen können), weitere befugte Personen gibt. Und wie gesagt, es geht auch jeglicher Realität vorbei. Natürlich darf ich Hilspersonen wie Boten einschalten.

Das Problem ist, dass die technische Umsetzung so steinzeitlich erfolgt ist, dass man die Hände über dem Kopf zusammenschlagen möchte. Eine IT-Lösung mit eigener Zugangskarte? Es wird sich nur eine Lösung durchsetzen, von der man von überall und ohne Karte zugreifen kann. Deshalb sind auch Verfahren wie der elektronische Personalausweis, DE-Mail, ePost etc. krachend gescheitert. Die ganzen Konzepte sind von der Usability nicht durchdacht und auf dem Stand von vor 10 Jahren. Heute nutzt auch niemand mehr TAN-Papierlisten oder sonstige physische Hilfsmittel, sondern Zugang zum Konto und Überweisungen sind per TAN (Two Factor Identification) möglich. Warum sollte das nicht auf für das beA gehen? Es gibt keine Weiterleitung per E-Mail, keine App. Bei jeder Bank kann ich heute Millionentransaktionen per App und Fingerabdruck Identifizierung am Mobiltelefon machen, aber auf das beA soll man nur über ein gesondertes Portal zugreifen können? Das ist so albern, dass es schon wieder traurig ist.
Würde es Dich jetzt wundern, wenn mir nach diesem Posting nur Pippi Langstrumpf als Assoziation einfällt? Ich finde es ehrlich gesagt etwas befremdlich, wenn Du Deine faktisch unvertretbare Rechtsauffassung nun mit einem Hinweis auf die "stümperhafte" Rechtssetzung abtust. Das wirkt wenig souverän. Warum sagst Du nicht einfach: Okay, habe mich geirrt, aber der Gesetzgeber hätte das anders regeln müssen. (?)

Wer sich einmal intensiv mit IT-Sicherheit beschäftigt hat, schüttelt den Kopf über diesen App-Wahn und diese einfache "Usability", die alle Welt so gerne möchte. Aber gut, wer seine Datensicherheit und IT-Sicherheit zugunsten unausgereifter Systeme abgeben möchte: nur zu. Ist ein wenig so, als würde man mit einem Fahrradhelm ein hochgezüchtetes Rennmotorrad fahren wollen.

(Nebenbei: ich sehe genug paraphrierte Schriftsätze. Macht also doch jemand. Überraschung. Und selbstverständlich nutze ich noch TAN-Listen.)
;)

Klar, § 26 Abs. 1 RVPV ist recht klar und ich würde in der Tat auch nicht darauf setzen, dass man seine Zugangskarte insoweit weitergeben darf. Ich kannte die Vorschrift gar nicht; offen gestanden. D.h. insoweit lag ich natürlich falsch.

Was ich zum Ausdruck bringen wollte: Die Praxis wird sich daran nicht stören und ich kenne mehrere Kanzleien, in den denen wie von mir beschrieben verfahren wird. Und IT-Sicherheit ist wichtig, darf aber auch keine heilige Kuh sein, mit der neue Entwicklungen gebremst werden. Ist denn analog wirklich besser? In wie vielen Kanzleien liegen heute z.B. Akten rum, welche die Putzfrau kopieren könnte. Ein Kollege erzählte mir, er habe bei einem Vorstellungsgespräch im Büro eines GK-Partners gesessen und hinter ihm im Büro habe eine Akte mit der Bezeichnung "Öffentliche Übernahme XY AG durch Z Private Equity Fonds" mit vollem Unternehmensnamen gestanden. Ich erinnere mich auch an die Rundmail, welche bei uns einmal durch die Kanzlei ging: "Anruf beim Empfang: In der Kneipe "Zum Kutschereck" wurde eine Akte von uns gefunden. Wer hat sie dort verloren?".

Wer sich einmal mit Esten unterhält, merkt schnell, dass man dort ein ganz anderes Risikobewusstsein hat. Offline ist nicht sicherer und niemand sagt das Online risikolos ist. Selbst nach der jüngsten Kreditkartendatenpanne ist das Vertrauen nicht gesunken. Und jeder kann auch einmal auf seine persönlichen Erfahrungswerte schauen: Bei jeder verdächtigen Transaktion meldet sich sofort meine Bank und fragt, ob sie diese Transaktion tatsächlich durchführen soll (z.B. letztens Flugbuchung in Asien). Als mir vor 20 Jahren in den USA eine Putzfrau einen Scheck gestohlen und in Höhe von 500 USD eingelöst hat, fiel dies erst am Monatsende auf und ich bin auf dem Schaden sitzen geblieben...
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Benutzeravatar
Tibor
Fossil
Fossil
Beiträge: 16441
Registriert: Mittwoch 9. Januar 2013, 23:09
Ausbildungslevel: Ass. iur.

Re: BeA

Beitrag von Tibor »

Meines Erachtens wird BeA wie EGVP scheitern, wenn man es nicht in die üblichen Mailprogramme integriert bekommt. Im Zweifel wird es nämlich in der Praxis darauf hinauslaufen, dass die Karte bei der Sekretärin verbleibt und diese empfängt und an den RA weiterleitet (per einfacher Email / Scan / whatever). Das ist ganz gut mit Online-Banking vergleichbar; früher hat man einfach die iTAN Liste für die Buchhalterin kopiert, heute gibt man ihr gleich die HBCI Karte. Zu hohe Sicherheitsanforderungen sind kontraproduktiv, das erkennt man schon bei diesen wir müssen alle drei Monate das Passwort umstellen und am Ende sind es immer die gleichen sinnlosen Passwörter nach Schema Vornamedeskindes_Geburtsjahr. Die BeA Karte im Sekretariat ist eben faktisch eine Blankounterschrift für kommende Empfangsbekenntnisse.

Der Vergleich mit der analogen Welt hinkt aber, denn dann braucht man immer den räumlichen Zugriff auf die Akten, ob nun in der Kneipe oder im Büro. Akten werden sicherlich auch nicht häufiger im Park verloren, als Emails/Faxe an falsche Empfänger übermittelt werden.
"Just blame it on the guy who doesn't speak English. Ahh, Tibor, how many times you've saved my butt."
Benutzeravatar
Tikka
Mega Power User
Mega Power User
Beiträge: 3048
Registriert: Montag 23. Februar 2009, 09:48
Ausbildungslevel: Schüler

Re: BeA

Beitrag von Tikka »

Tibor hat geschrieben:Meines Erachtens wird BeA wie EGVP scheitern, wenn man es nicht in die üblichen Mailprogramme integriert bekommt.
Oder zumindest in alle gängigen Anwaltssoftwareprogramme. (Das ist noch nicht mal in Sicht)

Je länger ich mich notgedrungen mit dem Thema beschäftige, desto mehr fällt mir auf wie unpraktikabel das System ist.
Zu hohe Sicherheitsanforderungen sind kontraproduktiv
Ja, denn der höchste Unsicherheitsfaktor ist und bleibt der Mensch. Und der wird wie immer Workarounds schaffen, wenn die Sicherheitsanforderungen zu hoch sind bzw. das System zu umständlich.

Ich habe immer mehr den Eindruck, dass der Misserfolg des beA zumindest in Kauf genommen wird.
Keine Experimente! Wählt Adenauer.
Benutzeravatar
immer locker bleiben
Fossil
Fossil
Beiträge: 10448
Registriert: Mittwoch 28. November 2007, 18:06
Ausbildungslevel: RA

Re: BeA

Beitrag von immer locker bleiben »

Kasimir hat geschrieben:
Phaidros hat geschrieben:Siehe zum Thema Weitergabe/Hinterlegung auch den beA-Newsletter 42/2017, "Ich unterschreib‘ doch nicht blanko!":
Als Inhaber/in einer beA-Karte sind Sie gesetzlich verpflichtet (§ 26 I RAVPV), die Karte keiner weiteren Person zu überlassen und die dem Zertifikat zugehörige Zertifikats-PIN geheim zu halten. [...] Bei entsprechender Rechteverteilung kann Ihr Kanzleipersonal Sie maximal bei der Arbeit mit Ihrem beA unterstützen, ohne dass die beschriebenen Risiken eintreten. Dazu braucht jeder Mitarbeiter eine eigene beA-Karte Mitarbeiter [...]
(Hervorhebung d. Verf.)

(Und ab dem 1. Januar kann/darf/muss man auch seine gespaltene Persönlichkeit in einer zweiten Kanzlei mit einer zweiten eigenen beA-Karte versehen.)
Diese in dem BRAK-Beitrag geäußerte Auffassung und Praxis ist denkbar wesensfremd. "Sie unterschreiben doch nicht blanko." Ja klar, jeder Anwalt unterschreibt jedenfalls quasi blanko. Ich unterschreibe z.B. einen Schriftsatz (der mir komplett vorgelegt wird) auf der letzten Seite und dann ggf. noch die Seiten der Beglaubigungen. Aber habe ich die Kontrolle, ob die Reno den Schriftsatz korrekt faxt und nicht vielleicht eine veränderte Fassung? Nein, natürlich nicht. Dazu müsste ich den Schriftsatz paraphieren, was niemand macht.

Zudem ist § 26 RVPV denkbar stümperhaft. In Abs. 2 wird durchgängig von "unbefugten Personen" gesprochen. Das lässt durchaus den Schluss zu, dass es neben des neben der Person des Karteninhabers (sonst hätte man diese an dieser Stelle im Sinne einer Negativabgrenzung aufführen können), weitere befugte Personen gibt. Und wie gesagt, es geht auch jeglicher Realität vorbei. Natürlich darf ich Hilspersonen wie Boten einschalten.

Das Problem ist, dass die technische Umsetzung so steinzeitlich erfolgt ist, dass man die Hände über dem Kopf zusammenschlagen möchte. Eine IT-Lösung mit eigener Zugangskarte? Es wird sich nur eine Lösung durchsetzen, von der man von überall und ohne Karte zugreifen kann. Deshalb sind auch Verfahren wie der elektronische Personalausweis, DE-Mail, ePost etc. krachend gescheitert. Die ganzen Konzepte sind von der Usability nicht durchdacht und auf dem Stand von vor 10 Jahren. Heute nutzt auch niemand mehr TAN-Papierlisten oder sonstige physische Hilfsmittel, sondern Zugang zum Konto und Überweisungen sind per TAN (Two Factor Identification) möglich. Warum sollte das nicht auf für das beA gehen? Es gibt keine Weiterleitung per E-Mail, keine App. Bei jeder Bank kann ich heute Millionentransaktionen per App und Fingerabdruck Identifizierung am Mobiltelefon machen, aber auf das beA soll man nur über ein gesondertes Portal zugreifen können? Das ist so albern, dass es schon wieder traurig ist.
Das Kartensystem ist das sicherste (mit Abstand). Und: Du kannst die Karte und den Leser ja mitnehmen, wo ist das Problem?
You might remember me from such posts as this.
Bild
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

immer locker bleiben hat geschrieben:
Kasimir hat geschrieben:
Phaidros hat geschrieben:Siehe zum Thema Weitergabe/Hinterlegung auch den beA-Newsletter 42/2017, "Ich unterschreib‘ doch nicht blanko!":
Als Inhaber/in einer beA-Karte sind Sie gesetzlich verpflichtet (§ 26 I RAVPV), die Karte keiner weiteren Person zu überlassen und die dem Zertifikat zugehörige Zertifikats-PIN geheim zu halten. [...] Bei entsprechender Rechteverteilung kann Ihr Kanzleipersonal Sie maximal bei der Arbeit mit Ihrem beA unterstützen, ohne dass die beschriebenen Risiken eintreten. Dazu braucht jeder Mitarbeiter eine eigene beA-Karte Mitarbeiter [...]
(Hervorhebung d. Verf.)

(Und ab dem 1. Januar kann/darf/muss man auch seine gespaltene Persönlichkeit in einer zweiten Kanzlei mit einer zweiten eigenen beA-Karte versehen.)
Diese in dem BRAK-Beitrag geäußerte Auffassung und Praxis ist denkbar wesensfremd. "Sie unterschreiben doch nicht blanko." Ja klar, jeder Anwalt unterschreibt jedenfalls quasi blanko. Ich unterschreibe z.B. einen Schriftsatz (der mir komplett vorgelegt wird) auf der letzten Seite und dann ggf. noch die Seiten der Beglaubigungen. Aber habe ich die Kontrolle, ob die Reno den Schriftsatz korrekt faxt und nicht vielleicht eine veränderte Fassung? Nein, natürlich nicht. Dazu müsste ich den Schriftsatz paraphieren, was niemand macht.

Zudem ist § 26 RVPV denkbar stümperhaft. In Abs. 2 wird durchgängig von "unbefugten Personen" gesprochen. Das lässt durchaus den Schluss zu, dass es neben des neben der Person des Karteninhabers (sonst hätte man diese an dieser Stelle im Sinne einer Negativabgrenzung aufführen können), weitere befugte Personen gibt. Und wie gesagt, es geht auch jeglicher Realität vorbei. Natürlich darf ich Hilspersonen wie Boten einschalten.

Das Problem ist, dass die technische Umsetzung so steinzeitlich erfolgt ist, dass man die Hände über dem Kopf zusammenschlagen möchte. Eine IT-Lösung mit eigener Zugangskarte? Es wird sich nur eine Lösung durchsetzen, von der man von überall und ohne Karte zugreifen kann. Deshalb sind auch Verfahren wie der elektronische Personalausweis, DE-Mail, ePost etc. krachend gescheitert. Die ganzen Konzepte sind von der Usability nicht durchdacht und auf dem Stand von vor 10 Jahren. Heute nutzt auch niemand mehr TAN-Papierlisten oder sonstige physische Hilfsmittel, sondern Zugang zum Konto und Überweisungen sind per TAN (Two Factor Identification) möglich. Warum sollte das nicht auf für das beA gehen? Es gibt keine Weiterleitung per E-Mail, keine App. Bei jeder Bank kann ich heute Millionentransaktionen per App und Fingerabdruck Identifizierung am Mobiltelefon machen, aber auf das beA soll man nur über ein gesondertes Portal zugreifen können? Das ist so albern, dass es schon wieder traurig ist.
Das Kartensystem ist das sicherste (mit Abstand). Und: Du kannst die Karte und den Leser ja mitnehmen, wo ist das Problem?
Es geht in der IT-Sicherheit um die praktisch sicherste Lösung und nicht die technisch sicherste Lösung. Bestes Beispiel: Best Practice sind heute fest von der IT zugeordnete Passwörter nach zufälligen Zahlenkombinationen. Die kann sich der individuelle User nach einiger Zeit gut merken. Diese Anforderungen "Ein Großbuchstaben, eine Zahl, ein Sonderzeichen" entstammen dem Ansatz, technisch sichere Passwörter zu erfinden, die aber praktisch völlig unsicher sind. Die meisten Benutzer nehmen ihr Lieblingspasswort (Name der Freundin, Name des Haustiers etc.), schreiben den ersten Buchstaben groß, ergänzen danach die Jahreszahl, die letzten beiden Ziffern ihres Geburtsjahres, oder nummerieren (wenn das Passwort geändert werden muss, einfach durch). Wenn dann noch ein Sonderzeichen erforderlich ist, wird daran ein Ausfrufezeichnen gehängt.

Dass Passwörter wie Bello78! oder Brigitte1! nicht sicher sind, muss ich ja niemandem erzählen. Daher: technisch sicher ist nicht immer praktisch sicher.

Und niemand wird Karte und Lesegerät mitschleppen. Abgesehen davon: Wenn man dann an eine Karte kommen möchte, muss man sich nur in die 1. Klasse des ICE Frankfurt/Düsseldorf setzen oder eine beliebige Lufthansa Lounge und Aktentaschen klauen. Sicher?
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Syd26
Super Mega Power User
Super Mega Power User
Beiträge: 3576
Registriert: Montag 8. März 2004, 14:07
Ausbildungslevel: RA

Re: BeA

Beitrag von Syd26 »

Soll man künftig im Urlaub seine Karte, sein Lesegerät und ein Notebook dabei haben?

Solange beA nicht auf Tablets funktioniert, wird die Akzeptanz nicht all zu hoch sein.

Ich habe allmählich auch den Eindruck, dass man ein Scheitern in Kauf nimmt.
"Eine Verschiebung eines Termins setzt jedoch denklogisch voraus, dass vorher ein fester Termin vereinbart worden ist."
Benutzeravatar
Tibor
Fossil
Fossil
Beiträge: 16441
Registriert: Mittwoch 9. Januar 2013, 23:09
Ausbildungslevel: Ass. iur.

Re: BeA

Beitrag von Tibor »

Das Problem ist, dass die Rückkopplung von Nutzer zu Hersteller nicht funktioniert, weil die BRAK sich für oberschlau hält und die Vertreter dort die Arbeitsweise eines Anwalts nicht kennen können/wollen.
"Just blame it on the guy who doesn't speak English. Ahh, Tibor, how many times you've saved my butt."
Benutzeravatar
thh
Super Mega Power User
Super Mega Power User
Beiträge: 5278
Registriert: Dienstag 18. August 2009, 15:04
Ausbildungslevel: Interessierter Laie

Re: BeA

Beitrag von thh »

Syd26 hat geschrieben:Soll man künftig im Urlaub seine Karte, sein Lesegerät und ein Notebook dabei haben?
Besser Karte und Lesegerät als den Drucker, oder? ;)

Unverschlüsselte E-Mails sind aus offensichtlichen Gründen keine Alternative, vgl. zuletzt https://www.heise.de/newsticker/meldung ... 76385.html, und E-Mail-Verschlüsselung funktioniert in der Breite außerhalb sehr technikaffiner Berufe nach meiner Erfahrung nicht wirklich.
Syd26 hat geschrieben:Solange beA nicht auf Tablets funktioniert, wird die Akzeptanz nicht all zu hoch sein.
Das verstehe ich jetzt nicht ganz: das beA soll die bisher postalisch oder per Fax erfolgte Kommunikation mit Gerichten und Behörden ersetzen. Die wenigsten Anwälte werden sich ihre Post in den Urlaub nachsenden lassen oder im Urlaub Schriftsätze drucken oder faxen. Insofern ist die Tatsache, dass eine Kommunikation aus dem Urlaub überhaupt sinnvoll möglich ist, doch bereits ein großer Fortschritt. Weshalb das dann auch zwingend per Tablet möglich sein muss, erschließt sich mir, ehrlich gesagt, nicht.

Jeder andere Workflow - Zugriff auf das Kanzlei-Netzwerk per VPN, Empfang von E-Mails, ... - bleibt ja daneben erhalten, und der Zugriff auf die in Abwesenheit des Anwalts nötigen Funktionen des beA ist, soweit ich sehe, delegierbar.
Benutzeravatar
thh
Super Mega Power User
Super Mega Power User
Beiträge: 5278
Registriert: Dienstag 18. August 2009, 15:04
Ausbildungslevel: Interessierter Laie

Re: BeA

Beitrag von thh »

Tibor hat geschrieben:Das Problem ist, dass die Rückkopplung von Nutzer zu Hersteller nicht funktioniert, weil die BRAK sich für oberschlau hält und die Vertreter dort die Arbeitsweise eines Anwalts nicht kennen können/wollen.
Mag sein. Ich möchte jedoch nicht ausschließen, dass die Arbeitsweise manches Anwalts in mehr oder weniger großem Umfang mit insbesondere datenschutzrechtlichen Vorgaben - zu denen auch die Datensicherheit gehört - nicht vereinbar ist und deshalb für das beA nicht (auch nicht äquivalent) vorgesehen wird.
Ryze
Fleissige(r) Schreiber(in)
Fleissige(r) Schreiber(in)
Beiträge: 127
Registriert: Samstag 14. April 2012, 19:17
Ausbildungslevel: RA

Re: BeA

Beitrag von Ryze »

Syd26 hat geschrieben:Soll man künftig im Urlaub seine Karte, sein Lesegerät und ein Notebook dabei haben?
Wie ist denn derzeit dein Vorgehen, wenn du im Urlaub arbeitest und einen fertigen Schriftsatz verschicken möchtest?

M.E. sollte das System gerade nicht zu stündlichen oder auch nur täglichen Statusberichten, -anfragen und unverfänglichen Nachrichtenspam ("Bitte um Hinweise, falls nicht substantiiert, asap!") führen, sondern als Ersatz für einen per Brief versandten Schriftsatz dienen. Dabei sehe ich nun keinen allzu großen Mehraufwand im Vergleich zur bisherigen analogen Vorgehensweise - mit dem Unterschied, dass eben alles sehr viel schneller geht, weil die Ausführungszeiten von Geschäftsstelle, Sekretariat und Postdienstleister wegfallen. Nach dem Signieren des endgültigen Dokuments, kann das Sekretariat, das über eine eigene Karte verfügt und dem die Rechte hierzu eingeräumt werden kann, mit dem Absenden beauftragt werden. Daher verstehe ich auch nicht, weshalb die eigene Karte im Sekretariat (oder sonstwo) hinterlegt werden sollte, wenn es nicht dazu dienen soll, um unzulässigerweise das Signieren, das ja gerade die Unterschrift ersetzt, ab dem 1.1.2018 zu umgehen. Das wäre in etwa vergleichbar mit dem Fall, dass der Anwalt Briefbögen mit Blankounterschriften aufsetzt und diese seinem Sekretariat zur Verfügung stellt, um Schriftsätze im Bedarfsfall eigenständig zu verschicken.
Kasimir
Super Mega Power User
Super Mega Power User
Beiträge: 3751
Registriert: Sonntag 10. Dezember 2006, 11:18
Ausbildungslevel: RA

Re: BeA

Beitrag von Kasimir »

Ryze hat geschrieben:
Syd26 hat geschrieben:Soll man künftig im Urlaub seine Karte, sein Lesegerät und ein Notebook dabei haben?
Wie ist denn derzeit dein Vorgehen, wenn du im Urlaub arbeitest und einen fertigen Schriftsatz verschicken möchtest?

M.E. sollte das System gerade nicht zu stündlichen oder auch nur täglichen Statusberichten, -anfragen und unverfänglichen Nachrichtenspam ("Bitte um Hinweise, falls nicht substantiiert, asap!") führen, sondern als Ersatz für einen per Brief versandten Schriftsatz dienen. Dabei sehe ich nun keinen allzu großen Mehraufwand im Vergleich zur bisherigen analogen Vorgehensweise - mit dem Unterschied, dass eben alles sehr viel schneller geht, weil die Ausführungszeiten von Geschäftsstelle, Sekretariat und Postdienstleister wegfallen. Nach dem Signieren des endgültigen Dokuments, kann das Sekretariat, das über eine eigene Karte verfügt und dem die Rechte hierzu eingeräumt werden kann, mit dem Absenden beauftragt werden. Daher verstehe ich auch nicht, weshalb die eigene Karte im Sekretariat (oder sonstwo) hinterlegt werden sollte, wenn es nicht dazu dienen soll, um unzulässigerweise das Signieren, das ja gerade die Unterschrift ersetzt, ab dem 1.1.2018 zu umgehen. Das wäre in etwa vergleichbar mit dem Fall, dass der Anwalt Briefbögen mit Blankounterschriften aufsetzt und diese seinem Sekretariat zur Verfügung stellt, um Schriftsätze im Bedarfsfall eigenständig zu verschicken.
Auch das geht doch völlig an der Realität vorbei. Und bei allen Unkenrufen betreffend der IT-Sicherheit: Wie kann es sein, dass in anderen europäischen Ländern normal elektronisch ohne Karte mit Gerichten kommuniziert werden kann. Wenn man die Kollegen nach Missbrauch fragt, zucken die nur mit den Schultern und sagen "Gibt es nicht. Da kann doch nicht mehr passieren als bei der Post." Und genau so ist es doch auch.
Eichhörnchen, Eichhörnchen wo sind deine Nüsse?
Benutzeravatar
Einwendungsduschgriff
Fossil
Fossil
Beiträge: 14744
Registriert: Mittwoch 28. Juni 2006, 19:16
Ausbildungslevel: Doktorand

Re: BeA

Beitrag von Einwendungsduschgriff »

Kasimir hat geschrieben:Auch das geht doch völlig an der Realität vorbei. Und bei allen Unkenrufen betreffend der IT-Sicherheit: Wie kann es sein, dass in anderen europäischen Ländern normal elektronisch ohne Karte mit Gerichten kommuniziert werden kann. Wenn man die Kollegen nach Missbrauch fragt, zucken die nur mit den Schultern und sagen "Gibt es nicht. Da kann doch nicht mehr passieren als bei der Post." Und genau so ist es doch auch.
Ich wollte Dein Beispiel Estland nicht aufgreifen, sehe mich aber nun veranlasst dazu: bei einer Studienreise nach Tallinn hatten wir auch die intensive Gelegenheit mit dortigen Experten zum Thema Digitalisierung zu sprechen. Selbst die Kolleginnen und Kollegen von uns, die mit Datenschutz und IT-Sicherheit nichts zu tun haben beziehungsweise darin nicht im Ansatz heilige Kühe sehen, waren stellenweise entsetzt über die dort bereitgestellte Infrastuktur und die Ausgestaltung. Das liegt vornehmlich daran, dass im skandinavischen Raum wie auch mustergültig in Estland andere gesellschaftliche Regeln für solche Prozesse gelten. Auf unsere Bedenken kam dann auch regelmäßig die Aussage: Datenschutz und IT-Sicherheit interessieren uns wenig, wir nutzen das als Wachtstumsfaktor. Und natürlich gibt es Missbrauch, wenn man sich einmal näher mit norwegischen, schwedischen und estnischen Medien befasst.

Im Übrigen ist Dein Verständnis von IT-Sicherheit ein sehr eigenes: es geht nicht darum, ob die Post sicherer ist. Aber warum auf ein System setzen, bevor die Anwender etwas davon verstanden haben? Jeder weiß, dass Papierakten da sind, wo sie sind, wer sie (potentiell) einsehen kann. Das Wissen im elektronischen Rechtsverkehr entsteht doch erst. Ich beschäftigte mich seit langer Zeit mit damit zusammenhängenden und verwandten Fragen und würde mich nicht in der Lage sehen, das vollumfänglich zu überblicken und risikofrei anzuwenden. Wie soll das dann erst funktionieren, wenn "Laien" damit umgehen?
Hier gibt's nichts zu lachen, erst recht nichts zu feiern.
Benutzeravatar
thh
Super Mega Power User
Super Mega Power User
Beiträge: 5278
Registriert: Dienstag 18. August 2009, 15:04
Ausbildungslevel: Interessierter Laie

Re: BeA

Beitrag von thh »

Einwendungsduschgriff hat geschrieben:Ich wollte Dein Beispiel Estland nicht aufgreifen, sehe mich aber nun veranlasst dazu: bei einer Studienreise nach Tallinn hatten wir auch die intensive Gelegenheit mit dortigen Experten zum Thema Digitalisierung zu sprechen. Selbst die Kolleginnen und Kollegen von uns, die mit Datenschutz und IT-Sicherheit nichts zu tun haben beziehungsweise darin nicht im Ansatz heilige Kühe sehen, waren stellenweise entsetzt über die dort bereitgestellte Infrastuktur und die Ausgestaltung.
https://www.heise.de/newsticker/meldung ... 22597.html

Das Problem dabei ist, dass - auf der Karte erzeugte und nicht nur dort gespeicherte - geheime Schlüssel potentiell aus dem öffentlichen Schlüssel faktorisierbar sind, also dupliziert werden können: https://wccftech.com/roca-worse-krack-crypto-keys-risk/ Deshalb hat man die Datenbank der öffentlichen Schlüssel offline genommen. Um die Sicherheitslücke zu beseitigen, müssen die Schlüssel aber neu erzeugt (und ggf. vorher die Karten getauscht) werden.

Aber was soll andererseits daran problematisch sein, wenn jemand meine Unterschrift fälschen kann, ohne dass diese Fälschung erkennbar ist oder auch nur erkennbar sein könnte? ;)
Einwendungsduschgriff hat geschrieben:Wie soll das dann erst funktionieren, wenn "Laien" damit umgehen?
Denen pflegt das regelmäßig - nicht zuletzt aus Unkenntnis - völlig egal zu sein, ggf. bis einmal etwas passiert.

Wenn ich mich da an die ernst gemeinten Warnmeldungen erinnere, dass man - wer hätte das gedacht?! - in einer weitergeleiteten E-Mail deren Inhalt anpassen kann, ohne dass der Empfänger das erkennen kann, scheinen mir die Kenntnisse über Risiken und Manipulationsmöglichkeiten, den damit verbundenen Aufwand und Erkennungsmöglichkeiten selbst bei einem viele Jahrzehnte alten Medium wie der E-Mail doch - gelinde gesagt - wenig verbreitet. Wer aber die Technik und die Risiken nicht wirklich kennt, kann auch keine tragfähige Risikoabschätzung wahrnehmen. Ungeachtet der strengen Einhaltung datenschutzrechtlicher Vorschriften ist den meisten Menschen - ersichtlich aber nicht allen - klar, dass es keine gute Idee ist, Akten sichtbar im Auto liegen zu lassen, sie in der Bahn vor den Augen von Mitfahrern auszubreiten oder dort Schriftsätze abzudiktieren, während das Großraumabteil zuhört. Man kann aber das - weitgehend theoretische - Risiko, dass Postsendungen oder Telefaxe abgefangen werden, ganz gut abschätzen. Mit den - teilweise ebenfalls eher theoretische, teilweise aber auch sehr praktischen - Risiken der elektronischen Kommunikation gelingt das regelmäßig nicht annähernd so gut.
Antworten