Feature Request: Besonderes elektronisches Anwaltspostfach

  • Liebe Foren-Mitglieder,


    keine Ahnung, ob ich hier richtig bin, aber vielleicht kann mich hier auch nur jemand "in die richtige Richtung" schicken: Ab dem 1.1.2016 wird das "besondere elektronische Anwaltspostfach" (beA) für alle Rechtsanwältinnen und Rechtsanwälte in Deutschland eingeführt. Dieses Postfach erlaubt den Versand und den Empfang signierter und verschlüsselter Nachrichten und soll in der Standard-Version über eine Web-Oberfläche betrieben werden; ausführliche Informationen bei der Bundesrechtsanwaltskammer: http://bea.brak.de/.


    Nun nutzen viele Rechtsanwältinnen und Rechtsanwälte als E-Mail Client Thunderbird. Diverse kommerzielle Produkte haben bereits Schnittstellen für das beA entwickelt oder behaupten, solche entwickelt zu haben (...). Die Bundesrechtsanwaltskammer stellt für Entwicklerinnen und Entwickler wohl auch die erforderlichen Schnittstellen zur Verfügung.


    Meine Frage ist nun: Wie startet man nun am besten einen "Feature-Request", um Entwicklerinnen und Entwickler zu finden, die eine Integration des beA in Thunderbird in Angriff nehmen? Ich gehe davon aus, dass man mit einer Crowdfunding-Kampagne sehr viele interessierte Anwältinnen und Anwälte ansprechen könnte, die für die Entwicklung eines solchen Add-ons im quelloffenen Format einiges spenden würden.


    Jemand 'ne Idee? Oder selbst interessierte Entwicklerin/interessierter Entwickler?


    Danke euch!


    Thorsten

  • Hallo,


    also, wenn ich kurz in den Beschreibungen der

    Zitat

    Bundesrechtsanwaltskammer> Was braucht man für das beA?
    Der Zugriff auf das beA wird einerseits über einen der gängigen Internetbrowser – Firefox, Safari, Chrome, Internet Explorer – erfolgen...
    ... Andererseits kann das beA auch über eine Kanzleisoftware genutzt werden....


    nachlese, geht das bislang nicht mit einem Standard-Mailclient.

  • Hallo Thorsten,


    auch ich wage ernsthaft zu bezweifeln (wundere mich aber bei so manchen neuen, die IT betreffenden dt. Gesetzten über gar nichts mehr ...) dass es gewollt ist, dieses "beA" über einen normalen Mailclient wie den Thunderbird und anderen bedienen zu lassen.


    Warum?
    Die Bundesrechtsanwaltskammer schreibt auf ihrer Webseite völlig zu Recht (und das erwarte ich einfach von einem derartigen Projekt!) dass hier besondere Sicherheitsanforderungen zu beachten sind. Auch wenn nicht extra erwähnt, gehe ich davon aus, dass hier unter anderem das dt. Signaturgesetz zum Tragen kommt. Und dieses fordert, dass auch die so genannte "sichere Signaturerstellungseinheit" und auch die Einrichtung zur Prüfung der el. Signatur (also die Programme zum Senden und zum Empfang der Mails incl. Erzeugung und Prüfung der Signatur) für diese Aufgabe evaluiert und zugelassen sein müssen. Eine derartige Evaluierung, welche von der Bundesnetzagentur in Zusammenarbeit mit dem BSI erfolgt, kostet so richtig Geld. Und dieses muss derjenige bezahlen, der eine derartige Evaluierung seines Produktes bei der Behörde einreicht. (Nebenbei: eine derartige Evaluierung und Zulassung ist schon erforderlich, wenn als PersDat eingestufte Daten übertragen werden sollen! Also schon eine heutzutage "normale" Mail mit ein paar Personaldaten ist eigentlich schon ein Verstoß, egal ob verschlüsselt oder gar unverschlüsselt!)


    Aus der (recht wenig Informationen liefernden) Dokumentation der Bundesrechtsanwaltskammer geht deswegen eindeutig hervor, dass dieses Projekt auf einer Browsergestützten Anwendung aufbaut. Diese Anwendung kann und wird durch die genannten Behörden selbstverständlich evaluiert und zugelassen werden.
    Durch die somit erzwungene Nutzung eines geprüften und zugelassenen Produktes kann man schon eine ganze Menge an Schwachstellen, welche auf den üblichen, nicht immer perfekt gewarteten Bürorechnern auftreten, vermeiden.
    (Auch hier ein "Nebenbei": Das gleich auf der Starteite http://bea.brak.de/ erwähnte "Hochsicherheitsmodul" HSM heißt in Wirklichkeit "Hardware Sicherheitsmodul". Ich hoffe mal, es bleibt der einzige Fehler.)


    Auch wenn ich persönlich hinter das Wort "Webmail-Client" fast immer ein "<grusel>" folgen lasse, bei Anwendungen wie DE-Mail (auch wenn ich das persönlich nicht nutzen werde) und eben jenem "beA" befürworte ich die geprüfte Webanwendung und würde mich gegen die Nutzung von "normalen" Mailclients aussprechen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke für eure Rückmeldungen!


    Vielleicht habe ich hier tatsächlich die Sicherheitsbestimmungen unterschätzt; ich bin davon ausgegangen, dass das, was "Kanzleisoftware" kann (und das sind ja auch schlicht eigenständige Programme, die wie ein "Mailclient" funktionieren) auch ein Add-on für Thunderbird können müsste. Was die Kosten angeht, gehe ich wie gesagt davon aus, dass man da angesichts des doch eher *riesigen* Marktes und der nicht unerheblichen wirtschaftlichen Bedeutung für die betroffenen Rechtsanwält*innen einiges an Geld zusammenbekommen könnte. Wäre eben die Frage, ob es einem Add-on gelänge, eine Sicherheitsüberprüfung des BSI zu überstehen - eine "sichere" Integration von GPG scheint ja auch möglich zu sein. Aber hier spricht jemand, der sich mit der konkreten Sicherheitsarchitektur leider nicht hinreichend auskennt.

  • Hallo Thorsten,


    eine "sichere" Integration von GPG scheint ja auch möglich zu sein

    Du hast bei Deinen Überlegungen einen wichtigen Punkt nicht bedacht. PGP ist zwar sicher im Sinne der Verschlüsselung. Was es aber nicht leistet, ist die sichere Überprüfung des Absenders. Ich kann mir die E-Mail-Adresse [email='Lieschen.Mueller@irendwas.de'][/email] besorgen und dazu passende PGP-Schlüssel erzeugen. Der Empfänger kann zwar sicher überprüfen, dass eine E-Mail tatsächlich von dieser Adresse aus gesendet wurde, aber nicht, ob ich wirklich Lieschen Müller bin.
    Wenn jemand so ein Add-On entwickeln würde, müsste er deshalb nicht nur das Add-On zertifizieren lassen sondern auch eine Infrastruktur sicherstellen oder nutzen, welche die Echtheit des Absender glaubhaft sicherstellt und zwar nicht nur jetzt sondern auch für die Zukunft. Das kann ein Freizeitentwickler sicher nicht leisten.


    Gruß


    Susanne

  • Hallo Thorsten,


    auch eure "Kanzleisoftware" kann jemand zur Evaluierung einreichen. Geld wird ja wohl in eurer Branche nicht die Rolle spielen. Nur in dem Moment, wo jemand irgend eine Software für einen bestimmten Zweck evaluieren und zulassen lässt, gilt das genau so lange, wie sich diese Software in genau dem Zustand befindet, mit welchem diese zur Evaluierung vorgelegt wurde (also mit genau dieser Prüfsumme). Genau genommen müsste dann entweder für diese Anwendung der Softwarestand eingefroren (= Akzeptieren erkannter Sicherheitslücken!) oder bei jeder neuen Version neu evaluiert werden.


    Was die Nutzung der "Kryptografie für die Massen2 (GnUPG) betrifft, hat Susanne schon alles gesagt. GnuPG ist gut und ausreichend, wenn es um die geschützte Kommunikation geht. In dem Moment, wo du eine gesetzeskonforme elektronische Signatur haben musst/willst, ist die Grenze von GnuPG erreicht.


    Und noch einmal, ich setze für eine derartige Anwendung, bei der es auch auf die "Echtheit" der verschickten Mails in Sinne von Dokumenten ankommt voraus, dass hier das sehr strenge dt. Signaturgesetz zur Anwendung kommt.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Mhhh. Also so weit ich informiert bin, ist doch S/MIME-Verschlüsselung/Signierung kompatibel mit dem Signaturgesetz - und setzt eben anders als GnuPG auf zentrale Zertifizierungsstellen statt web-of-trust (was auch immer man davon halten mag).


    Jedenfalls wäre darüber auch eine Absicherung der entsprechenden Absender sicherzustellen - soweit ich informiert bin, erhalten alle Rechtsanwältinnen und Rechtsanwälte eine von einer bestimmten CA signierte Signaturkarte. Damit müsste das doch gehen, oder bin ich da jetzt komplett schief gewickelt...?


    Thorsten

  • Also so weit ich informiert bin, ist doch S/MIME-Verschlüsselung/Signierung kompatibel mit dem Signaturgesetz

    Genau gesagt, einzig und allein S/MIME ist kompatibel zum SigG. So weit so gut.
    Aber wie ich schon geschrieben habe, ist lt. SigG/SigVO auch die Software zur Signaturprüfung zu evaluieren. Und zwar in der jeweiligen genutzten Version.
    Nur mal ein einfaches Beispiel:
    Wenn ich mit einem zugelassenen Programm ein signiertes Dokument öffne (bspw. ein .pdf) dann ist bei erfolgreicher Signaturprüfung der komplette Inhalt, einschließlich "unsichtbare Bestandteile" (weiße Schrift auf weißem Grund) zu sehen. Es wird also sicher gestellt, dass sowohl der Absender als auch der Empfänger das vollständige (!) signierte Dokument sehen müssen.


    Nun schaue dir mal eine Mail an, wo du bewusst die Schriftfarbe "weiß" eingestellt hast.



    So, für mich ist das Thema hiermit beendet. Habe fertig ;-)


    Bei weiteren Fragen kannst du dich ja an die Bundesnetzagentur wenden.


    edit:
    Mir fällt doch noch was ein.
    Dass im TB (wie in jedem anderen nennenswerten MUA) S/MIME von Hause aus implementiert ist, ist ja bekannt. Weniger bekannt ist aber, dass der TB nicht nur mit den üblichen Softwarezertifikaten und -Schlüsseln (.p12 oder .pfx) umgehen kann, sondern auch mit fast allen gängigen Hardware-gespeicherten Schlüsseln auf Mikroprozessorchipkarte. Hier ist es erforderlich, über den Passwortmanager einen zusätzlichen CSP (Cryptografic Service Provider) einzurichten. Dies ist nichts anderes als eine .dll aus der zu jeder Chipkarte mitgelieferten Steuerungssoftware, welche die Chipkarte an die standardisierte PKCS#11-Schnittstelle anpasst. Beispielsweise bei der Nutzung der Software "Nexus personal" ist das die darin enthaltene "personal.dll". Wenn die richtige .dll ausgewählt wurde, werden die persönlichen Zertifikate (selbstverständlich nur deren öffentlichen Bestandteile!) auch im PW-Manager angezeigt.


    Das eigentliche "Problem" sehe ich aber darin, dass euer "beA" nach dem was ich gelesen habe, eine reine Webanwendung ist und also nur auf einem https-Port ansprechbar ist. Wenn das so gewollt ist, dann ist der Server nicht über einen der POP3 oder IMAP-Ports erreichbar, weil da gewolltermaßen kein derartiger Server läuft.


    Nun ist aber wirklich meinerseits alles gesagt.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Einmal editiert, zuletzt von Peter_Lehmann ()