bea: Vorsicht vor Softwarezertifikaten

bea: Vorsicht vor Softwarezertifikaten

0 Comments

Der 1.1.2018 steht bevor und ab dann müssen wir Anwälte bekanntlich über das besondere elektronische Anwaltspostfach (beA) empfangsbereit sein. Wer bis dahin keinen Zugang zu seinem von der BRAK eingerichteten Postfach eingerichtet hat, läuft Gefahr, an ihn gerichtete Nachrichten zu erhalten – und Fristen und gerichtliche Ladungen nicht zur Kenntnis zu nehmen. Das birgt erhebliche Regressrisiken.

Zugang zum beA bekommt der Anwalt über eine beA-Basiskarte. Die schiebt er in einen Kartenleser, gibt zweimal seine PIN ein und kann dann sein Postfach einsehen, Nachrichten abrufen und versenden.Nun haben sich die Erfinder des BRAK gedacht, dass es den Zugang ungemein erleichtern würde, müsste man nicht ständig seine beA-Karte dazu verwenden. Also wurden die sogenannten Software-Zertifikate entwickelt. Das sind Dateien, die auf dem PC gespeichert werden und die dann bei der Anmeldung ans beA anstelle der Karte abgefragt werden. Das birgt den Vorteil, dass man ein Zertifikat auf mehreren Rechnern nutzen kann, denn die Datei lässt sich beliebig oft kopieren.

Nun habe auch ich mich heute dazu entschlossen, zusätzlich zu meiner beA-Karte ein Softwarezertifikat zu erwerben, um z.B. auch über das Notebook (ohne Kartenleser) Zugang zum beA zu bekommen. Das waren mir durchaus die 5 EUR wert, die mich das Softwarezertifikat kosten sollte.

image_thumb12_thumb

Nachdem ich auf der beA-Seite der BNotK den Bestellprozess durchlaufen hatte, wurde ich auf eine Seite geleitet, auf der ich das begehrte Zertifikat erstellen konnte. Dazu musste ich einen Namen und ein selbstgewähltes Passwort eingeben. Gesagt getan – nach wenigen Sekunden war das Zertifikat mit der Dateiendung .p12 fertig und auf meinen Rechner heruntergeladen.

Nun freute ich mich darauf, das Zertifikat auch verwenden zu dürfen. Dazu muss es aber im beA-Konto zuerst als Sicherheits-Token eingerichtet werden. Das macht man in der Profilverwaltung im beA-Konto.

image_thumb2_thumb

Also habe ich dort einen “neuen Sicherheits-Token” angelegt und dazu das Software-Zertifikat, welches ich auf der Festplatte gespeichert hatte, geladen. Ich wurde aufgefordert, die PIN einzugeben. Eine PIN war mir nicht bekannt, aber nach etwas Recherche stellte sich heraus, dass damit das Passwort gemeint war, welches ich bei Erstellung des Zertifikats vergeben hatte.

image_thumb5_thumb

Dieses Passwort gab ich also ein. Und es wurde nicht akzeptiert.

image_thumb9_thumb

Obwohl ich mir das Passwort notiert hatte, wurde es von beA nicht angenommen.

Manchmal sitzt das Problem ja nicht im, sondern VOR dem Rechner, also bestellte ich kurzerhand ein weiteres Softwarezertifikat, vergab ein einfaches Passwort aus 6 Ziffern, und versuchte es erneut.

Auch dieses Zertifikat konnte ich nicht verwenden: Die PIN wurde nicht akzeptiert.

In der von mir geleiteten beA-Facebook-Gruppe stellte sich heraus, dass einige andere Nutzer dieselben Erfahrungen hatten machen müssen:

“War bei mir bei einem von zwei Zertifikaten genau so. Wurden dann beide storniert.
Jetzt also wieder von vorne…”

“Hab das gleiche Problem bei zwei Zertifikaten… Passwort vergeben.. dann später eingegeben.. wird nicht angenommen..”

“Das Problem habe ich mit zwei Zertifikaten auch gehabt. Man muss das selbst vergebene Passwort aus der Zertifikaterstellung eingeben. Wenn das nicht akzeptiert wird, so ist das Zertifikat wertlos und es bleibt nur eine Kündigung desselben. Leider stellt sich die BRAK bzw. Atos quer und verweist auf den jeweils anderen. Meine schon gezahlten 5€ Jahresabo habe ich auch nicht wieder bekommen.”

Ich bekam dort auch den Tipp, im Windows-Explorer die Zertifikatsdateien doppelzuklicken. Dann werden sie nämlich von Windows geöffnet und das Passwort abgefragt. Man kann auf diese Weise einfach prüfen, ob das bekannte Passwort korrekt ist. Das habe ich gemacht – und beide Zertifikatsdateien ließen sich unter Windows problemlos mit den vergebenen Passwörtern öffnen. Nur unter beA ist das, aus welchen Gründen auch immer, nicht möglich.

Das Ende vom Lied? Die erteilte SEPA-Lastschrift für die beiden nichtsnutzigen Software-Zertifikate habe ich umgehend widerrufen und werde sie, falls sie ausgeführt werden, zurückbuchen lassen. Für diesen Mist bekommt die BNotK von mir keinen Cent.

Nach den zahlreichen Pannen, die in der Facebook-Gruppe täglich berichtet werden, werde ich davon absehen, das beA ab 1.1.2018 aktiv zu nutzen. Ich beschränke mich auf die Empfangsbereitschaft und werde jeden beA-Eingang wie gewohnt per E-Mail, Fax oder Post beantworten. Wer sich auf dieses unausgegorene System bereits jetzt verlässt, geht ein hohes Haftungsrisiko ein. Ich kann es meinen Mandanten gegenüber nicht verantworten, den Beta-Tester für eine unausgereifte Software zu spielen.

Leave a Reply

Your email address will not be published. Required fields are marked *