Das besondere elektronische Anwaltspostfach 3. e-justice Symposium Heusenstamm, 15. / 16. Juli 2015 Rechtsanwalt Christoph Sandkühler rechtsanwalt@sandkuehler.info
bea - das besondere elektronische Anwaltspostfach Vorstellung der Software, Einrichtung und Einbindung in das Anwaltsbüro
Grundlagen Startschuss bei der BRAK im Herbst 2012 ca. 160.000 Rechtsanwältinnen und Rechtsanwälte Mitarbeiterinnen und Mitarbeiter Faktor 3 etwa 50 % der Berufsträger nutzen Kanzleisoftware bea ist ohne Vorbild es geht nicht um ein firmeninternes Intranet oder um einen aufgehübschten Ersatz für Outlook Partner der BRAK: Atos mit Governikus als Subunternehmen Rechtsverordnungen werden vorbereitet zu 31 a BRAO zu 130 a ZOP n. F.
bea tut gar nicht weh!
Skepsis ist dennoch erlaubt Elektronischer Rechtsverkehr macht alles besser und einfacher und wir werden auch noch haufenweise Porto sparen!? oder doch richtiger In Zeiten von NSA, GCHQ & Co. gehört elektronischer Rechtsverkehr - auch als Teil der digitalen Identität - sehr kritisch hinterfragt!? Der Deutsche Bundestag lässt grüßen??
Antworten Auch in der analogen Welt gibt es keine absolute Sicherheit analoger Datenschutz in Gerichten, Kanzleien etc.!? bea ist kein Dateiarchiv, sondern nur ein Kommunikationskanal wie ein banales E-Mail-Programm, nur eben sicher Für die Sicherheit der Datenhaltung sind auch weiterhin Versender und Empfänger verantwortlich Sind Anwalts- und Notarfachprogramme absolut sicher?
Antworten BRAK betrachtet die Systemsicherheit mit Fanatismus manche meinen schon mit zu viel Fanatismus BRAK hat bea als gesellschaftliches Thema von Anfang an erkannt bea ist kein stand-alone Produkt, sondern eingebunden in die sicheren und erprobten Kommunikationsstrukturen der Justiz Und es gibt selbstverständlich einen Rückweg Stichwort Ersatzeinreichung bei Systemausfall oder bei Systemkompromitierung
Digitalisierung der Rechtsverkehrs Mandantschaft erwartet von uns digitale Kommunikation Dokumentenmanagement digitale Zusammenarbeit in der Cloud
Digitalisierung der Rechtsverkehrs Justizverwaltungen setzen bundesweit auf die digitale Evolution elektronische Gerichtsakten Überlegungen zu Verfahrensgrundsätzen für vollständig elektronisch geführte gerichtliche Erkenntnisverfahren Bestrebungen zur Errichtung eines elektronischen Urkundenarchivs des Notariats Sicheres Cloud Computing für Berufsgeheimnisträger das Projekt PanBox https://www.sit.fraunhofer.de/de/panbox/
Digitaler Neustart 86. JuMiKo in Stuttgart am 17. und 18. Juni 2015 Digitale Daten bergen mannigfaltige Herausforderungen und Risiken Daher: Beschluss Digitaler Neustart
Technische Grundlagen EGVP: Elektronisches Gerichts- und Verwaltungspostfach Kommunikationsinfrastruktur der Justiz in Deutschland www.egvp.de OSCI: Online Services Computer Interface (OSCI) OSCI-Transport-Protokoll für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten an die Justiz ähnlich wie ein VPN Prinzip des doppelten Umschlags Trennung der verschlüsselten Nachrichteninhalte von den für den Nachrichtentransport erforderlichen Nutzdaten Beide Komponenten gemeinsam bilden das Kommunikationssystem der Justiz in Deutschland, auf das die BRAK aufsetzt
Technische Grundlagen SAFE: Secure Access to Federated ejustice / E- Government Einmal registriert immer akzeptiert oder Wo Anwalt drauf steht, ist auch Anwalt drin Voraussetzung: vertrauenswürdiges Verzeichnis der deutschen Anwaltschaft für das die regionalen RA-Kammern mit in der Verantwortung stehen
Prozessrechtliche Grundlagen 130a ZPO, in Kraft getreten bereits im Jahr 2001 130a Abs. 1 ZPO: anwaltliche Schriftsätze mit qes (qualifizierte elektronische Signatur) Signaturkarte und PIN 130a Abs. 2 ZPO: Bund und Länder bestimmen durch Rechtsverordnung den Zeitpunkt, von dem an elektronische Dokumente bei den Gerichten eingereicht werden können 174 Abs. 3 ZPO: elektronische Zustellungen gerichtlicher Schreiben mit elektronischer Signatur und Verschlüsselung Parallelvorschriften in den Prozessordnungen der Fachgerichtsbarkeiten
Das anwaltliche elektronische Dokument de lege lata Die Unterschrift des RA wird ersetzt qes wird erzeugt mit einer Signaturkarte, einem Kartenlesegerät und entspr. Software durch die qes des RA nicht delegierbar auf Mitarbeiter
Die elektronische Zustellung von Gericht an Anwalt de lege lata Elektronische Zustellung 174 Abs. 3 ZPO Dokument versehen mit einer elektronischen Signatur Nachweis der ZU durch EB (Papier) Schutz gegen unbefugte Kenntnisnahme Dritter EGVP De-Mail das auch, versehen mit qes, elektronisch an das Gericht gesandt werden kann ( 174 Abs. 4 ZPO)
Die elektronische Zustellung von Anwalt zu Anwalt de lege lata Elektronische Zustellung 195 ZPO 174 Abs. 3 Satz 1, 3 ZPO Dokument versehen mit einer elektronischen Signatur Nachweis der ZU durch EB (Papier) Schutz gegen unbefugte Kenntnisnahme Dritter das auch, versehen mit qes, elektronisch an das Gericht gesandt werden kann ( 174 Abs. 4 ZPO)
Deutschland gleicht einem Flickenteppich Stand der Umsetzung des ERV in den Ländern komplett eröffnet teilweise eröffnet nur Registergerichte
Gesetz zur Förderung des elektronischen Rechtsverkehrs verabschiedet im Oktober 2013
Die Rechtgrundlage für das bea 31a BRAO, gültig ab 01.01.2016 (1) Die Bundesrechtsanwaltskammer richtet nach Überprüfung der Zulassung und Durchführung eines Identifizierungsverfahrens in dem Gesamtverzeichnis nach 31 für jeden eingetragenen Rechtsanwalt ein besonderes elektronisches Anwaltspostfach ein. Das besondere elektronische Anwaltspostfach soll barrierefrei ausgestaltet sein. (2) Die Bundesrechtsanwaltskammer hat sicherzustellen, dass der Zugang zu dem besonderen elektronischen Anwaltspostfach nur durch ein sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln möglich ist. Sie kann unterschiedlich ausgestaltete Zugangsberechtigungen für Rechtsanwälte und für andere Personen vorsehen. (3) Sobald die Zulassung erloschen ist, hebt die Bundesrechtsanwaltskammer die Zugangsberechtigung zu dem besonderen elektronischen Anwaltspostfach auf und löscht dieses. Gesetzliche Anforderungen Start von bea ist der 01.01.2016. Jeder Rechtsanwalt erhält für die Dauer seiner Zulassung ein besonderes elektronisches Anwaltspostfach (bea). Der Zugang muss über eine Zwei- Faktor-Authentifizierung erfolgen. Der Zugang darf auch anderen Personen als dem Rechtsanwalt gewährt werden. Das Postfach soll barrierefrei sein.
Die BRAK wird den gesetzlichen Auftrag erfüllen Alle zugelassenen Rechtsanwältinnen und Rechtsanwälte werden in den Genuss eines bea kommen Egal welchen Alters Unabhängig von der Art der Berufsausübung auch Syndikusrechtsanwälte Nicht aber RA-Kapitalgesellschaften
Das anwaltliche elektronische Dokument de lege ferenda Die Unterschrift des RA wird ersetzt 130a ZPO n. F., tritt am 01.01.2018 in Kraft durch Einreichung nach sicherer Anmeldung des RA am bea nicht delegierbar auf Mitarbeiter durch die qes des RA nicht delegierbar auf Mitarbeiter. Wohl aber der Versand bis zum 01.01.2018 muss das elektronische Dokument des RA weiter mit qes signiert werden
Die Zustellung von Gericht an Anwalt de lege ferenda Elektronische Zustellung 174 ZPO n. F., tritt in Kraft am 01.01.2018 in Kraft Versendung auf einem sicheren Übermittlungsweg Nachweis der ZU durch elektronisches EB (XJustiz) Rechtsanwälte müssen einen sicheren Ü-weg zwecks ZU eröffnen
Die Zustellung von Anwalt zu Anwalt de lege ferenda Elektronische Zustellung 195 ZPO n. F., tritt in Kraft am 01.01.2018 in Kraft Versendung auf einem sicheren Übermittlungsweg Nachweis der ZU durch elektronisches EB (XJustiz) Rechtsanwälte müssen einen sicheren Ü-weg zwecks ZU eröffnen Nachweis der Zustellung ggü. Gericht oder Vollstreckungsorgan? 189 ZPO?
Die BRAK wird den gesetzlichen Auftrag erfüllen 1. Januar 2016: Start des Systems bea
Konsequenz der Eintragung des bea in das SAFE-Verzeichnis Jede Rechtsanwältin / jeder Rechtsanwalt ist ab dem 1. Januar 2016 im System sichtbar und adressierbar unabhängig davon, ob sie / er das Postfach freigeschaltet hat
bea ist eine sichere und an der anwaltlichen Praxis ausgerichtete Kommunikationsplattform Zugriff durch mehrere Personen (Mitarbeiter, RA-Vertreter) Mitarbeiter Web- Anwendung bea Gericht/Justiz Kanzlei- Software Rechtsanwalt Rechtsanwalt Rechtsanwaltskammer Anwendung der BRAK Externe Anwendung Ende-zu-Ende- Verschlüsselung
Zugriff auf das Postfach Anbindung an bea durch Web- Anwendung Kanzleisoftware über z. B. Internet Explorer z. B. Firefox Schnittstelle
Webanwendung Virtuelles Kanzleipostfach
bea besitzt eine offene, auf aktuellen Standards aufbauende Architektur Legende bea Komponenten externe Komponenten A verwendet B A B Client-PC oder Server Kammer Die Anbindung an die Justiz- Systeme erfolgt weitestgehend über erprobte Standard-Komponenten. Die Zugriffsmöglichkeit auf bea durch Dritt-Anwendungen (z.b. Kanzlei-Software, Anwaltsnotare) ist von Anfang an vorgesehen. Trust Beziehung Justiz bea-kanzlei- software- Schnittstelle (Toolkit) Trust bea- Kanzleisoftware- Schnittstelle bea-client- Security EGVP-Client Justiz Client-PC bea-zentralsystem
Datensicherheit seht im Zentrum Datensicherheit steht vor Komfort Kosten Sicherheit verträgt sich nicht mit Bequemlichkeit Sparsamkeit
Jeder Benutzer muss sich stets mittels Besitz und Wissen bei bea anmelden Zwei-Faktor-Authentifizierung als gesetzliche Anforderung bea-karte mit Safe-ID des RA: zwingend zur Erstinitialisierung des bea (wird voraussichtlich ab 9/15 ausgerollt)
Zugang zum Postfach Zwei-Faktor-Authentifizierung Wissen Besitz Sichere Anmeldung 130a III u. IV ZPO n. F. bea-karte oder andere Karte
Nur Absender und Empfänger haben Zugriff auf die Nachrichteninhalte Ende-zu-Ende-Verschlüsselung
Im bea wird ein Nachrichtenschlüssel mit dem öffentlichen Postfachschlüssel verschlüsselt Ende-zu-Ende-Verschlüsselung Verschlüsselung einer Nachricht (graphisch) Das ist eine vertrauliche Information Absender + 3 Generierung eines symmetrischen 101101100111010 Nachrichten- Schlüssels + Zertifikat mit dem öffentlichen Schlüssel des Postfaches 5 4 1QaYxSw 3EdCvFr$ 0?\pOjG&8) 010011101011110 Verschlüsselter Nachrichten-Schlüssel Verschlüsselte Nachricht 1QaYxSw Postfach 3EdCvFr$ 0?\pOjG&8) Transport 7 010011101011110 0100111010110 2 6 SAFE BRAK Zertifikat mit dem öffentlichen Schlüssel des Postfaches 1QaYxSw 3EdCvFr$ 0?\pOjG&8) HSM Öffentlicher Schlüssel des Postfaches 1 Privater Schlüssel des Postfaches HSM = Hardware Security Module
Das bea-hsm wahrt die Ende-zu-Ende-Verschlüsselung auch beim Nachrichtenzugriff durch mehrere Leser Absicherung des Nachrichtenzugriffs mittels HSM Überblick HSM: Abschottung sicherheitskritischer Funktionen vor jeglichem Zugriff. bea Postfachbesitzer Verschlüsselt für Postfach bea- HSM Verschlüsselt für Leser Absender Postfachbenutzer bea bea-hsm Benutzerverwaltung PF Benutzer Recht Code HSM = Hardware Security Module, PF = Postfach Unkritische Rechte (z.b. Organisieren von Nachrichten) Kritische Rechte werden mittels sog. Berechtigungscodes durch das HSM abgesichert. Durch HSM abgesicherte Funktionen: Lesezugriff durch Umschlüsselung des Nachrichtenschlüssels Vergabe von Rechten für Nachrichtenzugriff und Rechteverwaltung Inbesitznahme eines Postfachs durch Postfachbesitzer Postfachbenutzer Durch das bea-hsm sind die Nachrichten trotz Bereitstellung für mehrere Leser zu keinem Zeitpunkt unverschlüsselt. gegen elektronisches Abhören und physikalische Angriffe geschützt. gegen unbefugte Zugriffe kryptographisch abgesichert. Das bea-hsm steht im Rechenzentrum der BRAK. wird regelmäßig sicherheitsüberprüft. wird in Deutschland entwickelt und hergestellt. ist auf die bea-bedürfnisse angepasst.
Rechtevergabe auf die Postfächer sind durch kryptografische Verfahren (MAC 1 = Berichtigungscodes) geschützt. Rechtevergabe aufbauend auf der Erstanmeldung des Postfachinhabers mittels Zertifikat mit SAFE-ID Postfacheigentümer PF-Eigentümer (Enc.) Initialer Verschlüsselungsschlüssel abgesichert über MAC Usr_Enc_Pub, PF-ID PF-Eigentümer Initialer Authentisierungsschlüssel mit SAFE-ID im Zertifikat ------------------------------- Generierung MAC Usr_Auth_Pub, PF-ID PF-Eigentümer (Rechteverg.) Weitere Authentisierungsschlüssel abgesichert über MAC Usr_Auth_Pub, PF-ID PF-Eigentümer (Enc.) Weitere Verschlüsselungsschlüssel abgesichert über MAC Usr_Enc_Pub, PF-ID PF-Benutzer (Enc.) Verschlüsselungsschlüssel abgesichert über MAC Usr_Enc_Pub, PF-ID PF-Benutzer (Rechteverg.) Authentisierungsschlüssel abgesichert über MAC Usr_Auth_Pub, PF-ID PF-Benutzer (Enc.) Verschlüsselungsschlüssel abgesichert über MAC Usr_Enc_Pub, PF-ID PF-Benutzer (Rechteverg.) Authentisierungsschlüssel abgesichert über MAC Usr_Auth_Pub, PF-ID PF-Benutzer (Enc.) Verschlüsselungsschlüssel abgesichert über MAC Usr_Enc_Pub, PF-ID PF-Benutzer (Rechteverg.) Authentisierungsschlüssel abgesichert über MAC Usr_Auth_Pub, PF-ID 1 MAC: Message Authentication Code kryptografisches Verfahren zur Absicherung der Korrektheit einer Information.
Virtueller Posteingang der Kanzlei Virtueller Posteingang der Kanzlei Postfach RA 1 Postfach RA 2 Postfach RA 3
bea-webanwendung tariert die Bedürfnisse der anwaltlichen Praxis und der hohen Sicherheitsanforderungen aus Der Benutzer sieht alle Postfächer, für die er berechtigt ist auf einen Blick. Das gilt auch in überörtlichen Strukturen. Die Struktur jedes einzelnen Postfaches orientiert sich an gängigen E- Mail-Programmen. Zu jedem Standardordner können Unterordner angelegt werden. Jeder Benutzer kann sich eigene Sichten 2 einrichten, die ihm individuelle Abfragen ermöglichen. Über diesen Weg ist ein zentraler Kanzlei-Posteingang möglich. 2 In Outlook bekannt als Suchordner Die Ende-zu-Ende-Verschlüsselung verhindert grundsätzlich eine Auflistung der Betreffzeilen. Nach dem ersten Öffnen speichert bea sie separat verschlüsselt ab. Vorteil: Betreffzeilen können ab dem zweiten Mal wie gewohnt dargestellt werden.
Betrieb des Systems Rechenzentren Lösung für große Nachrichten Fristablauf um 24.00 Uhr muss beherrschbar sein Schriftsatz Anlagen zum Schriftsatz flankierende Regelungen zur Ersatzeinreichung Wiedereinsetzung Nachrichten und Postfachjournale
Sicherheit im Rechenzentrum Präsentation
Der Flaschenhals im Nachrichtenversand ist der Upload durch die lokale Leitung des Benutzers Große Nachrichten Kommunikationsweg vom Benutzer/Anwalt zur Justiz Virtueller Attribute Service SAFE Instanzen Asymmetrisch bea Server / Dienste SAFE Instanzen Intermediäre der Justiz 100 MB Download max. Upload max. In Praxis + ~30% DSL 1000 13 Min. 1 Std. 44 Min. DSL 2000 6 Min. 30 Sek. 1 Std. 9 Min. DSL 6000 2 Min. 13 Sek. 34 Min. 43 Sek. DSL 16000 50 Sek. 13 Min. VDSL 25 32 Sek. 2 Min. 36 Sek.
Notwendige Infrastruktur Computer Scanner/Drucker Kartenlesegerät leistungsfähige Internetverbindung
nicht notwendige Infrastruktur Fachsoftware elektronische Anwaltsakten Elektronifizierung der Kanzlei
Sichere Kommunikation mit Kolleginnen und Kollegen Zustellung von Anwalt zu Anwalt (wirksam ab dem 01.01.2016? Pflicht zur Empfangsbereitschaft?) bea macht Spaß Kommunikation mit den Gerichten (wirksame Zustellungen bereits ab dem 01.01.2016 in das bea? Pflicht zur Empfangsbereitschaft) Kommunikation mit der Kammer
Verbot der Adressierung? Aus einer Stellungnahme aus Hessen Der Anwalt, der sich das bea pflichtgemäß einrichtet, sollte ab dem ersten Betriebstag gewahr sein, dass es Bundesländer gibt, wie z.b. Hessen, die gezielt nach aktiven Postfächern suchen, um dort auch unaufgefordert elektronische Post zu platzieren. Wir nennen das initiativen elektronischen Rechtsverkehr und praktizieren das z.b. mit Kostenrechnungen automatisiert in der Größenordnungen von über 100.000 Stück pro Monat.
Wirksamkeit einer Zustellung in bea vom ersten Tag an? 130 Abs. 1 Satz 1 BGB 14 BORA 174 Abs. 3 ZPO vgl. auch Müller, JuS 2015, 609, 611 Information per E-Mail aus dem bea: Sie haben Post
Fragen aus der Anwaltschaft Bekomme ich eine neue E-Mail-Anschrift? Wie oft muss sich der RA am System anmelden? einmal am Tag? Wie oft muss sich die Mitarbeiterin am System anmelden? einmal am Tag? Stapelsignaturen die elektronische Postmappe wird kommen Wie gehen große Anlagen über die Leitungen? Lässt sich bea an Outlook anflanschen?
Typische Fragen aus der Anwaltschaft Vertreterbestellung Wird bea barrierefrei? Kann ich zukünftig noch Gerichtsakten zur Einsicht anfordern? Was sehe ich dann? Kann ich die Signaturkarte, die ich in Gebrauch habe, noch nutzen? Wird das elektronische Mahnverfahren über den 31.12.2015 hinaus funktionieren? Weiterleitung an ein anderes bea? Nachrichtenexport? Migration vorhandener Postfächer? Welche Dateiformate? Kann ich Anlagen mit versenden?
bea kostet Geld Umlage Umlage BRAK
Change Management kontinuierliche Unterrichtung der Kollegenschaft BRAK-Magazin www.bea.brak.de Fortbildungsreihe in Zusammenarbeit mit dem Deutschen Anwaltsinstitut Helpdesk ab 11/2015 geplant
Was besprechen wir derzeit mit der Justiz? 130a ZPO n. F. Offene Frage, was durch bea an Justiz übermittelt werden muss, damit Voraussetzungen zur Erfüllung durch Justiz geprüft werden kann. Große Nachrichten Konzept findet volle Unterstützung der BRAK und ist für uns besonders wichtig, um schmalbanding angebundene Anwälte Fristeinhaltung zu ermöglichen. Containersignatur BRAK unterstützt Justiz in der Absicht, Containersignaturen zu vermeiden, um Aktenführung zu erleichtern => BRAK wird mittelfristig Format umstellen, um Containersignaturen zu vermeiden (Nachrichtentext in separat signierter Textdatei als Anhang) Generell: Austausch von Metadaten muss intensiviert werden. Wichtig dabei: Gegenseitig und weitest möglich verbindlich!
bea von Innen Erstellen einer Nachricht
bea von Innen Rechteverwaltung
Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen?