LNP242 Make §§§ fast

Das Logbuch Spezial zum besonderen elektronischen Anwaltspostfach

Das besondere elektronische Anwaltspostfach soll eigentlich eine elegante Lösung sein, die sichereren E-Mail-Verkehr zwischen deutschen Anwälten und deutschen Gerichten realisieren kann. Nach einer Investition von über 20 Millionen Euro zeigt sich, dass es sich hierbei aber nur um ein weiteres Train Wreck deutscher Behördensoftware handelt, dass man eigentlich nur noch wegwerfen kann. Konzeptionelle Fehler und schlechte Ausführung resultierten in einem System, das eine erstaunliche Distanz zu den Internet- und Computer-Realitäten der heutigen Zeit zeigt. Das Ergebnis ist eine Fehlinvestition, die nur Verlierer zurücklässt. Wir sprechen mit Markus Drenger vom CCC Darmstadt, der mit seinen Mitstreitern die beA-Lawine kurz vor Ende letzten Jahres erst richtig losgetreten hat über die kaputte Technik und den Ablauf der Auseinandersetzung mit den Playern in diesem Spiel.

Dauer: 2:14:59

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon
avatar Markus Drenger

Verwandte Episoden

Prolog

Markus Drenger

EGVP & beA

Die Player im Spiel

Technik

Ablauf der Auseinandersetzung

BeAthon

beA und der CCC

Konsequenzen/Schlussfolgerungen


In Zusammenhang mit dieser Ausgabe stehende Folgen

34 Gedanken zu „LNP242 Make §§§ fast

  1. Ihr redet immer von “Die Atos”. Könnt ihr mal genauer aufschlüsseln, welcher Teil von Atos dafür verantwortlich ist? Atos ist gerade in D ein Sammelsurium von diversen zugekauften Firmen, die rebrandet wurden. Freunde von mir arbeiten in einem solchen Teil, der definitiv nicht am beA beteiligt war.

    • Bei großen Unternehmen ist es doch durchaus üblich, von dem Unternehmen als solches zu sprechen – gerade um Individuen
      zu schützen:
      Freunde von mir arbeiten in einem Teil von Volkswagen, der definitiv nicht am Dieselgate beteiligt war.

      Ich verstehe daher nicht genau, was wir hätten anders machen können: Eine Abteilung oder Angestellte des Unternehmens zu beschuldigen wäre meines Erachtens gar doppelt am Ziel vorbei gegangen: Der Fisch stinkt vom Kopf – und das ist sicherlich nicht der Projektleiter der Atos, wie wir insbesondere
      in den letzten Kapiteln herausarbeiten.

  2. Wer die Idee hatte, das Bea könnte beim Camp mal angeschaut werden, wird in der Lage der Nation, Folge 81, etwa ab Minute 56 geklärt.

  3. Danke an alle Beteiligten für das Gruselmärchen zur Nacht!
    Brrr, jetzt reicht es schon nicht mehr, dass sie eimerweise Geld verbrennen, sondern müssen auch noch proaktiv Schaden anrichten (und an Weihnachten das T-Systems-CERT rausklingeln um geleakte Zertifikate zu revoken). Gibt es eigentlich schon sowas wie einen Generalverkackungsbeauftragten oder ist das Sabotage? Da kann man nur noch beten, dass die GroKo sich nicht noch irgendwie an Digitalisierung versucht….

  4. Eine sehr unterhaltsame Folge, die zeigt, wie man es NICHT macht und was dabei schiefgehen kann.
    Quasi ein “Staplerfahrer Klaus” der Kryptographie ;-)

  5. Ohne Faible für Verschwörungtheorien und ohne grossen technischen Sachverstand bin ich spätestens bei 1:12 “Jeder der den Privaten Schlüssel hatte konnte dann auf beliebigen Webseiten gültige Zertifikate erstellen”und folgendes zusammengezuckt und malte mir für ein paar Minuten das Szenario aus das offene Türen in die Rechner eingebaut werden. Frage: Wer profitiert von einem solchen Szenario?

  6. Ich schließe mich an mit der Aussage unterhaltsam und auch klar wieder aus der Rubrik “Horrorgeschichten”
    Ich seh mich nicht gerade als den großen Technikwisser, aber manches davon ist ja wirklich von hinten durchs Auge in die Brust.

    Vielen Dank an alle.
    Und immer weiter berichten über solche Dinge. Ich hoffe alle lernen aus solchen sehr teuren Lehrprojekten. Es werden immer Fehler passieren, aber bitte nicht immer die gleichen.

  7. In meiner Wahrnehmung werden mittlerweile überwiegend Webanwendungen entwickelt. Ich weiß nicht, wie es konkret bei Atos aussieht, aber das Wissen um das Bauen von nativen Anwendungen scheint mir mittlerweile nicht mehr so weit gestreut zu sein wie bei Webanwendungen. Letztere haben ja auch unbestrittene Vorteile: eine zentrale Installation auf einer bekannten Umgebung statt vieler dezentraler Installationen auf unbekannten Umgebungen. Ein Patch ist da eingespielt oder nicht eingespielt, bei nativen Anwendungen gibt es immer was dazwischen.

    Beim beA ist jedoch eine lokale Installation notwendig, um auf die Smartcard zugreifen zu können. Also wird ein Server installiert, um mit der Smartcard zu kommunizieren, und auf eher abenteuerliche Weise mit einem Zertifikat ausgestattet. Wie machen denn das andere Lösungen? Die z.B. mit dem ePerso kommunizieren? Nun hat man sich dann doch eine lokale Installation ins Boot geholt und muss gleichzeitig Kopfstände machen, um damit zu kommunzieren. Ein lokaler Server … da merkt doch der Nutzer viel weniger, wenn da was schief läuft, der z.B. nicht startet. Ich stimme zu, dass hier eine lokale Anwendung passender wäre. Die Unterstützung von mindestens Windows und MacOS, mglw. auch Linux, in diversen Versionen ist jedoch sicherlich nicht einfach.

    Die Sache mit den Terminalservern scheint mir ja die Vorteile der Smartcards zu nichte zu machen. Wie oft werden die eingesetzt? War das der BRAK vor Beginn des Projektes bekannt?

    Die “Vertretungsregel” begründet die Einführung des HSM, das die “Umschlüsselung” durchführt. Damit ist die Ende-zu-Ende-Verschlüsselung kaputt. Fachlich finde ich die Anforderung nachvollziehbar. Muss denn wirklich der Rechtsanwalt persönlich adressiert werden, oder reicht es, seine Kanzlei zu adressieren? Bei den Gerichten wird man doch wohl auch nicht einzelne Personen adressieren, oder? Wenn man eine ganze Kanzlei oder Teile davon adressieren kann und die betreffenden Mitarbeiter Zugriff auf das Postfach haben, bräuchte niemand umschlüsseln. Dito bei den Absendern.

    Dann könnte man auch fast schon De-Mail einsetzen. Aber halt, die Kommunikation erfolgt über OSCI. Das ist aber nur ein Transport-Protokoll. Ist die Payload weiter strukturiert? Wird z.B. ein Aktenzeichen angegeben, damit die Nachricht im Gericht gleich einer elektronischen Akte zugeordnet werden kann? Das geht dann auch in die Richtung “wir bräuchten einfach mal eine Open-Source-Komponente, die E2E-Verschlüsselung zwischen Alice und Bob ermöglicht” – was wird genau ausgetauscht?

    Das habe ich auch nicht verstanden: man kann sich als einfacher Bürger anmelden, wie kann man dann kommunizieren? Braucht man dann auch beA?

    Zu guter Letzt: PDF. Ja, PDF ist nicht sicher. Ich vermisse jedoch einen Gegenvorschlag. Nur Text und JPG/PNG? Unrealistisch. Statt PDF ginge PDF/A, aber wer erklärt allen RechtsanwältInnen, dass statt PDF PDF/A zu erzeugen ist und wie man das im Programm der Wahl macht? Habe ich übrigens auch schon gehen: eingehende PDFs mittels Ghostscript in PDF/A wandeln wg. IT-Sicherheit.

    Über das beA ließe sich also mindestens nochmal 2 Stunden diskutieren.

  8. Vielen Dank, das war eine ganz großartige Sendung!
    Bei der Ende-zu-Ende-Verschlüsselung, die in der Mitte aufgemacht werden muss, frage ich mich immer, wer da eigentlich so ein Verständnisproblem hat. Worte haben eine Bedeutung: Es würde ja auch niemand einen Direktflug mit Umsteigen akzeptieren.

  9. Ach Kinners. Ich bin gerade dabei, zum Abendbrot diese Folge zu hören, und das passt einfach mal wie Arsch auf Eimer zu dem, was ich heute einige Stunden gemacht habe: Datev. Das ist auch so eine Zwangssoftware. Das sind die Schlimmsten. Du musst es benutzen. Es gibt nichts anderes. Es geht nicht ohne. Du musst dafür sorgen, dass es bei dir läuft. Und das ist gar nicht so einfach, denn „Datev Unternehmen online“ braucht Windows, Internet Explorer und Internet. Es ist einfach ein Webinterface, in das man Rechnungen hochlädt. Und dennoch ist es hochgradigst spezialsoftwareabhängig. Man schließt den Smartcardreader an und mit dem Internet Explorer und bei installiertem Microsoft Silverlight geht man dann auf https://unternehmen.secure.datev.de. Das TLS-Zertifikat wird nicht akzeptiert, weil es nicht auf diese Domain ausgestellt ist. Auf https://datev.de funktioniert TLS. Obwohl am Ende alles über die Weboberfläche läuft, muss man ein Installationsprogramm ausführen, das unter anderem den Treiber für den Smartcarddongle enthält. Die Infobroschüre empfiehlt, sich das über eine nicht-authentifizierte Verbindung über http: zu besorgen (obwohl https: funktioniert). Auf der Seite, wo man das bekommt, wird einem auch gesagt, dass man noch das Zertifikat runterladen und installieren soll. Auch dieser Link beginnt wieder mit http:. Vor dem Hintergrund meiner Erlebnisse diese LNP-Folge – ich erkenne meinen kompletten Tagesablauf wieder. Dieser overengineered-dilettantische Kack (egal, ob Datev oder Bea) ist natürlich irreparabel kaputt. Man muss diesen Unfug komplett wegschmeißen und sich nochmal ganz neu fragen, welches Problem man eigentlich lösen möchte. Aber es macht auch irgendwie Spaß, diese Fraktalverkackung einmal präzise auseinanderzuklambüsern. Das ist schon ein kauziger Sport, den wir uns da gesucht haben, nä?

    • Manmuss kein DATEV benutzen, das ist einfach falsch.
      Gibt genug andere Anbieter, ich setze beruflich einen anderen ein. Und ich weiss wieviele Anbieter es gibt in dem Bereich.
      Insofern eine infame Unterstellung die dazu noch falsch ist.
      Nur weil die Kollegen alle an DATEV hängen solte man nicht immer alles glauben was es da so heißt.

      Grüße

  10. Der Java Server auf localhost wäre zum Zugriff auf die Smartcard doch nicht mal notwendig.

    Man benötigt lediglich für den Browser eine pkcs11 Middleware bzw. für Windows eine crypto API Middleware und gut ist.

    Mit genau diesem System arbeitet mein Arbeitgeber für interne Webdienste im Intranet.

  11. Danke für diese spannende und gruselige Folge.

    Ihr wundert euch etwas um den Begriff der “Umschlüsselung”. Ich arbeite in einem Bezirksamt in Berlin und dort wird dieser Begriff auch verwendet, und zwar wenn ein Fall (Mensch) von einem Sachbearbeiter zum anderen Sachbearbeiter wechselt. Dann schlüsselt der Sachbearbeiter den Fall in der benutzten Software einem anderen zu.

    LG
    Sadu

  12. Hallo.
    Super Folge.

    Nur ein Problem via (Android) Smartphone:
    Unter Android mit aktuellem Chrome-Browser wird der Player bei mir nicht angezeigt. Somit konnte ich mobil die Sendung leider nicht runterladen. Hat sonst jemand noch das gleiche Problem, dass der Player im Browser nicht angezeigt wird, selbst wenn man in die Dekstop-Ansicht wechselt im mobilen Browser??
    Auch die Sendungen davor kann ich nicht mehr herunterladen auf dem Phone, da auch hier der Player nicht mehr angezeigt wird. Vor 1-2 Wochen ging das problemlos.

  13. Zum Thema beA-Prüfung auf dem Camp: Ulf @vieurenard hatte wohl tatsaechlich der Brak damals mal vorgeschlagen, sie sollten ihr System mal zum Spielen in einem Zelt auf dem Camp mitbringen. Vielleicht haette sich da ja auch ein SportsfreundIn gefunden, der sie bei Zeiten auf die groessten offenen Scheunentore hingewiesen haette. Aber Linus’ Satz “der CCC bestätigt höchstens Unsicherheit und das dann öffentlich” gilt davon aber unbenommen.

    • Sorry, aber die Idee “Unser MILLIONENPROJEKT lassen wir am besten vom Hackern IN IHRER FREIZEIT BEIM CAMPEM prüfen” wird dadurch nicht besser, dass Ulf Buermeyer sie hatte.

  14. Hallo Linus und Tim,
    höre euch nun schon ein paar Jahre und muss jetzt auch mal meine Freude loswerden, in so regelmäßigem Takt und mit soviel Humor, menschlichem Respekt und fundiertem Wissen über die (unvermeidlichen) Zwangsmechanismen in den Hinterzimmern unseres globalen Dorfs zu erfahren, da wo Mensch auf Maschine trifft und sich gerne und unermüdlich missversteht.
    Die heutige Folge fand ich besonders unterhaltsam – kann mir aus eigener langer beruflicher Erfahrung gut vorstellen wie der verantwortliche Projektleiter/Architekt (Annahme: es gab einen) angesichts der vielen konfliktären Anforderungen versucht den Scope sinnvoll zu begrenzen, deshalb zum Kunden/Auftraggeber geht und dort wahlweise nur zu hören bekommmt:
    – “Ich will keine Probleme, ich will Lösungen!”
    – “Wollen Sie Teil der Lösung oder Teil des Problems sein?”
    (Bitte zutreffendes ankreuzen …)

  15. Diese BeA Geschichte ist echt ohne Worte. :D

    Ich bin eine Technikerin, die ziemlich oft direkt mit Anwälten zusammenarbeitet. Mein liebster Kommentar zu dieser Aktion ist folgender (und ja, ich hab vorher gefragt ob ich das zitieren darf):

    “Das beA ist wirklich so eine Art fraktaler Scheißhaufen. Man sieht den Haufen und denkt “woah ist das ein Haufen Scheiße” und dann schaut man sich das näher an und sieht noch mehr Kacke aber dann holt man sich ne Lupe und sieht NOCH MEHR Kacke.”

    Es ist einfach alles kaputt und das ist auch nicht mehr in der Form zu retten, mir kommt bei jedem weiteren Item in dieser Story irgendeine BER-Assoziation in den Sinn.

    Die einzige Möglichkeit um dieses Projekt noch zu reissen wäre, Atos hochkant rauszukicken und das Projekt auf Basis der FSFE Vorschläge komplett neu aufzusetzen. Es gibt auch nen 5-Seitigen Golem Artikel dazu, auf den sich das Zitat oben ursprünglich bezieht.

    https://www.golem.de/news/bea-so-geht-es-mit-dem-anwaltspostfach-weiter-1801-132430.html

    Ansonsten kann ich nur sagen: Saubere Arbeit wie immer und auch generell ein großartiges Vorgehen von Markus. Die Anwälte die ich kenne kriegen Schaum vorm Mund wenn es um dieses Postfach geht und mit seinen Analysen haben sie auch mal wirklich nen Haufen von sachlichen Argumenten an die Hand bekommen. Vielen Dank kann ich nur sagen!

  16. Die 242er überzeugt mit einer üppigen Portion Leid und Verzweiflung, dezent abgeschmeckt mit Neumannschen Tränen, eine Note Weltschmerz. Sie gehört zum Besten, mit dem der Connaisseur schlechter Nachrichten seinen Hörgaumen kitzeln kann.

  17. Moin! Falls der CCC irgendwann mal wieder ein Stück lang gereifter Software zerpflücken möchte, sei Euch http://www.winschule.de ans Herz gelegt. Die ganze Seite ist ein Fundus der Merkwürdigkeiten… Ich zitiere ein Beispiel:

    […]
    Einschätzung von VISTA und Windows 7 bis 10:
    * Die 16-Bit-Box reagiert deutlich empfindlicher als unter XP oder Win 2000. Wir empfehlen, bei Windows XP, NT oder 2000 zu bleiben.
    […]

    Klassiker – Entwicklung aus den späten 80ern, links und rechts das aktuell Wichtigste angeschraubt und mit saftigen Wartungsverträgen durchfinanziert. ;-)

  18. Wie können denn eigentlich Autraggeber sicher gehen, das IT Firmen wirklich Krypto können? Gibt es für die Zertifizierungen o.ä., mit denen man einigermaßen sicher gehen kann, das sie Ahnung haben?

  19. Vielen Dank für die klasse Sendung. Ein kleiner technischer Hinweis zur Java Objekt Serialisierung. Diese wird in der Regel nicht zur Kommunikation im Web verwendet. Auf gar keinen Fall zur Kommunikation mit dem Browser. Es würde mich stark wundern, wenn dies Atos überhaupt im Client einsetzt. Insofern ist der Angriffsvektor schon sehr weit hergeholt.

  20. Moin und vielen Dank für dieses ausführliche BeA-Spezial, natürlich vor Allem an Markus.

    Lasst mich jedoch kurz eine bekannte persönlichkeit (fast) zitieren: “Hacker mögen ja immer etwas hacken können, aber Fakt ist, ist sicher!”

    Solange die Behörden und Braks dieses Landes/ dieser Welt nicht einsehen, dass man von dem bisschen Geld was sie springen lassen nicht genügend Leute einstellen kann um das Arbeitspensum zu schaffen wird man auch weiterhin BeAs liefern und der Polizei ein reverse des Base64 des Passworts als “Passwortverschlüsselung” verkaufen (die Polizei hat es bemerkt und es musste nachgebessert werden, aber es ist der Versuch der zählt). So viel könnt ihr gar nicht hacken wie hier kaputt ist.

    Noch ein Mal vielen Dank und beste Grüße.

    • Da hat mir der HTML-Filter das Zitat kaputt gemacht, korrekt wäre “Hacker mögen ja immer etwas hacken können, aber Fakt ist, _insert Regierungssoftware here_ ist sicher!” gewesen…

  21. Eine Ergänzung zur tollen Sendung.

    PKI-Smartcard im Browser sind kein wirkliches Problem. Man muss ein PKS11 Kryptografie-Modul installieren (z.b. eine DLL die im Firefox unter Einstellungen->Zertifikate->Kryptographie-Module konfiguriert wird). Das PKS11 kommuniziert dann mit dem Smartcard-Leser Treiber, auch mit mehreren verschiedenen Kartenlesern an einem PC).

    ATOS betreut Kunden mit mehreren 100.000 PKI-Karten. Dort wird der fein granulare Zugriff auf Intranet-Seiten geregelt – die PKI-Karte wird direkt aus dem Browser (Chrome, Firefox, Internet Explorer, Edge) heraus abgefragt. Außerdem werden Anfragen im Terminal Server an die PKI-Karte im lokalen Client durchgestellt.

  22. Vielen Dank für Eure Sendung, die auch für mich als Nicht-Informatiker gut verständlich war. Ich frage mich, ob nicht mit der Telematik in der kassenärztlichen Versorgung eine noch größere Katastrophe heranrollt. Hier ist die Lage noch komplizierter, da unterschiedlicher Anbieter, wie niedergelassene Ärzte, Medizinische Versorgungszentren, Apotheken, Krankenkassen, kleine und große Krankenhäuser, …, tätig sind. Der Medizinbetrieb ist oft auch hektisch, es können schnell mal Fehler im Umgang mit der EDV entstehen. Patienten- und Krankheitsdaten sind besonders problematisch, da viele Erkrankungen lebenslang bestehen bleiben. Ein Patient mit einem insulinpflichtigen Diabetes mellitus mag genauso leistungsfähig sein wie ein Gesunder; aber würde man ihn auch einstellen?
    Bis Ende 2018 sollen alles Arztpraxen an die Telematik angeschlossen werden, sonst wird mit Strafen gedroht.
    Ob es dann ein ähnliches Logbuch zum Thema Telematik geben wird?
    Ich bin gespannt.

  23. Diese Folge war wirklich die Beste seit langem! Die Leute haben mich angesehen, als ich auf der Straße laut gelacht habe. Schön auch mal was lustiges zu haben (auch wenn es eigentlich auch traurig ist), wo die anderen Themen ja oft zu bitter sind um dann mit mehr als Galgenhumor drüber zu schmunzeln.
    Das soll übrigens nicht bedeutet das andere Folgen nicht gut wären, bin euch sehr dankbar für den tollen Podcast! Keep it up!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.