Diskussion:Besonderes elektronisches Anwaltspostfach

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 2 Monaten von 2A02:F90:E18D:A800:EC6D:4189:CF74:B1FD in Abschnitt Sicherheitsgutachten veröffentlicht?
Zur Navigation springen Zur Suche springen

POV?

[Quelltext bearbeiten]

Während ich den Abschnitt Kritik (insb. die vorhandenen Quellenangaben) überarbeitete, fiel mir auf, dass ungewöhnlich viele hiervon auf die Web-Präsenz einer einzigen Kanzlei verweisen. Vielleicht ist dies nicht völlig außergewöhnlich, da ebendiese Kanzlei ja die Kritik eben auf gerichtlicher Ebene vorgenommen hat. Bemerkenswert ist aber, dass auch eingescannte Schreiben der BRAK, Urteile und andere Texte Dritter aus deren "Archiv" verlinkt sind. Bei mir entsteht da ein leichter Eindruck von Geschmäckle. Im Anschluss und nach einer wikiblame-Recherche, fiel mir zusätzlich auf, dass die Beiträge von Alvadrom auch in anderen Artikeln großenteils darin bestehen, die Web-Präsenz der besgaten Kanzlei zu verlinken. Sehe ich hier Gespenster?--Hagman (Diskussion) 17:41, 25. Jun. 2016 (CEST)Beantworten

Ja, da siehst Du Gespenster, ich bin mittendrin in der Thematik, und da brennt wirklich die Luft. --Denalos(quatschen) 18:43, 25. Jun. 2016 (CEST)Beantworten

Rechtliche Situation im September 2016 unübersichtlich

[Quelltext bearbeiten]

Laut offizieller Ausage der BRAK soll das BeA im September 2016 final starten, allerdings eben nicht zur rechtsverbindlichen Nutzung. Diese Situation macht es für den Unbeteiligten extrem unübersichtlich. Vorgesehen war, dass mit dem Start des besonderen elektronischen Anwaltspostfachs die Nutzung quasi auch rechtswirksame Wirkung hat. Durch die aktuellen Rechtsstreite, die auch im Artikel aufgeführt sind, wird das Anwaltspostfach nun doch nicht rechtsverbindlich zur Nutzung freigeschaltet, sondern - man könnte sagen - nur so. Wie diese Form der Freischaltung wirken kann und ob sie nich doch noch einmal verschoben wird, ist derzeit nicht absehbar. --Denalos(quatschen) 20:58, 3. Sep. 2016 (CEST)Beantworten

Ich würd mal sagen, die BRAK weiß derzeit selber nicht, wie es genau weitergeht. Bislang gab es ja die Einstweilige Anordnung. Das zugehörige Hauptsacheverfahren ist ja meines Wissens noch nicht abgeschlossen.--Losdedos (Diskussion) 02:27, 4. Sep. 2016 (CEST)Beantworten
Am 28. September 2016 geht der Spaß mit einem weiteren einstweiligen Anordnungsverfahren vor dem I. Senat des Anwaltsgerichtshofs Berlin in die nächste Runde bzw. in die dort anberaumte mündliche Verhandlung.--Losdedos (Diskussion) 02:31, 4. Sep. 2016 (CEST)Beantworten
Derzeit gibt es für die Softwarehersteller auch noch absolut irgendwie mal so gar nichts zum Testen oder zum Programmieren, nichts genaues weiß man gar nicht. Entsprechend ist auch nicht im Entferntesten absehbar, wann die diversen Programmsysteme das Postfach unterstützen werden (nach Definition der Schnittstellen und Etablierung eines funktionierenden Testsystems mindestens ein dreiviertel Jahr). Vor dem Abschluss des Hauptsacheverfahrens wird das Postfach mit Sicherheit nicht rechtsverbindlich freigeschaltet. Die Einprogrammierung einer selektiven Freischaltung ist - angeblich - immens teuer, daher auch nicht so mal auf die Schnelle machbar. Das diese Aussage bei Softwarehäusern auf verständnisloses Kopfschütteln stößt, ist nachvollziehbar (wo soll das Problem einer selektiven Freischaltung sein???). Die klagenden Anwälte hatten ja auch schon gesagt, dass sie im Falle des Unterliegens (was nicht absehbar ist) vor den EuGH ziehen werden. All diese - aktuellen - Wissenstände können sich jedoch von heute auf morgen wieder ändern. --Denalos(quatschen) 11:59, 5. Sep. 2016 (CEST)Beantworten

Fehlende Belege / Original Research

[Quelltext bearbeiten]

Näheres dazu dort. Die Diskussion bitte gegebenenfalls hier weiterführen, da das wohl der bessere Ort dafür sein dürfte.--Losdedos (Diskussion) 19:30, 13. Dez. 2016 (CET)Beantworten

Die Beibringung von Details, Belegen und Referenzen ist beim beA-Artikel immer mit großem Aufwand verbunden, da die BRAK scheinbar gar kein Interesse daran hat, dass das beA in den Fokus der Öffentlichkeit gelangt. Infos sind daher spärlich gesäht und in der Regel nur über Dritte zu bekommen, die das beA dann in eigenem Interesse kommentieren. In den Fachzeitschriften und Magazinen wird man erst dann etwas finden, wenn das ganze System weitreichend etabliert ist (in welchem Status auch immer). Man findet zwar immer wieder Informationen auf den Seiten einzelner Softwarehäuser, diese Informationen hier einzupflegen ist jedoch schwierig, da solche Links dann mal sehr schnell als vermeindliche SEO wieder gelöscht werden. --Denalos(quatschen) 09:05, 14. Dez. 2016 (CET) erledigtErledigt --Denalos(quatschen) 13:33, 7. Feb. 2018 (CET)Beantworten

ungeklärte Haftungsfragen

[Quelltext bearbeiten]

Unabhängig von der technischen Diskussion sowie der Nutzung des Systems ergeben sich grundsätzliche Haftungsprobleme, die noch einer Klärung bedürfen. Vorausgesetzt, dass ein Softwareclient, der die Anbindung einer Fachsoftware an das beA ermöglicht, von der BRAK zugelassen wurde, ein solcher Client also regelkonform eingesetzt werden kann bzw. darf, stellt sich die essentielle Frage der Haftungsübergänge, die sich aus verschiedenen Gründen ergibt:

  • Die Daten sind Ende zu Ende verschlüsselt, der Transportdienstleister kann (per Definition) nicht auf die Daten fachlich zugreifen
  • Die Datenformate, die in den verschlüsselten Paketen enthalten sind, können nur vor der Verschlüsselung und auf der Empfängerseite nach der Entschlüsselung geprüft werden
  • Es ist keine definierte Verfügbarkeit spezifiziert
  • Es gibt keinen öffentlich einsehbaren Verfügbarkeitsstatus

Daraus folgt:

  1. Alleine aus einer selbst erfolgreichen Datenübermittlung kann nicht geschlossen werden, dass die übermittelten Daten auch korrekt sind, das bedeutet, dass die Datenformate von via beA eingereichten Schriftstücken ggf. auf der Empfängerseite nicht verarbeitet werden können und somit Fristversäumnisse entstehen
  2. Es gibt keine effektive Möglichkeit des Virenschutzes, da die Entschlüsselung der Daten erst hinter einer Viren-/Trojanerschutz-Software erfolgt
  3. Eine Beweisführung bei nicht erfolgreicher Datenübermittlung ist nicht trivial, da nicht ohne weiteres festgestellt werden kann, aus welchem Grunde an welcher Stelle des Transportweges eine Übermittlung verzögert wurde oder scheiterte. Die Frage der Haftungsübergänge ist damit derzeit ungeklärt
  4. Einer Überlastungssituation im Bereich der beA-Server kann nicht ohne weiteres durch Hinzunahme weiterer Server begegenet werden, da der Zugriff auf das Hardwaremodul zur Schlüsselverwaltung und Umschlüsselung (HSM) prinzipbedingt einen single point of failure darstellt und aus Sicherheitsgründen auch nicht ohne weiteres repliziert werden kann bzw. darf

Für den Fall von Fristversäumnissen auf Grund fehlgeschlagener Übermittlungen gibt es zwar die Möglichkeit der Wiedereinsetzung in den vorherigen Stand, in wie weit sich dies jedoch immer realisieren läßt und welche finanziellen Schäden sich daraus ergeben und wer für diese Schäden (auf Grund undefinierter Haftungsübergänge) haftet, ist ungeklärt. Zur Versicherungsthematik liegen ebenfalls noch keine Aussagen der Versicherungsunternehmen vor. --Denalos(quatschen) 14:42, 18. Dez. 2016 (CET)Beantworten

Kritik

[Quelltext bearbeiten]

Was macht den Beitrag des Rechtsanwalts Ralph Hecksteden mit der Kritik zur Ende-zu-Ende-Verschlüsselung zu einer ungeeigneten Quelle? Wo ist der Unterschied zu den Quellen des SIV-ERV? Und bitte nicht mit "Quelle leider nicht brauchbar, da als Referenz ungeeignet" argumentieren. Das ist ja wohl ein Hohn an Begründung. Als wissenschaftlich arbeitendes Medium sollte die WP die Originalquellen zitieren. --EearWP (Diskussion) 08:54, 13. Mär. 2017 (CET)Beantworten

Ich persönlich sehe das genauso wie der Rechtsanwalt, das Problem ist jedoch, dass das Einzelmeinungen sind, die nicht öffentlich rezipiert wurden. Wenn diese Meinung in einer Fachzeitschrift auftaucht oder in einer anderen reputablen Quelle wiedergegeben wird, dann könnte man sie vielleicht stehen lassen. So in dieser Form ist es jedoch eine unbelegte Einzelmeinung, die in der WP dann leider als Werbung für die Kanzlei angesehen wird, und sowas mag man in der WP nicht. Es geht also nicht um die Kritik an sich, sondern um die Quelle. Quellen müssen immer reputabel sein, und das sind Einzelpersonenquellen so gut wie nie. Damit möchte ich Herrn Gersheim definitiv nicht zu nahe treten, denn sein Bemühen in der Sache mag durchaus redlich sein. Ich kenne persönlich gut ein Dutzend Leute, die sich zum beA äußern könnten (und auch geäußert haben), aber all dies ist nicht öffentlich rezipiert, und daher nicht anführbar. Aus dem gleichen Grund werden in der WP zum Beispiel auch keine Forenbeiträge aufgenommen. --Denalos(quatschen) 12:11, 13. Mär. 2017 (CET)Beantworten
"Sind wissenschaftliche Publikationen nicht oder nicht in ausreichendem Maße vorhanden, etwa bei Themen mit aktuellem Bezug, kann auch auf nicht-wissenschaftliche Quellen zurückgegriffen werden, sofern diese als solide recherchiert gelten können." https://de.wikipedia.org/wiki/Wikipedia:Belege --EearWP (Diskussion) 13:02, 13. Mär. 2017 (CET)Beantworten
Gerade bei der soliden Recherche wird die Luft beim BeA jedoch sehr dünn. Da es keine öffentliche Dokumentation zum tatsächlichen Systemlayout gibt, ist man auf eine logische Herleitung angewiesen, die die BRAK immer als unkorrekt ohne Erbringung eines Gegenbeweises ablehnen kann. Ein wissenschaftlicher Bezug muss eine Herleitung sein, und eine solche Herleitung wird annahmenbasierend sehr schwierig. Ich kann nur betonen, dass ich das mit dem BeA in Punkto Ende zu Ende Verschlüsselung genauso sehe, aber um das in der Wikipedia unterzubringen braucht es halt mehr als eine Einzelmeinung, egal wie fundiert sie ist. Sowie irgend jemand mal diese Sache eskaliert, bin ich der Erste, der das in die WP bringt. --Denalos(quatschen) 10:36, 14. Mär. 2017 (CET)Beantworten
Nachtrag: Der Abschnitt mit der Diskussion zur Fragwürdigkeit der Verschlüsselung stammt übrigens von mir, ich wäre also froh, wenn man das wikipediakonform untermauern könnte, ist mit der Einzelmeinung jedoch leider nicht möglich :-( --Denalos(quatschen) 18:54, 14. Mär. 2017 (CET)Beantworten
Wieso dürfen nun Beiträge von "WERNER Rechtsanwälte Informatiker" unter Weblinks zitiert werden? Stringenz? --79.199.51.4 23:34, 5. Jan. 2018 (CET)Beantworten
Man kommt mit dem Pflegen des Eintrags einfach nicht schnell genug nach. Die Referenz auf Werner-Rechtanwälte, gehört auch nicht in den Artikel und wurde daher von mir gelöscht. Generell sollten im Artikel gar keine Referenzen auf einzelne Anwälte drin stehen. Es gehören in den Artikel nur Referenzen auf offizielle Verlautbarungen der Beteiligten sowie Pressmeldungen. Alle Referenzen auf Kanzleien wirken in diesem Artikel ganz generell eigentümlich (oder sehen nach Werbung aus). --Denalos(quatschen) 12:38, 6. Jan. 2018 (CET)Beantworten

erledigtErledigt --Denalos(quatschen) 13:34, 7. Feb. 2018 (CET)Beantworten

Keine neuen Erkenntnisse zur Ende-zu-Ende-Verschlüsselung auf 34C3

[Quelltext bearbeiten]

Die Sätze zum 34C3 kommen so rüber, als ob die Ende-zu-Ende-Verschlüsselung erstmals Ende 2017 diskutiert worden wäre. Vielmehr ist diese Diskussion schon seit ca. zwei Jahren auf Fachkongressen in der Rechtsinformatik-Szene belegt. Siehe JurPC Web-Dok. 47/2016 Rn. 21 (http://www.jurpc.de/jurpc/show?id=20160047). --EearWP (Diskussion) 17:26, 2. Jan. 2018 (CET)Beantworten

Stimmt, ich kann mich erinnern. Das gehört dann allerdings auch in den Artikel, ich werde mal versuchen das einzubauen. --Denalos(quatschen) 17:50, 2. Jan. 2018 (CET)Beantworten
erledigtErledigt --Denalos(quatschen) 18:02, 2. Jan. 2018 (CET)Beantworten

Pannen straffen

[Quelltext bearbeiten]

Durch die aktuellen Entwicklungen entwickelt sich der Abschnitt über die Sicherheitspannen fast zu einem Newsticker. Wenn dieses ganze Thema erledigt ist, sollte darüber nachgedacht werden, ob der Abschnitt nicht etwas eingedampft werden kann. --Denalos(quatschen) 09:33, 3. Jan. 2018 (CET)Beantworten

Habe nun noch eine Panne hinzugefügt. Es ist die meiner Meinung nach gravierenste Panne, da sie zum einen die Anwaltsrechner insgesamt angreifbar macht und zum anderen ein Jahr lang zumindest Governikus bekannt war und jemand entschieden haben muss, dass die Anwaltsrechner kein Sicherheitsupdate bekommen sollen. Der Bug ist gut belegt und verlinkt. Die Bewertung des Ganzen finde ich schlüssig - fast zwingend - ist aber meine Meinung. Ist dieser Ansatz so Wikipedia-geeignet? Oder soll darauf gewartet werden, bis das Thema in LTO, Heise etc. aufgegriffen wurde? Auf meiner Website habe ich dazu auch etwas geschrieben - aber verlinkt habe ich die nicht. Insgesamt finde ich, dass die Pannenrubrik ausführlich bleiben sollte. Schließlich ist deshalb das Anwaltspostfach mindestens ein halbes Jahr offline und es würde mich nicht wundern, wenn es mehr als ein ganzes Jahr werden wird. --Erbguth (Diskussion) 07:34, 9. Apr. 2018 (CEST)Beantworten

Deine neue Hinzufügung finde ich sehr gut und informativ; ich habe sie nur ein klein wenig neutralisiert, denn trotz der - wohl bei allen Beteiligten - vorhandenen Emotionen sollte die WP so neutral wie möglich bleiben (schon, um sie nicht angreifbar zu machen). Wenn sich das Ganze so weiterentwickelt, dann dürfte diese Historie des "Versagens" ein Dokument der Zeitgeschichte werden, dann sollte sie auch komplett erhalten bleiben (vielleicht ein klein wenig gestrafft). --Denalos(quatschen) 08:57, 9. Apr. 2018 (CEST)Beantworten
Leider war ich da einer Fehlinformation aufgesessen. Das Sicherheitsproblem war echt - aber die Information, dass Governikus nicht reagiert hätte, war wohl falsch. Ich habe beim Schulungsclient die Versionsnummer überprüft und es ist nicht mehr die alte problematische Version. Governikus hat mir geschrieben, dass sie die Version bereits im Mai 2017 gepatched hätten. Das kann ich zwar nicht im Detail überprüfen, halte ich aber für plausibel. Daher bitte ich Governikus und alle Leser_innen hier um Entschuldigung für meine voreiligen Schlüsse. --Erbguth (Diskussion) 12:14, 9. Apr. 2018 (CEST)Beantworten
Fehler passieren, wurde ja auch schnell wieder beseitigt. Denoch: Wurde irgend jemand darüber informiert, dass da ein Fehler vorhanden war, und welche Konsequenzen sich daraus ergeben und wie damit umzugehen ist? --Denalos(quatschen) 12:26, 9. Apr. 2018 (CEST)Beantworten

Kanzleisoftware & EGVP

[Quelltext bearbeiten]

Bitte um Erklärung, worum es sich bei den beiden in der Einleitung genannten Begriffen handelt. Vielen Dank! (nicht signierter Beitrag von 2001:A62:71F:F01:3072:2968:C011:EDD1 (Diskussion) 20:18, 27. Jan. 2018 (CET))Beantworten

Kanzleisoftware: Programmsysteme von verschiedenen Anbietern, die für das Management und die Verwaltung sowie die juristische Bearbeitung von Vorgängen zuständig sind. Insgesamt gibt es in Deutschland rund 20 Anbieter derartiger Systeme
EGVP: Elektronisches Gerichts und Verwaltungspostfach. Eine eigenes Kommunikationssystem basierend auf einem eigener Kommunikationsstandard (der überwiegend aus einer Mischung existierender Standards besteht). Mittels EGVP werden Nachrichten zwischen (einfach ausgedrückt) Behörden ausgetauscht. Es gibt/gab diverse Möglichkeiten, dass auch Rechtsanwälte/Notare/einfache Bürger Daten in das EGVP-System einstellen konnten. --Denalos(quatschen) 12:50, 28. Jan. 2018 (CET)Beantworten

Teilnehmer

[Quelltext bearbeiten]

Die Überschrift ist irreführend, da die Gerichte keine Teilnehmer des besonderen elektronischen Anwaltspostfach sind. Die gesamte Kommunikation läuft über das elektronische Gerichts- und Verwaltungspostfach, EGVP. Das besondere elektronische Anwaltspostfach ist keine eigene Kommunikation, sondern stellt nur für Rechtsanwälte den Zugang zum EGVP hier und ersetzt für Rechtsanwälte den EGVP Bürgerclient. --Lapp (Diskussion) 17:04, 6. Feb. 2018 (CET)Beantworten

Artikeländerungen und Standardisierungen

[Quelltext bearbeiten]

Wie überall in der WP ist die Mitwirkung auch an diesem Artikel sehr herzlich willkommen. Der beA-Artikel wandert zwischen zwei Welten. In erster Linie ist es ein technischer Artikel, der jedoch einen kräftigen juristischen Einschlag hat. Es wäre wünschenswert, wenn sich die Mitwirkenden an WP:Korrektoren halten und den Artikel nicht nach eigenem Gusto in die persönlichen Präferenzen überführen würden. Die meisten Wikipedianer halten sich daran. Wenn man hier überhaupt einen bestimmten Stil anwenden wollte, dann müsste man wohl dem "Handbuch der Rechtsförmlichkeit" folgen (herausgegeben vom BMJV), das wird jedoch ohnehin so gut wie nie gemacht. Insofern ist es nur essentiell, dass ein durchgängig konsistentes Erscheinungsbild gewahrt bleibt.
Von großer Wichtigkeit ist auch die Berücksichtigung der Zeitformen. Das beA ist ein noch immer aktives laufendes Projekt; alleine die Tatsache, dass es derzeit nicht nutzbar ist, ändert nichts an der rechtlichen Situation. Es ist entsprechend nicht sinnvoll, vom "ehemaligen beA" zu sprechen oder den Artikel entsprechend anzupassen.
Wenn "sich der Staub gelegt hat" und das beA einen irgend gearteten Status Quo ereicht hat, kann man immernoch schauen, wie man den Artikel vielleicht besser gestaltet. --Denalos(quatschen) 14:12, 11. Feb. 2018 (CET)Beantworten

Die Situation ist überschaubar. "Warten bis sich der Staub gelegt hat" würde die wesentliche Artikelarbeit verhindern. Mein Vorschlag zur Strukturierung und mit Bitte um Kommentierung:
  • Das Lemma meint sowohl das 'Projekt', als auch das frühere (ggf. auch spätere?) 'Produkt'. Beides ist zu unterscheiden.
  • Das frühere Produkt 'BeA' mit seinen früheren Leistungsmerkmalen sollte dargestellt werden
  • Die früheren und aktuellen Projektarbeiten und Ziele sollten dargestellt werden
  • Ebenso Details zu den früheren Sicherheitslücken
  • Ebenso die rechtliche Grundlage mit Historie
  • Formulierungen, die wie 'Glaskugellesen' die Zukunft vorhersagen, was "irgendwann ganz bestimmt mal kommen wird", sollten vermieden werden
Aus meiner Sicht finden sich alle wesentlichen Beschreibungen bereits im Artikel, nur eben verstreut und z.T. im falschen Abschnitt. Der Abschnitt ==Teilnehmer== z.B. beschreibt Ziele, alte Produktmerkmale, und gleichzeitig die Einführungsprozedur 2016. Wir können uns auch an ähnlich gelagerten Artikeln (-> BER) und deren - trotz aktueller Entwicklungen - klaren Struktur orientieren. --Wunschpunkt (Diskussion) 23:18, 13. Feb. 2018 (CET)Beantworten
Interessanterweise hat sich vom ersten bis zum letzten Tag ja eigentlich garnichts an dem Gesamten geändert. Das Anforderungsprofiel ist immer gleich geblieben, die Geheimnistuerei ist identisch, die Nutzergruppe ist (annähernd) gleich geblieben. Das "finale Produkt" unterscheidet sich also eigentlich nicht vom - durch den Gesetzgeber von Anfang an - vorgegebenen Rahmen. Ein essentielles Problem ist schlicht, dass niemand die tatsächlichen Verträge kennt, mithin auch keine brauchbaren (vor allem nicht mit Nachweisen versehenen) Aussagen gemacht werden können. Das gilt gleichermaßen für die gesamte Projektplanung und Einführung. Ist alles Verschlussache, und wir müssen wohl erstmal abwarten, bis irgend jemand die Unterlagen auf der Basis des IFG "herausklagt". So ziemlich alles in dem Artikel ist daher "von irgendwo zusammengetragen". Wie will man da eine Struktur reinbringen? --Denalos(quatschen) 11:25, 14. Feb. 2018 (CET)Beantworten
Ich würde zwischen den Zielen ("der Vision") unterscheiden, die sowohl von der BRAK als auch vom Gesetzgeber getragen wird, sowie dem inzwischen real fortgeschrittenene Status (u.a. der "erste Versuch einer Einführung"). Abweichungen zwischen Ziel und Realität sind bei komplexen Thematiken nichts Ungewöhnliches und treten bei i.d.R. immer auf. Man kann beide klar strukturieren und natürlich auch gegenüberstellen. Wenn die Ziele bzw. gesetzliche Grundlage zwischenzeitlich unverändert ist - um so besser.
Eine Frage hierzu: Ist der Name "Besonderes elektronisches Anwaltspostfach" gesetzlich festgeschrieben oder ist er eine Erfindung der BRAK? --Wunschpunkt (Diskussion) 23:14, 28. Feb. 2018 (CET)Beantworten
Nur eine kurze Antwort, da ich keine Zeit habe. Die Bezeichnung Besonderes elektronisches Anwaltspostfach ist vom Gesetzgeber im Rahmen einer Verordnung festgelegt worden. --Denalos(quatschen) 16:06, 1. Mär. 2018 (CET)Beantworten
Die Bezeichnung stammt zwar vom Gesetzgeber, aber nicht durch die vorstehend genannte Verordnung (die stammt vom Bundesjustizministerium), sondern durch § 31a BRAO. --Opihuck 19:36, 1. Mär. 2018 (CET)Beantworten
Stimmt, war ein Schnellschuss von mir, da ich keine Zeit hatte ...-Denalos(quatschen) 19:53, 1. Mär. 2018 (CET)Beantworten
Ergänzt. Danke Euch!
Erwähnenswert ist dann ferner aber auch die 'Verschlusssache' an sich, soweit sie tatsächlich unter das IFG fällt (?). --Wunschpunkt (Diskussion) 22:26, 9. Mär. 2018 (CET)Beantworten
Welche Verschlusssache? Die ganze IFG-Thematik ist ein wunder Punkt beim beA. So ziemlich alle Juristen, die sich bei den div. öffentlichen Diskussionen geäußert haben (außer denen bei der BRAK), sind der Ansicht, dass die BRAK (fast) alles offenlegen muss. Die BRAK zieht sich immer wieder mit verschiedenen Argumenten darauf zurück, dass sie nach dem IFG nicht auskunftspflichtig ist. Sie hatte sogar versucht, auf den Gesetzgeber daraufhin einzuwirken, dass eine gesetzliche Ausnahme vom IFG für das beA (oder die BRAK) geschaffen wird (was der Gesetzgeber ablehnte). Bis dato ist die BRAK mit ihrer Interpretation zur "Nichtauskunftspflicht" immer gescheitert, das hindert sie jedoch nicht daran, immer wieder darauf zu beharren, was darauf hinausläuft, dass - derzeit - jede entsprechende 'Auskunft erneut eingeklagt werden muss (auch das wurde in den Besprechungen/Präsentationen) thematisiert. --Denalos(quatschen) 06:05, 10. Mär. 2018 (CET)Beantworten
Jep, ebendieser Punkt ist erwähnenswert, weil inzwischen Teil der öffentlichen Debatte. Gibt es Belege dazu? Ansonsten würde ich einfach kurz darstellen, dass kein neuer Termin genannt wurde, wie auch diverse Medien berichten. --Wunschpunkt (Diskussion) 14:10, 10. Mär. 2018 (CET)Beantworten
Das ist mühsam, so weit ich mich erinnere, habe ich in den Medien darüber nichts gelesen. Allerdings kann ich mich an mindestens zwei Veranstaltungen (beide vom DAV organisiert) erinnern, in denen das thematisiert wurde. Beide Veranstaltungen wurden im Livestream übertragen (und sind immernoch abrufbar), aber welche Veranstaltungen das waren, und zu welcher Minute das geagt wurde, weiß ich nicht mehr (sie waren allerdings definitiv in Berlin). --Denalos(quatschen) 14:33, 10. Mär. 2018 (CET)Beantworten
Der Stream einer der Veranstaltungen findet sich hier: https://www.youtube.com/watch?v=_qsoEVn8tBA - organisiert von davit, AG IT-Recht im Deutschen Anwaltverein --Lapp (Diskussion) 15:52, 10. Mär. 2018 (CET)Beantworten
(Personen- statt textbezogene Auseinandersetzung von Denalos und Opihuck entfernt wg. WP:WQ -- MBq Disk 17:23, 6. Mär. 2018 (CET))Beantworten

Als Zeitpunkt wird aktuell Ende März 2018 für den Bericht von secunet zur Prüfung der Sicherheit des beA genannt sowie ein Zeitraum von mindestens 14 Tagen als Übergangsfrist zur Inbetriebnahme. -- Lapp (Diskussion) 14:32, 10. Mär. 2018 (CET)Beantworten

Stimmt, so wurde es auch nochmals bei der Veranstaltung in der Saarländischen Niederlassung vom Anfang dieser Woche bestätigt. Allerdings habe ich nirgendwo gelesen, was überhaupt der Inhalt oder Umfang des Prüfungsauftrags war/ist (auch das wird wieder geheim gehalten). Auch wurde bis dato eher eblehnend nebulös auf die Offenlegung des gesamten Prüfungsergebnisses reagiert. Insofern ist das Gutachten der Secunet für die Allgemeinheit ggf. vollkommen nutzlos. Das wäre so, als ob ich ein Gutachten darüber erstellen lasse, wie schädlich eine Atombombe ist und nach der Vorlage des Gutachtens sage, dass die Menschen im Umkreis von 500 Metern um die Einschlagstelle keine Langzeitfolgen befürchten müssen. --Denalos(quatschen) 14:41, 10. Mär. 2018 (CET)Beantworten
Warten wir doch mal ab, ob das Gutachten vollständig veröffentlicht wird. Die BRAK täte gut daran, nichts zurückuhalten. In der Regel wird der Auftrag im Gutachten zitiert. Dr. Abend sagte beim Symposium des EDV-Gerichtstages in der Landesvertretung des Saarlands in Berlin, in erster Linie werde die Client Security geprüft, daneben aber auch die übrigen Komponenten. Man kann das ja auch nicht sinnvoll isiliert prüfen. Zudem gibt es eine eigene Prüfung durch ein von ATOS beauftragtes Unternehmen. --Lapp (Diskussion) 15:48, 10. Mär. 2018 (CET)Beantworten
Abwarten ist sicherlich derzeit die richtige Vorgehensweise. Das große Misstrauen resultiert schlicht daher, dass die BRAK einerseits in der Vergangenheit 'ne Menge Informationen zurückgehalten hat (so auch das Ergebnis der diversen vorherigen Audits) und andererseits mehrere der Aussagen der BRAK sich im Nachgang als deutlich gedehnte Wahrheit entpuppt haben. --Denalos(quatschen) 17:47, 10. Mär. 2018 (CET)Beantworten

Newsticker

[Quelltext bearbeiten]

WP:WWNI Punkt 8: "Wikipedia ist kein Newsticker". - Der Abschnitt "Sicherheitspannen" hat mit den ganzen Abschnitten, die mit Am ... Januar 2018 beginnen, den Charakter eines Newstickers. Im Moment mag das angesichts der Aktualität des Themas verzeihlich sein, aber spätestens zu einem Zeitpunkt, zu dem so etwas wie eine Rückschau möglich ist, sollte stattdessen eine zusammenfassende Darstellung erfolgen. Gestumblindi 23:49, 3. Mär. 2018 (CET)Beantworten

Hallo Gestumblindi schau mal etwas weiter oben, da habe ich genau das bereits schon mal vorgeschlagen. Du hast zweifelsfrei recht mit dem Kommentar, dass das alles auf's wesentliche zusammengefaßt werden sollte. Das geht jedoch erst dann, wenn sich "alles gesetzt" hat. Nicht umsonst ist ja auch der Baustein im Artikel, der auf die stetigen Änderungen hinweist. --Denalos(quatschen) 00:18, 4. Mär. 2018 (CET)Beantworten

Ein paar Änderungs- bzw. Ergänzungsvorschläge

[Quelltext bearbeiten]

Um Editieren und Rückgängig-machen zu vermeiden, hier ein paar Vorschläge für Änderungen bzw. Ergänzungen:

Verschlüsselungstechnik

[Quelltext bearbeiten]

Herr Dr. Abend (für das beA zuständige Vizepräsident der BRAK) hat auf dem beAplus-Symposium in Berlin gesagt, dass er den Begriff "Ende-zu-Ende-Verschlüsselung" beim beA nicht mehr verwenden würde. (nicht signierter Beitrag von Erbguth (Diskussion | Beiträge) 8. März 2018, 17:33:20 Uhr)

Hat er? Kann ich mich gar nicht dran erinnern, dass er das gesagt hat (aber da wurde viel gesagt), ich war bei dem Symposium dabei, und an diese Aussage kann ich mich wirklich nicht erinnern. Vielmehr kann ich mich eher daran erinnern, dass zum wiederholten male eine neue Form der Formulierung "Der Begriff Ende-zu-Ende-Verschlüsselung sei nicht klar definiert" vorgebracht wurde. Die anderen Referenten (insbesondere Prof. Armknecht) haben dem klar widersprochen (es ist eben keine E2EE). (nicht signierter Beitrag von Denalos (Diskussion | Beiträge) 8. März 2018, 18:14:49 Uhr)
Meiner Erinnerung nach hat er das - aber es gibt keinen Mitschnitt --Erbguth (Diskussion) 18:48, 8. Mär. 2018 (CET)Beantworten
Auch ich erinnere mich an diese Erklärung, habe es aber auch nicht in meinen Notizen . -- Lapp (Diskussion) 20:02, 9. Mär. 2018 (CET)Beantworten

Sicherheitsarchitektur

[Quelltext bearbeiten]

Nicht nur die Anwälte, sondern auch deren Mitarbeiter können beA-Karten haben. Das steht an anderer Stelle auch, aber unter Sicherheitsarchitektur ist es etwas verkürzt und damit unkorrekt wiedergegeben. (nicht signierter Beitrag von Erbguth (Diskussion | Beiträge) 8. März 2018, 17:33:20 Uhr)

Das gehört an sich in die Kategorie, dass eigentlich der gesamte Artikel überarbeitet werden müsste (siehe diverse Einträge dazu hier auf der Disk). Ganz am Anfang gab es sowas wie Mitarbeiterkarten gar nicht, die kamen erst später hinzu, und das wurde nicht sauber in den Artikel eingepflegt. Die Sicherheitsarchitektur des beA ist imho ohnehin ein Graus. Ich neige dazu, dass wir das erstmal nicht anfassen, bis die Secunet ihr Gutachten vorgelegt hat, und man dann fundiertere Sachen schreiben kann. Es spricht aber nichts dagegen, schon jetzt eine definitiv falsche Darstellung zu korrigieren. eine Gesamtüberarbeitung sollte später stattfinden. --Denalos(quatschen) 18:18, 8. Mär. 2018 (CET)Beantworten
Habe einen Klammerzusatz zur Korrektur eingefügt. Eine grundsätzliche Überarbeitung kann dann ja später folgen. --Erbguth (Diskussion) 21:05, 8. Mär. 2018 (CET)Beantworten

Ich halte auch den letzten Satz für verfehlt. Man-in-the-middle verstehe ich als Beschreibung eines bestimmten Angriffs. Der verlinkte Artikel beschreibt auch diesen Angriff und ist mit "Man-in-the-Middle-Angriff" überschrieben. Das ist doch an dieser Stelle falsch. Neutral und auf Niveau eines Lexikons kann man aus meiner Sicht nur schreiben, dass die E2EE durch das HSM und die darin stattfindende Umschlüsselung unterbrochen wird. Man kann vielleicht das HSM als möglichen Angriffspunkt, nicht aber als Angriff beschreiben. --Lapp (Diskussion) 15:11, 9. Mär. 2018 (CET)Beantworten

Es gibt den Man-in-the-middle, sowie den Angriff des Man-in-the-middle (also die Man-in-the-middle-Attacke). Der Man-in-the-middle hat seine Daseinsberechtigung und Bedeutung überhaupt nur durch den Angriff. Da dieser Begriff negativ belegt ist, gibt es die positive Variante gar nicht. Andererseits ist es (nach aktuellem Kennitnisstand) unmöglich, einen Man-in-the-middle bei einer echten E2EE zu etablieren (es gibt einfach gar nichts zwischendrin). Per Definition ist jede zwischengeschaltete Person "böse" (traue nicht dem Postboten), insofern gilt wäre - wenn man die Kommunikation als E2EE bezeichnet - das HSM ein Man-in-the-middle, wenn man das HSM nicht so bezeichnen möchte, dann darf man nicht von E2EE sprechen. --Denalos(quatschen) 15:26, 9. Mär. 2018 (CET)Beantworten
Ich denke, man kann zwar gut begründen, warum die Bezeichnung "man in the middle" für das HSM nicht verkehrt ist. Ich halte es aber trotzdem für unglücklich, da es bereits den Angriff impliziert. Ich würde klar herausstellen, dass es kein E2EE ist - das behauptet ernsthaft niemand, der im Bereich Kryptographie arbeitet. Dann aber im Konjunktiv weiter schreiben, dass dadurch mit dem HSM eine Man-in-the-Middle Attacke durchgeführt werden könnte. --Erbguth (Diskussion) 18:23, 9. Mär. 2018 (CET)Beantworten
Das klingt total spannend. Wie muss ich mir das vorstellen? Kann man von außen über Web oder auf anderem elektronischen Wege auf das HSM zugreifen und dadurch eine Man-in-the-middle-Attacke durchführen? Ist es dann möglich, die über das HSM laufende Korrespondenz mitzulesen? Oder muss ich ins Rechenzentrum? Der Schlüssel ist ja in mehreren Teilen an Personen der BRAK ausgegeben, die zusammenwirken müssen, um Zugang zu haben. Brauche ich diese Personen oder kann ich mit einer davon oder sogar unabhängig von ihnen das HSM nutzen und Nachrichten mitlesen? --Lapp (Diskussion) 20:08, 9. Mär. 2018 (CET)Beantworten
Wenn das HSM richtig implementiert ist, ist es tatsächlich relativ sicher. Der "Man in the Middle" ist das HSM. Wenn also das HSM selbst böswillig wäre oder das HSM gehackt würde, dann könnten die Nachrichten alle mitgelesen werden. Man muss also darauf vertrauen, dass die BRAK oder Atos niemanden - also auch nicht unseren Geheimdiensten - eine Abhörschnittstelle eingebaut haben und man muss darauf vertrauen, dass die Qualität der Implementierung im HSM deutlich besser ist, als beim beA-Client. Bei einer echten Ende-zu-Ende-Verschlüsselung wäre solches Vertrauen schlicht nicht nötig. Dann müsste nur darauf vertraut werden, dass der Client richtig gebaut worden ist und dabei könnte dann OpenSource helfen. --Erbguth (Diskussion) 09:29, 9. Apr. 2018 (CEST)Beantworten
Der entscheidende Punkt ist (wie Erbguth ganz richtig anmerkt), dass man dem HSM und der Implementierung vertrauen muss. Bei "echter" E2EE muss man niemandem vertrauen; genaugenommen ist es sogar integraler Bestandteil der E2EE, dem "Postboten" (also u.a. dem HSM) gerade eben nicht zu vertrauen. Genau das ist der essentielle Unterschied. Sicherlich gibt es (hoffentlich) keinen Web-Zugriff (erst recht nicht von außen) auf das HSM, aber wie sicher kann Technik sein? Der gesamte Code im HSM ist ja mit absoluter Sicherheit nicht von Grund auf neu geschrieben worden (was übrigens aus anderem Grunde auch wieder schlecht wäre), sondern es wurde mit Sicherheit auf etablierte Komponenten zurückgegriffen. Wie sicher (oder unsicher) selbst die besten Systeme sind, konnte man den den Spectre-/Meltdown-Bugs sehen, und von denen ist mit absoluter Sicherheit auch das HSM betroffen. Es ist annähernd unmöglich, wirklich sichere Systeme zu bauen, weil "das Gesetz der Widerwärtigkeit" fast immer irgendwann zuschlägt. Aus all den Slides (die bis dato veröffentlicht wurden) geht auch nicht wirklich hervor, welche Verwaltungskomponenten im HSM tatsächlich laufen. Wenn man mal voraussetzt (und das ist nur Mutmaßung), dass sämtliches Kodieren/Dekodieren im HSM stattfindet, dann ist noch immer ungeklärt, wo denn das User-Management (also Rechte u.a.) der ganzen Postfächer stattfindet. Wenn das auch im HSM passiert, dann muss das eine wirklich dicke Kiste sein (was nicht zu den Modellbezeichnungen passt, die man in den Dokus findet). Wenn diese Verwaltung außerhalb des HSM stattfindet, dann hat man genau hier einen weiteren Angriffspunkt (man greift dann nämlich nicht das HSM an sich, sondern die "drum herum" liegenden Verwaltungseinheiten an. Für so einen Angriff gibt's sogar einen Namen, das wäre eine "Out of Band Angriff"). Ich habe auch absolut nichts davon gehört oder gelesen, dass bei der ganzen Infrastruktur (oder dem HSM oder den Clients) ein Code Coverage stattgefunden hat (sowas ist z.B. in der Medizin und in den essentiellen Automotive-Bereichen unabdingbar). --Denalos(quatschen) 10:05, 9. Apr. 2018 (CEST)Beantworten

kein öffentlich zugänglicher Telekommunikationsdienst

[Quelltext bearbeiten]

Sinnvoll wäre ein Verweis auf die kleine Anfrage der FDP und der Antwort der Bundesregierung darauf. (nicht signierter Beitrag von Erbguth (Diskussion | Beiträge) 8. März 2018, 17:33:20 Uhr)

Sicherlich ein guter Vorschlag, einfach machen :-) --Denalos(quatschen) 18:19, 8. Mär. 2018 (CET)Beantworten
OK mache ich --Erbguth (Diskussion) 18:50, 8. Mär. 2018 (CET)Beantworten

Hinzufügen externer Webseiten

[Quelltext bearbeiten]

Wie sollte in dem Artikel im Abschnitt Weblinks umgegangen werden, wenn es "da draußen" durchaus interessante Webseiten gibt, die umfangreich über das beA berichten, die aber über diesen speziellen Bereich hinaus quasi nicht bekannt sind? Dies auch vor dem Hintergrund, dass eine Webseite durchaus fundierte Information enthält. An sich entspricht es nicht den Regeln der WP, solche Webseiten in die Links aufzunehmen. Das Problem ist eben, das man bei einer Ausnahme sehr schnell die Tore öffnet für alle möglichen anderen Artikel. Wir hätten dann automatisch das Problem, dass jemand eine Webseite, die er mit großer Passion aufgebaut hat, via Wikipedia quasi pusht. Ist ein schwieriges Dilemma, da man ja gut von Böse nicht so ohne weiteres unterscheiden kann. --Denalos(quatschen) 18:26, 8. Mär. 2018 (CET)Beantworten

 Info: Es geht darum (hier erstmals eingefügt). Kein Einstein (Diskussion) 18:30, 8. Mär. 2018 (CET)Beantworten

Die WP-Regel ist wohl: Was sind zuverlässige Informationsquellen?. Dort steht: Sind wissenschaftliche Publikationen nicht oder nicht in ausreichendem Maße vorhanden, etwa bei Themen mit aktuellem Bezug, kann auch auf nicht-wissenschaftliche Quellen zurückgegriffen werden, sofern diese als solide recherchiert gelten können. Die hier angesprochene Quelle kann als solide recherchiert gelten, der Autor hat beispielsweise in JurPC zum Thema veröffentlicht (beAthon - das Drama geht weiter sowie Update dazu). Man muss die Frage wertend angehen. Hier sind offenbar schon drei Stimmen für das Zitat. --Lapp (Diskussion) 20:26, 9. Mär. 2018 (CET)Beantworten
Wenn wir mal das Wort "wissenschaftlich" weglassen, dann ist die Quellenlage im Artikel ja ziemlich gut (sogar mehr als das), absolut alles ist mit Belegen versehen, von "in nicht ausreichendem Maße vorhanden" kann man also nichtmal ansatzweise sprechen. Die Seite von Erbguth ist gut, keine Frage, aber sie liefert keine Information, die über den Artikel hinausgeht. Erbguth hat ja zwischenzeitlich selbst ergänzende Infos beim beA-Artikel hinzugefügt. Insofern ist Dein Belege-Hinweis interessant, greift hier aber nicht. --Denalos(quatschen) 11:42, 11. Mär. 2018 (CET)Beantworten
@Lapp, Denalos: Meiner Ansicht nach geht es bei der - als Weblink eingefügten - fraglichen Seite um die Regelungen in Wikipedia:Weblinks, nicht um Wikipedia:Belege. Zu prüfen sind insbesondere die drei Punkte von "Generell gilt" und ob gegen eine der 13 Richtlinien verstoßen wird. ME ist die Einfügung durchaus möglich, das mögen aber fachkundige Autoren entscheiden, wie sie hier ja glücklicherweise vertreten sind. Im Zweifel kann eine Dritte Meinung helfen. Kein Einstein (Diskussion) 19:44, 11. Mär. 2018 (CET)Beantworten
  • 3M: Ich würde es an der Reputation der Website festmachen, also davon, wie sie von anderen wahrgenommen wird. @Erbguth: schrieb umseitig in die Zusammenfassung, dass seine Materialsammlung (die ich grundsätzlich als weiterführend gegenüber dem Artikelinhalt sehe) Website des Monats geworden ist: Von welcher Einrichtung und wann? Gibt es weitere Einschätzungen von außen zu der Site? Wenn ja, sehe ich nichts, was gegen die Einfügung spricht. --Andropov (Diskussion) 17:23, 30. Mär. 2018 (CEST)Beantworten
Das war das Juristische Internetprojekt Saarbrücken JIPS --Erbguth (Diskussion) 09:21, 9. Apr. 2018 (CEST)Beantworten
Danke. Das Juristische Internetprojekt Saarbrücken halte ich für renommiert genug, um die Website umseitig aufzunehmen; gibt es noch Einwände? --Andropov (Diskussion) 10:11, 9. Apr. 2018 (CEST)Beantworten
@Erbguth: Es scheint jedenfalls keinen Widerstand gegen das Einbauen zu geben; wenn du das also selbst übernehmen möchtest, sollte das funktionieren. Ich schließe derweil die Anfrage bei WP:3M. --Andropov (Diskussion) 09:14, 17. Apr. 2018 (CEST)Beantworten
@Andropov: Danke für die Abstimmung. Möchte den Link auf die Seite aber ungern selbst einbauen, kenne die Prozesse bei Wikipedia noch zu wenig und möchte nicht noch einmal daneben langen. Die URL ist https://erbguth.ch/bea --Erbguth (Diskussion) 02:30, 24. Apr. 2018 (CEST)Beantworten
Verstehe ich und habe die Website eingefügt; in case of buyers' remorse please say so :) --Andropov (Diskussion) 08:35, 24. Apr. 2018 (CEST)Beantworten

Damit wir den Überblick behalten, mache ich die Sache hier mal dicht:

erledigtErledigt --Denalos(quatschen) 08:51, 24. Apr. 2018 (CEST)Beantworten

Aus gegebenen Anlaß

[Quelltext bearbeiten]

Bitte benutzt die Kommentarfunktion, die auf jeder Änderungseite gegeben ist. Dadurch können andere Autoren nachvollziehen, warum Ihr eine Änderung gemacht habt. Danke! 91.10.18.140 21:19, 18. Jun. 2018 (CEST)Beantworten

bitte verwende die Belegfunktion, da Deine Änderungen sonst stets wieder revertiert werden, vor allem wenn sie nicht zum folgenden Text passen und offensichtlich eher Deinem eigenen Standpunkt genüge tun sollen. andy_king50 (Diskussion) 21:20, 18. Jun. 2018 (CEST)Beantworten

Auch eine Verschlüsselung mit Backdoor ist eine existente Verschlüsselung. Sie fehlt also nicht. Sie ist höchstens unsicher. --ZxmtIst das Kunst? 21:24, 18. Jun. 2018 (CEST) Die inzwischen benannte "Quelle" taugt nicht im Sinne von WP:Q, denn sie ist Meinungsäußerung und nicht unabhängige Tatsachenfeststellung. Und selbst der als Quelle benannte klagende Verein spricht lediglich von einer "Sollbruchstelle" in der (sehr wohl existenten) Verschlüsselung. Bitte unabhängige Belege von fachlich einschlägig anerkannten Quellen bringen, dass eine Ende-zu-Ende-Verschlüsselung vollständig "fehlen" sollte. Ansonsten bleibt es bei der bereits dargestellten Kritik an der "Löcherigkeit" der implementierten Verschlüsselung. --ZxmtIst das Kunst? 21:41, 18. Jun. 2018 (CEST)Beantworten

die Einen (insbes. die BRAK) sehen in dem eingesetzten Verfahren eine Ende-zu-Ende-Verschlüsselung, die anderen sehen Sicherheitslücken bishin zur Ansicht, es liege gar keine E2EE vor: https://www.golem.de/news/anwaltspostfach-die-unnoetige-ende-zu-mitte-verschluesselung-von-bea-1801-132394.html . Es ist nicht an uns, diese Frage zu beantworten. Im Übrigen fehlen dem Artikel Ende-zu-Ende-Verschlüsselung brauchbare wissenschaftliche Quellen zur Definition - mit dem Wissen aus Verbraucherzeitschriften und Eigeninterpretation kämen wir hier nie und nimmer weiter. --ZxmtIst das Kunst? 07:39, 19. Jun. 2018 (CEST)Beantworten
die Secunet hat der BRAK schriftlich bestätigt, dass das, was sie da einsetzt keine E2EE ist. Die BRAK hatte daraufhin auch zugesagt, in Zukunft nicht mehr zu behaupten, dass das beA E2E verschlüsselt. Irgendwo in einer der letzten (der gefühlt tausend) Nachrichten aus den letzten drei Monaten stand das drin. Nähehere Infos z.B. hier: PDF --Denalos(quatschen) 08:08, 19. Jun. 2018 (CEST)Beantworten
der Prüfbericht der Secunet ist gar nicht veröffentlicht worden - möglich, dass die sowas gesagt haben, aber einen sauberen Beleg dafür werden wir (derzeit noch) nicht finden. --ZxmtIst das Kunst? 08:17, 19. Jun. 2018 (CEST)Beantworten

In diesem Abschnitt geht's übrigens um das Benutzen der Kommentarfunktion. Wenn Ihr an der inhaltlichen Diskussion teilnehmen wollt, dann benutzt den entsprechenden Abschnitt. 91.10.48.103 13:24, 19. Jun. 2018 (CEST)Beantworten

@Zxmt: E2EE: Wired Hacker-Lexikon, IEEE-Spectrum. In der Security and Privacy-Division des IEEE hat man das imho auch mal thematisiert, ich habe jetzt aber nicht die Zeit, mich durch die alten hefte durchzuwühlen. Der Großteil der Fachleute scheint deutlich der Ansicht zu sein, dass E2EE eine algorithmisch/mathematische/technische Unmöglichkeit der Entschlüsselung unterwegs darstellt. --Denalos(quatschen) 18:06, 19. Jun. 2018 (CEST)Beantworten

ohne dass ich jetzt Lust und Zeit hätte, das im Detail zu prüfen: "unmöglich" gibt es in der Verschlüsselung nicht (nur "unwahrscheinlich"). Und wir sind uns vermutlich darüber einig, dass eine Verschlüsselung, die mangelhaft implementiert wurde, trotzdem eine Verschlüsselung ist, oder? Sie wird dadurch nicht zu einer "Nicht-Verschlüsselung". Insofern muss man m.E. immer die mit einer Methode verfolgten Ziele/Ansprüche strikt trennen von einer konkreten Implementation. Das ist speziell bei asymmetrischen Verschlüsselungen tlw. gar nicht mal trivial, weil der (wie wohl auch hier) asymmetrisch nur ein weiterer Schlüssel verschlüsselt wird (nämlich der, mit der die eigentliche Nachricht dann symmetrisch verschlüsselt wird), der seinerseits in der ausgetauschten Nachricht enthalten ist und daher durch die Weltgeschichte geschickt wird. Auch in den bislang genannten Quellen wird nicht so recht deutlich, was die BRAK in diesem zweistufigen Verfahren auf welchen Wegen tatsächlich entschlüsseln könnte und was nicht. Helfen könnte das letzte Gutachten hierzu - das aber bislang nicht veröffentlicht wurde. Und wir können nicht kraft eigener Interpretation vage Möglichkeiten zu Tatsachen umschreiben. --ZxmtIst das Kunst? 18:23, 19. Jun. 2018 (CEST)Beantworten
Du hast recht, Grundsätzlich sind wir uns einig. Ein paar Anmerkungen kann ich aber schon noch machen. Unmöglich heißt in diesem Zusammenhang "nach aktuellem mathematischen/kryptographischen Verständnis unmöglich". Diese Unmöglichkeit kann sich immer von heut auf morgen ändern, wenn irgend jemand einen systematischen Fehler entdeckt (in der Regel in der zugrunde liegenden Mathematik). Aktuelle asymmetrische Kryptoverfahren sind schon per Konstruktion nicht unmöglich zu brechen, es ist nur aberwitzig aufwändig (und sprengt schnell mal sogar Supercomputer-Möglichkeiten). Somit kann man bei der asymmetrischen Komponente des Gesamtverfahrens durchaus von Unmöglichkeit basierend auf aktuellem mathematischen Wissensstand kombiniert mit dem Wissensstand um aktuelle Supercomputerhardware potenziert mit Faktor x sprechen. Die symmetrische Komponente des Gesamtverfahrens steht außen vor, denn die kann wohl wirklich als unbrechbar angesehen werden, egal wie viel Rechenpower jemals vorhanden sein wird (wenn sich nicht irgendwann ein mathematischer Denkfehler zeigen sollte, der ist aber nicht absehbar). Wenn jemals wirklich Quantencomputer real und in echt und wirklich zum Einsatz kommen, dann sind die aktuellen asymmetrischen Verfahren von heute auf morgen als gebrochen anzusehen (aber dafür gibt's dann schon Alternativen asymmetrische Krypto basierend auf elyptischen Kurven). Dem aktuellen symmetrischen Standard AES könnte auch ein Quantencomputer nichts anhaben. Bezüglich der Implementierung bei der BRAK (die wirklich widerwärtig kompliziert ist), sind ziemlich viele Angriffsszenarien denkbar, aber das ist alles Glaskugelei, denn niemand weiß, wie gut die technische Umsetzung erfolgte. Das Problem ist hier wohl ganz einfach, dass man sich überhaupt auf die Sicherheit einer technischen Umsetzung stützt, bei "echter" E2EE wäre die Technik schlicht egal. Ich denke, dass der zentrale Punkt folgender ist: Die BRAK argumentiert technisch "es ist alles verschlüsselt, und niemand kommt ran, weil's technische Schutzmechanismen gibt". E2EE wird vom Großteil der Fachleute jedoch anders ausgelegt: "es ist alles verschlüsselt und niemand kommt ran, weils mathematisch - nach aktuellem Kenntnisstand - unmöglich ist". Man hat also einen Widerstreit zwischen Technik und Mathematik, wobei die "Fachleute" der Mathematik den Vorzug geben, weil Technik versagen kann.
Was bei dem Secunet-Gutachten rauskommt steht in den Sternen, denn soweit ich weiß, ist nicht mal der exakte Wortlaut des Gutachtenauftrags bekannt, d.h. die BRAK konnte das Ergebnis schlicht auch via Auftrag steuern. --Denalos(quatschen) 18:54, 19. Jun. 2018 (CEST)Beantworten
ich denke, *wir* sind uns inhaltlich völlig einig. Und es steht ja auch völlig außer Frage, dass die (heftige) Kritik am Verfahren in den Artikel gehört (ich glaube, es gab sogar ähnliche Diskussionen in der "Szene", als man versuchte, PGP für den Unternehmensbereich tauglich zu machen). Nur scheint die IP hier mit den Klägerin im Real-Life in enger Verbindung zu stehen und zu versuchen, die Ansichten(=Meinungen), die in der Klage vertreten werden, als Tatsachen in den WP-Artikel bringen zu wollen. Keine ganz schlechte Idee, wenn man etwas Erfahrung mit Juristen hat, die über etwas entscheiden müssen, wovon sie in der Sache überhaupt keine Ahnung haben. Aber nicht enzyklopädisch. --ZxmtIst das Kunst? 19:03, 19. Jun. 2018 (CEST)Beantworten
Ich habe kein Problem damit, die Kläger zu unterstützen, sofern Änderungen, Erweiterungen am Artikel die Realität (also die Belege) widerspiegeln. Die IP hat nur leider sehr rabulistisch argumentiert und das ist nun mal nicht zielführend. Ich kann die Realität nicht dadurch ändern, dass ich sie in einer verdrehten Form darstelle (genau das ist ja nun mal das WP-Prinzip eben nicht). Tatsächlich ist es nun mal so, dass es offensichtlich keine Legaldefinition für E2EE gibt (schlicht weil das noch niemals gebraucht wurde). Alle Fachleute, die über E2EE gesprochen haben, haben das gleiche gemeint, und auf einmal kommen Juristen an, und belegen die Bedeutung neu (oder wie in dem beAthon einer sagte "Juristen sollten besser nicht versuchen, Kryptographen in dieser Sache zu widersprechen"). Schlussendlich ist das die einzige Möglichkeit, die ein Jurist hat, der in der Sache unrecht hat: Er definiert die Sache um (wenn du nach den Regeln nicht gewinnen kannst, dann ändere die Regeln). Das ist wohl die Kobayashi-Maru-Variante der BRAK. --Denalos(quatschen) 19:46, 19. Jun. 2018 (CEST)Beantworten
@Denalos, weiter unten kritisiert Du meinen Diskussionsstil, hier überliest Du einfach, daß Zmxt mir böswillig (und wahrheitswidrig) versteckte Motive unterstellt. Sieh genau hin, dann erkennst Du, wer den Diskussionsstil bestimmt. 91.10.48.103 11:36, 20. Jun. 2018 (CEST)Beantworten

In diesem Abschnitt geht's übrigens um das Benutzen der Kommentarfunktion. Wenn Ihr an der inhaltlichen Diskussion teilnehmen wollt, dann benutzt den entsprechenden Abschnitt. Falls Ihr diese Diskussion über die gesamte Wikipedia verteilen wollt, dann teilt mir das mit (direkt oder durch konkludentes Handeln), dann kann ich das auch einrichten. 91.10.48.103 11:37, 20. Jun. 2018 (CEST)Beantworten

Thema ist geklärt. erledigtErledigt 91.10.54.219 13:23, 20. Jun. 2018 (CEST)Beantworten

Die BRAK definiert sich die Welt

[Quelltext bearbeiten]

das beA beinhaltet KEINE EE2E, und wird GENAU DARUM kritisiert (und seit neuestem verklagt). GENAU DAS FEHLEN ist der Kritikpunkt. Ich bitte davon abzusehen, diese Lüge erneut in den Artikel einzufügen.

Danke! 91.10.18.140 21:25, 18. Jun. 2018 (CEST)Beantworten

bitte, dein eigener Standpunkt ist hier aber völlig uninteressant. Hier wird aud Basis nachprüfbarer Belege gearbeitet. Da du meinst, deine Meinung auch so und ohne Belege durch einen unerwüschten [WP:Edit war]] durchsetzen zu können, wurde von einem anderen User der Entzug des Schreibrechtes beantragt, sonst hätte ich es getan. andy_king50 (Diskussion) 21:28, 18. Jun. 2018 (CEST)Beantworten
Der Vorwurf der fehlenden Belege ist eine weitere Lüge. Gewöhn Dir bitte einen ehrlichen Umgang mit anderen an. 91.10.18.140 21:41, 18. Jun. 2018 (CEST)Beantworten

So, jetzt bin ich mal auf die Argumente oder Belege gespannt. 91.10.18.140 21:41, 18. Jun. 2018 (CEST)Beantworten

Ich antworte mal hier im richtigen Abschnitt.

Die Ende-zu-Ende-Verschlüsselung gilt keineswegs als diskussionswürdig, sie ist nämlich aktuell kein Teil des beA. GENAU DAS wird auch GENAU SO im Abschnitt beschrieben ("Eine Ende-zu-Ende-Verschlüsselung sieht anders aus"). Der erste Satz des Abschnittes ist somit mindestens irreführend und einfach zu verbessern.

"Auch eine Verschlüsselung mit Backdoor ist eine existente Verschlüsselung." - Dieser Kommentar hat keinen erkennbaren Zusammenhang zu irgendwas. Hast Du den strittigen Satz überhaupt gelesen? Ich bitte um Erläuterung.

"Die inzwischen benannte "Quelle" taugt nicht im Sinne von WP:Q" - Na sicher tut sie das. Sie belegt eindeutig und zweifelsfrei, daß das beA wegen der fehlenden EE2E kritisiert wird, genau das, was ich in meiner Änderung behauptet habe. (Falls Du übrigens die Meinung von Fachleuten zum Thema wissen willst, empfehle ich, den Abschnitt zu lesen. Dort steht alles.)

Nochmal: Meine vorgeschlagene Änderung ergibt sich unmittelbar aus dem Text des Abschnitts, siehe Zitat oben. 91.10.18.140 21:55, 18. Jun. 2018 (CEST)Beantworten

Das alles ist absolutes Basiswissen, alternativ so schnell und einfach zu googlen, daß mir außer brutaler Ignoranz oder Böswilligkeit keine Erklärungen einfallen. Ich bitte um Erläuterung. 91.10.18.140 22:02, 18. Jun. 2018 (CEST)Beantworten

Ich habe mir mal die aktuellen Änderungen angesehen, angefangen von der ersten Änderung nach dem letzten Edit von Wunschpunkt. Der vorhandene Text stammt aus der Historie und sollte/muss auch so gelesen werden. Die E2EE ist diskussionsbdefürftig, denn die BRAK hat etwas als E2EE dargestellt, was sich bei näherer Betrachtung nicht als solches zeigt. Es ist also nicht die "nicht vorhandene E2EE diskussionswürdig", sondern die "E2EE ist diskussionswürdig" (und es zeigte sich, dass sie nicht vorhanden ist). Wenn man den Text in seinem historischen Ablauf liest, dann ergibt er Sinn. Die BRAK behauptet(e), dass es eine E2EE gibt, das wurde diskutiert und mittlerweile gibt es mehrere Fachansichten, (u.a. Secunet), dass das keine E2EE ist. Die Diskussion erfolgte also nicht über die "Nichtexistenz" sondern sie erfolgte über die Existenz und das Ergebnis war der "Beleg", dass sie nichtexistent ist (oder alternativ, dass die BRAK die Unwahrheit behauptet hat oder alternativ defensiv, dass die BRAK eine Mindermeinung vertreten hat). --Denalos(quatschen) 08:21, 19. Jun. 2018 (CEST)Beantworten
Ich bin nicht sicher, was Du mit "Historie" meinst - die Diskussion hier? Die Diskussion mit dem BRAK?
Es erfolgte keine Diskussion über die Existenz der E2EE. Da hat die BRAK eine haltlose Behauptung aufgestellt und ist dafür abgeklatscht worden.
Selbst das ist aber einerlei: Kernpunkt der Kritik ist nicht die Schutzbehauptung der BRAK; Kernpunkt der Kritik ist die fehlende E2EE. 91.10.18.140 12:07, 19. Jun. 2018 (CEST)Beantworten
Die Historie in der Entwicklung des Artikels ist gemeint. Der Artikel hat sich Stück für Stück im Rahmen der Gesamtgeschehnisse entwickelt. Ursprunglich hatte die BRAK behauptet, dass sei E2EE und div. "Leute" haben (auf z.T. verlorenem Posten) dagegen argumentiert. Mittlerweile hat sich die Erkenntnis der nicht vorhandenen E2EE durchgesetzt. Der Artikel spiegelt also die Geschehnisse wieder. Und wie man weiter oben nachlesen kann, gibt es ohnehin die Absicht, den ganzen Artikel zu überarbeiten, wenn sich die Ereignisse gelegt haben. Den Artikel derzeit umzuschreiben, ergibt - da aus dem Kontext gerissen - jedoch keinen Sinn. Warten wir mal ab, wie die ganze Sache läuft, dann sehen wir weiter. Das das keine E2EE ist, sehen wohl alle Fachleute so. Es gibt jedoch auch ein paar Leute in der Branche (die keine RAe sondern eher Softwareleute sind), die die Ansicht verteten "alles Banane, sollen die das doch nennen, wie sie wollen". --Denalos(quatschen) 13:04, 19. Jun. 2018 (CEST)Beantworten
Verstehe ich Dich richtig? Du schlägst vor, den Artikel nicht zu verbessern, weil er zu einem unbekannten Zeitpunkt in der Zukunft ohnehin überarbeitet werden soll? Bitte erläutere das genauer.
Die Historie des Artikels interessiert mich ehrlich gesagt überhaupt nicht, und sollte auch keinerlei Rolle spielen. Wenn es eine Verbesserung gibt, dann sollte sie angewendet werden.
Nochmal: Die fehlende E2EE ist der eigentliche Kritikpunkt, und aktuell Klagegrund. 91.10.48.103 13:19, 19. Jun. 2018 (CEST)Beantworten
Also ich fange jetzt nicht noch mal damit an, alles von vorne aufzudröseln, was hier schon andere gesagt haben. Wenn Du meine Aussagen zur Entstehung des Artikels, zum Istzustand und zur Art der Beweisführung nicht nachvollziehen kannst, dann ist das zwar bedauerlich, aber nun mal nicht zu ändern. Ein negativer Beweis ist nun mal was anderes als ein positiver Beweis. Die (behauptete) E2EE wurde angezweifelt, das Ergebnis war die allgemeine Anerkenntnis, dass es keine E2EE ist. Die Konklusion erfolgt zum Schluss und nicht am Anfang. Am Anfang steht die Behauptung "es ist E2EE", das wird angezweifelt, am Ende steht, es ist tatsächlich keine E2EE. Das Vorgehen gehen die BRAK war eben nicht "wir verklagen Euch, weil Ihr keine E2EE gemacht habt", sondern es war/ist "Ihr habt E2EE behauptet, wir haben Euch das Gegenteil bewiesen, und jetzt verklagen wir euch, weil ihr kein E2EE macht". Wenn ich da "was rausnehme", also den Anfang umformuliere, dann ergibt das eine vollkommen andere Lesart, die nicht den tatsächlichen Ereignissen entspricht. Diese Lesart scheinen übrigens mit Ausnahme von Dir alle anderen so zu sehen. --Denalos(quatschen) 13:32, 19. Jun. 2018 (CEST)Beantworten
Du sollst hier garnichts aufdröseln, die Historie des Artikels ist mir wie schon gesagt völlig wumpe. Es geht darum, den jetzigen Zustand zu verbessern, und dazu trägt meine Änderung zweifelsfrei bei.
Zur Erinnerung: Die fehlende E2EE ist der eigentliche Kritikpunkt, und aktuell Klagegrund ("Die Klage [...] hat zum Ziel, das beA mit Ende-zu-Ende-Verschlüsselung (E2EE) so nachrüsten zu lassen, dass allein die vorgesehenen Empfänger einer Nachricht diese entschlüsseln können."). 91.10.48.103 13:38, 19. Jun. 2018 (CEST)Beantworten
Tja, schade, dass Du die ganzen Argumente nicht verstehst, das ändert aber wohl nichts. --Denalos(quatschen) 13:52, 19. Jun. 2018 (CEST)Beantworten
Klar, wenn man sich nicht Deiner Meinung anschließt, versteht man einfach die Genialität Deiner Argumente nicht. Schade, daß es keinerlei Möglichkeit gibt, etwa etwas zu erläutern oder anders zu erklären. Wozu überhaupt Kommunikation, mal ehrlich?
Zur Erinnerung: Die fehlende E2EE ist der eigentliche Kritikpunkt, zB. vom CCC ("Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, grundlegend gefährdet") 91.10.48.103 14:15, 19. Jun. 2018 (CEST)Beantworten
Ist es nicht eher so, dass Du einfach nicht verstehen willst, wie die Zusammenhänge sind? Das haben Dir ja schon diverse andere aufgezeigt. Es geht nicht darum, dass die fehlende E2EE der Hauptkritikpunkt ist (und Grund der Klage), sondern darum, wie die Darstellung im Artikel ist, und wenn Du das nicht verstehen kannst, kann ich daran nichts ändern (und die anderen Wikipedianer auch nicht). Ich werde mich nicht weiter dazu äußern, das bringt ja nichts. --Denalos(quatschen) 14:39, 19. Jun. 2018 (CEST)Beantworten
Du brichst Die Diskussion ab, indem Du meine Motive zurechtlegst. Davon kann ich Dich nicht abhalten, Du solltest Dir aber nicht einreden, daß Du hier in irgendeiner Form konstruktiv oder verantwortungsvoll handelst. Ich habe immer wieder um Erläuterung gebeten, wenn die nicht kommt, kann ich nur davon ausgehen, daß meine Interpretation richtig ist. Wie soll es anders funktionieren? (<- Das ist keine rhetorische Frage, auch wenn eine lange Antwort hier nicht hingehört.)
Ich verstehe die Zusammenhänge so, wie ich sie beschrieben habe: Es gibt irgendeine Historie, die mich nicht interessiert, weil der Artikel in der jetzigen Form ausschlaggebend ist, und der Leser nicht mit Interna belästigt werden sollte. Wenn ich das falsch verstanden habe, liegt es an Dir, das zu erläutern. Wenn Du meinst, daß die interne Historie den Artikel maßgebend beeinflussen sollte, dann liegt es an Dir, das zu begründen.
"Andere" haben mich so behandelt, wie ich es als IP gewohnt bin. Lies Dir mal die Edit-Kommentare durch, Argumente waren da nicht zu finden.
Es geht also ausschließlich darum, daß die fehlende E2EE der Hauptkritikpunkt für diesem Abschnitt ist. Das war schon von Anfang an sonnenklar und ist inzwischen eindeutig belegt. Wenn Du das anders siehst, liegt es an Dir, das zu erläutern. -- unsigniert 91.10.48.103
Dir wurde in epischer Breite erläutert, warum der Artikel so ist wie er ist, wenn Du das nicht verstehen kannst oder willst, dann kann das wohl (aktuell) niemand ändern. Argumente wurden reichlich vorgebracht, Du willst sie nur nicht akzeptieren, schlicht dadurch, dass Du sie einfach nihilierst. Sich auf den Standpunkt zu stellen "alle anderen sind doof und ich habe recht" bringt einen in der Regel nicht weiter, egal ob man als IP oder unter Nutzernamen arbeitet. --Denalos(quatschen) 16:23, 19. Jun. 2018 (CEST)Beantworten
"Sich auf den Standpunkt zu stellen 'alle anderen sind doof und ich habe recht' bringt einen in der Regel nicht weiter"
Ach? Du meinst so?
  • "Wenn Du meine Aussagen [...] nicht nachvollziehen kannst, dann ist das zwar bedauerlich, aber nun mal nicht zu ändern."
  • "Tja, schade, dass Du die ganzen Argumente nicht verstehst"
  • "Ist es nicht eher so, dass Du einfach nicht verstehen willst"
  • "wenn Du das nicht verstehen kannst oder willst, dann kann das wohl (aktuell) niemand ändern"
Oder sprichst Du von etwas anderem?
Du hast erklärt, warum der Artikel so ist, wie er ist. Ich habe erklärt, warum ich Deine Gründe nicht akzeptiere. Jetzt böte es sich an, persönliche Angriffe einzustellen und stattdessen zu erklären, wie und warum ich mich irre. So läuft das nämlich. Nicht "Ich hab's erklärt, wer nicht zustimmt ist doof", sondern der Austausch von Argumenten.
Also reiß Dich mal zusammen, und laß uns die Sache klären. Wo liege ich falsch? 91.10.48.103 17:28, 19. Jun. 2018 (CEST)Beantworten
Mal ab von dem ziemlich unsäglichen Disk-Stil sagt der CCC (den ich mal als fachlich kompetent einstufen würde): "Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, grundlegend gefährdet, da die Bundesrechtsanwaltskammer offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat." Aus der Aussage kann man eben nicht ableiten, dass keine Ende-zu-Ende-Verschlüsselung vorhanden ist. Ergo: die Fachleute sind sich nicht völlig einig und wir können und dürfen diese Uneinigkeit nicht aus eigener (behaupteter) Kompetenz entscheiden. Daher: als Mininmalkonsens in der Fachwelt dürfte gelten, dass die E2EE außerordentlich schlecht und de facto mit Backdoor implementiert wurde. Dass es durchaus kompetente Einzelmeinungen gibt, die darin sogar eine Inexistenz der E2EE sehen, darf auch gern so im Artikel dargestellt werden. Für alles andere besteht aber offensichtlich kein inhaltlicher Konsens und ohne Konsens kann etwas nicht im Artikel stehen. --ZxmtIst das Kunst? 17:38, 19. Jun. 2018 (CEST)Beantworten
(links) Der Diskussionsstil ist allerdings schlimm, das erträgt man als IP leider aber nicht selten.
Das ist eine Quelle, die man so interpretieren kann (aber nicht muß). Es gibt andere, die da deutlicher sind. Was hältst Du von dieser: "Das sogenannte besondere elektronische Anwaltspostfach (BeA) (...) nutzt bislang keine Ende-zu-Ende-Verschlüsselung." (Ich kopiere die anderen bereits erwähnten Quellen jetzt nicht auch noch runter. Such die bitte selbst raus.)
"Aus der Aussage kann man eben nicht ableiten, dass keine Ende-zu-Ende-Verschlüsselung vorhanden ist. Ergo: die Fachleute sind sich nicht völlig einig" - Ach so, die völlig unsichere Quellenlage reicht aber aus, um Deinen Standpunkt zu untermauern? Wie bitte leitest Du eine Uneinigkeit daraus ab, daß eine einzige der Quellen (IYHO) nicht völlig deutlich ist?
Was konkret hältst Du für unzureichend belegt? Die Existenz der Ent-/Verschlüsselung im Transport? Die Bedeutung von Ende-zu-Ende? Was? 91.10.48.103 02:01, 20. Jun. 2018 (CEST)Beantworten
Dir ist schon klar, dass Zxmt höchstwahrscheinlich Deinen Diskussionsstil meint, wenn er von unsäglich spricht? Es ist eine echte Herausforderung, auf Deine stets gleichartige Uneinsichtigkeit mit höflichen Argumenten und ohne PA zu reagieren. Aber sei's drum. Die von Dir genannte News-Meldung von Golem ist keine geeignete Quelle, denn die Meldung greift nur zusammenfassend eigene andere Meldungen auf. Nichts gegen Golem, die Leute wissen i.d.R. von was sie reden, aber das ist eine journalistische Seite und in diesem Falle ist das auch eine journalistische Meinung, die - wenn man böswillig wäre - als POV des Autors ausgelegt werden könnte. Eine Referenz dafür, dass das keine E2EE ist, wäre eine Primärquelle. Eine solche Primärquelle habe ich bis dato noch nicht gesehen. Nicht, dass das falsch verstanden wird, ich persönlich bin auch der Ansicht, dass das keine E2EE ist (dieser Ansicht war ich schon 2016, als ich mir die Details erstmalig angesehen hatte), aber meine Meinung zählt genauso wenig, wie die vieler anderer. Wenn die Secunet sich öffentlich dazu äußert, dann wäre das mal 'ne Aussage, die man als Quelle nehmen könnte, denn die sind als Gutachter bestellt worden. Ansonsten bleibt es bei der aktuellen Feststellung: Die weit überwiegende Zahl der Fachleute (inkl. CCC) sind der Ansicht, dass das keine E2EE ist, gutachterlich festgestellt wurde das jedoch noch nicht. Insofern kann man das auch nicht als Fakt, sondern nur als vorherrschende Meinung darstellen (so steht das im Artikel ja auch drin). Das Problem ist schlicht, dass es einen Dissens gibt zwischen dem, was die überwiegende Zahl an Fachleuten als vollkommen selbstverständlich - und daher nicht definitions- oder beweiswürdig - ansieht, und dem was irgendwo in Form einer Definition niedergeschrieben ist (nicht wirklich gefunden). Wenn's eine RFC gäbe, die das definiert, oder eine IEEE-Norm, dann wäre das klasse, habe ich aber beides nicht gefunden. So gibt es "nur" Ansichten von einer Majorität (EDVler, Kryptologen, Mathematiker) sowie von einer Minorität (Juristen). Ist dann halt nun mal blöd. Gewissermaßen ist das wie 'ne Glaubensfrage. Es gibt Leute, die sind der Ansicht, dass es eine Definition dafür gibt, was man als Wunder zu betrachten hat (und die Anzahl der gemäß dieser Definition vollbrachten Wunder sind in der katholischen Kirche eine Grundlage für eine Heiligsprechung), andere Leute halten das wiederum für Quark. Wer hat recht (beide Seiten behaupten die Richtigkeit)?. --Denalos(quatschen) 08:44, 20. Jun. 2018 (CEST)Beantworten
Mit so einer Textwolke machst Du das Antworten nicht einfach.
Wie Zxmt das versteht, sagt er nicht. Wenn Du Dir die unverschämte Art ansiehst (ohne den üblichen Haß auf IPs anzuwenden), in der ich hier von der ersten Sekunde behandelt wurde, dann wird Dir auffallen, daß ich hier nicht den Stil geprägt habe.
Du betreibst detaillierte Exegese einzelner Quellen. Gerade noch wurde nach Quellen gefragt, wenn diese geliefert werden, passen sie auf einmal nicht mehr? Wie kann ich es Dir recht machen, mit einer direkten Sprachnachricht von Alan Turing? So geht's nicht.
Was könnte eine Primärquelle zum Thema E2EE sein?
"Gutachterliche Feststellung" ist ein neuer Wikipedia-Standard für Belege, damit bin ich noch nicht vertraut. Bitte nennen mal gerade den Link zur entsprechenden Policy, damit ich mich schlau machen kann.
Ne, ist nicht blöd. Sieh mal im Artikel über Impfschäden nach, welches Gewicht da nicht-Fachleuten geboten wird. Hier wird klar mit zweierlei Maß gemessen, Quellen wirden je nach Geschmack unterschiedlich gewichtet, Sachstand wird ignoriert (Unkenntnis wäre die freundliche Interpretation). Die initiale Argumentation mit der "Historie" deutet darauf hin, daß hier diverse Autoren mit Tunnelblick rumlaufen und mal längere Pause vom Artikel machen sollten. Daß Du erklärtermaßen Schwierigkeiten hast, PAs zu vermeiden, läßt eigentlich keine Unsicherheiten an der Stelle zu.
Überhaupt Argumentation: Es würde der Plausibilität Deiner Position helfen, wenn Du nicht jedes Argument fallen läßt, sobald Du keine Antwort auf meine Einwände hast. Glaubst Du, das fällt nicht auf? Glaubst Du, ich merke nicht, daß Du eine neue Kartoffel aufnimmst, sobald Du die alte fallen gelassen hast? 91.10.48.103 11:24, 20. Jun. 2018 (CEST)Beantworten
Ich denke nicht, dass man in meinem "Geschreibsel" irgend welche PAs entdecken kann, die verwendeten Wörter machen eine PA aus, und da verwendest Du nicht gerade eine positive Ausdrucksweise. Was Quellenlagen angeht, so solltest Du Dich vielleicht mal mit dem beschäftigen, was an Quellen akzeptabel ist. Selbst reputable Medien wie der Spiegel würden hier nicht als Quelle akzeptiert werden, wenn der Spiegel nur aus dem Zusammenhang gerissene Wörter schreiben würde. Wenn eine Zeitschrift als Quelle rezipiert wird, dann nur dann, wenn in dem entsprechenden Zeitschriftenartikel selbst wiederum eine akzeptable Quelle für eine Aussage drin steht, ansonsten ist das nämlich einfach nur eine "Meinung" des Autors des Zeitschriftenartikels. Man könnte also sagen "Golem schreibt mehrmals in seinen Artikeln, dass das keine E2EE ist", aber was ist das für eine Aussage? Das würde den Artikel kein Stück verbessern oder präzisieren. Was den Wechsel der Argumentation anbelangt, so ist Dein Argument rein rabulistisch. Meine erste Argumentation ist zuende gebracht (bezüglich der Historie), da gibt's von mir aus nichts weiter zu zu sagen, die jetzt hier geführte E2EE-Diskussion hat sich aus der Ursprungsaussage fortentwickelt. Das eine hat mit dem anderen also nichts zu tun. Und vor allem, was soll das? Egal, wer hier was sagt, Du akzeptierst die Aussagen ohnehin nicht. --Denalos(quatschen) 11:39, 20. Jun. 2018 (CEST)Beantworten
Mit den Zitatzeichen implizierst Du, daß ich Deine Äußerungen als "Geschreibsel" bezeichnet habe. Das ist aber nicht der Fall, diese Bezeichnung stammt von Dir.
PAs sind selbstverständlich nicht durch die verwendeten Wörter definiert. Falls Du da anderer Meinung bist, dann teile doch bitte einen Polizisten mal folgendes mit: "Herr Förster, Sie haben Schnee auf der Mütze." Wenn Du PAs bei mir siehst, dann laß die vagen Anschuldigungen und werde konkret.
Zur Erinnerung: Das Thema PA hast Du aufgebracht, indem Du erklärt hast, daß es Dir schwer fällt, PAs zu vermeiden.
Zu den Quellen: Quellen werden nur akzeptiert, wenn die Quellen gute Quellen haben? Erneut die Bitte: Nenn uns bitte einen Link auf die Policy, in der diese Vorgehensweise beschrieben ist.
Du entscheidest, wann eine Argumentation "zuende gebracht" ist? Gab es da eine Abstimmung, die Dich zum Argumentationszuendebringer bestimmt hat? Darf ich jetzt auch entscheiden, welche Argumentationen zuende gebracht sind?
Ich habe schon einige Deiner Argumente nicht akzeptiert, und jedesmal erklärt, warum das so ist. Wenn Du darauf keine Antwort findest, dann gehe ich davon aus, daß meine Erklärung stichhaltig ist. Beispiel "Historie": So eine Überlegung hat kein Gewicht, wenn es darum geht, die aktuelle Fassung eines Artikels festzulegen (Argumente oben).
So läuft eine Diskussion. Jetzt entspannt Euch und laßt uns eine Lösung finden. 91.10.54.219 13:22, 20. Jun. 2018 (CEST)Beantworten
Ich kann mich nicht dran erinnern, dass ich irgendwas davon geschrieben habe, dass es mir schwerfällt PAs zu vermeiden (ist auch nichts im Text hier zu finden). Und ehrlich gesagt habe ich keine Lust, diese Diskussion weiterzuführen, da alle Argumente ausgetauscht (und gegenseitig nicht akzeptiert) wurden. Die "Lösung" ist einfach: Der Text (die Formulierung) bleibt erst mal so, wie er ist, da kein anderer Wikipedianer Deine Meinung teilt. --Denalos(quatschen) 13:36, 20. Jun. 2018 (CEST)Beantworten
"Es ist eine echte Herausforderung, (...) mit höflichen Argumenten und ohne PA zu reagieren."
Weißt Du was: Du hast recht, als IP habe ich hier keine Chance. War mein Fehler, ich hätte gleich wissen wollen, daß Euer Haß Euch hier nicht erlaubt, eine normale Diskussion zu führen.
Naja, ich bin relativ sicher, daß der Artikel irgendwann dann doch die Realität widerspiegeln wird. Bis dahin habt Ihr dann sicher verdrängt, wie feindselig Ihr Euch hier aufgeführt habt. 91.10.54.219 14:53, 20. Jun. 2018 (CEST)Beantworten

Es wurde um eine Dritte Meinung gebeten. 91.10.48.103

Keine Betrachtung der Ende zu Ende Verschlüsselung im Gutachten

[Quelltext bearbeiten]

Das nunmehr veröffentlichte Gutachten der Secunet enthält keinerlei Betrachtung hinsichtlich der - nicht vorhandenen - Ende zu Ende Verschlüsselung. Es scheint so, als sei das sehr bewußt im Rahmen des Auftrages ausgeklammert worden zu sein. --Denalos(quatschen) 19:34, 20. Jun. 2018 (CEST)Beantworten

Zitat aus dem Gutachten: "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden. Angaben über die verwendeten Algorithmen und ihre Parametrisierung wurden zum Teil nur summarisch gemacht. Vermisst wurde eine genaue Darstel-lung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom beA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Ge-schlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen."

Das ist doch mal eine Aussage, schlussendlich heißt das: "Niemand weiß garnichts über die Sicherheit". --Denalos(quatschen) 19:48, 20. Jun. 2018 (CEST)Beantworten

Das Gutachten befasst sich durchaus mit dem Thema der Ende-zu-Ende-Verschlüsselung. Zum einen gibt es ein paar mehr Details - z.B. die 100 Varianten, die mit dem Master-Schlüssel erzeugt worden sind (S. 78). Das Risiko der Ende-zu-Mitte-zu-Ende Verschlüsselung, dass der Masterkey noch wo anders existieren könnte, wird ausdrücklich in 5.5.3 (S. 86) behandelt: "Ob dies der Fall ist, kann im Rahmen dieses Gutachtens nicht beurteilt werden. Ist ausreichendes Vertrauen vorhanden, kann die hier aus technischer Sicht (Möglichkeit und Umfang des Schadens) als betriebsbehindernd riskant bewertete Praxis fortgesetzt werden."
Damit sagt das Gutachten, dass angesichts des lückenhaften Sicherheitskonzeptes die Umschlüsselung ein K.O.-Kriterium ist. Aber selbst mit entsprechendem Sicherheitskonzept bleibt es ein betriebsbehinderndes Problem welches eigentlich beseitigt werden sollte. --Erbguth (Diskussion) 22:21, 24. Jun. 2018 (CEST)Beantworten
Mit Deinen Ausführungen hast du natürlich recht, ich meinte mit meinem obigen Edit, dass das Gutachten keine Betrachtung darüber anstellt, was man überhaupt als E2EE zu verstehen hat, das Gutachten übergeht damit "elegant" den Punkt, dass die gesamte Verschlüsselung gem. allgemeinem Verständnis der Fachleute kein E2EE ist. Was das Gutachten - in Kurzform - schlussendlich sagt ist: "rein theoretisch wäre die Verschlüsselung gut und brauchbar, wenn man den saubere Rahmenbedingungen, Codereviews und ein passendes Gesamtkonzept implementiert hätte, ob genau dies der Fall ist, konnten wir (Secunet) jedoch nicht feststellen". Das heißt einerseits "gut gemeint ist nicht gut gemacht", heißt aber andererseits auch, "für uns ist gar nicht nachvollziehbar, was die sich dabei gedacht und wie die das umgesetzt haben". Mithin sind die ganzen Äußerungen zur Verschlüsselung eine verklausulierte Vernichtung. --Denalos(quatschen) 08:05, 25. Jun. 2018 (CEST)Beantworten
Auch wenn das Gutachten, die Definition des Begriffs nicht wiederholt, so gibt es doch einige interessante Referenzen der kryptographischen Sicherung:
"Die gesamte kryptographische Sicherung der Vertraulichkeit der Nachrichten im beA-System basiert auf der Geheimhaltung eines Satzes von Arbeitsschlüsseln, sogenannter Master-Schlüssel, die in den HSM gespeichert sind und dort verwendet werden, um Nachrichtenschlüssel oder private Postfachschlüssel zu ver- und entschlüsseln, was auch für die Umverschlüsselung genutzt wird." (S. 78)
"Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden. Angaben über die verwendeten Algorithmen und ihre Parametrisierung wurden zum Teil nur summarisch gemacht. Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom beA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen." (S. 90) --Erbguth (Diskussion) 09:13, 25. Jun. 2018 (CEST)Beantworten
Exakt die von Dir aufgeführten Stellen meinte ich mit meiner Wortwahl "verklausulierte Vernichtung". Denn schlussendlich besagt das Gutachten nichts anderes, als dass man der BRAK bezüglich der Verschlüsselung schlicht vertrauen müsse, da das alles nicht nachprüfbar ist. Eine E2EE isses damit definitiv nicht (denn die besagt, dass man gerade dem Postboten eben nicht traut) und eigentlich stellt das Gutachten damit auch fest, dass die Integrität bzw. die Sicherheit des Verschlüsselungssystems nicht prüfbar ist. --Denalos(quatschen) 09:31, 25. Jun. 2018 (CEST)Beantworten

Der Satz "Die Übermittlung von Nachrichten im beA-System erfolgt mittels einer Ende-zu-Ende-Verschlüsselung" ist sachlich falsch. Ist aktuell nicht implementiert (und soll vermutlich auch nicht implementiert werden...) Wo ist das Problem? --Wunschpunkt (Diskussion) 19:44, 25. Jun. 2018 (CEST)Beantworten

Der umbenannte Abschnitt ==Sicherheitsaspekte== erfordert(e) viel technisches Hintergrundwissen, ich habe es mal eingängiger formuliert. Ergänzungen/Anpassungen gerne im Nachgang. Das umfangreiche Gutachten dürfte in meinen Augen faktisch ruhig weiter ausgeschlachtet werden. Wir müssen jedoch von eigenen Bewertungen Abstand nehmen à la "die Architektur taugt nichts". --Wunschpunkt (Diskussion) 00:34, 26. Jun. 2018 (CEST)Beantworten

"BRAK"

[Quelltext bearbeiten]

Spricht etwas dagegen, statt "BRAK" im Text den gängigen Begriff "Kammer" zu verwenden? --Wunschpunkt (Diskussion) 00:38, 26. Jun. 2018 (CEST)Beantworten

Kammer ist unspezifisch und kann auch die lokale Rechtsanwaltskammer, sogar Ärzte-, Steuerberater-, Wirtschaftsprüferkammer etc. bedeuten. --Lapp (Diskussion) 09:28, 26. Aug. 2018 (CEST)Beantworten
Im Artikel ist aussschließlich von der BRAK die Rede, daher ist hier keine Verwechselung möglich. Die Abkürzung 'BRAK' ist keineswegs gängig (so wie z.B. 'ZDF'), daher der Vorschlag den Lesefluß zu vereinfachen. --Wunschpunkt (Diskussion) 21:52, 26. Aug. 2018 (CEST)Beantworten
erl.; in Einzelfällen jedoch verständlich klargestellt. --Wunschpunkt (Diskussion) 01:07, 2. Sep. 2018 (CEST)Beantworten

Neue Textfassung zu Verschlüsselung

[Quelltext bearbeiten]
"Bei der Übermittlung zwischen Sender und Empfänger werden die Daten mehrfach ver- und entschlüsselt. "

Es wird (auch im Kontext) suggeriert, dass die "Nachricht", worunter ein Laie nichts anderes verstehen kann als Nachrichtentext und ggf Anhänge, planmäßig entschlüsselt und neu verschlüsselt wird - dafür gibt es aber gerade keinen Hinweis oder Beleg. Soweit ersichtlich wird der symmetrische Schlüssel entschlüsselt und mit dem öffentlichen Schlüssel eines (weiteren berechtigten) Empfängers zusätzlich verschlüsselt. Der vertrauliche Inhalt bleibt gem Konzept immer verschlüsselt, bis der Empfänger ihn entschlüsselt. --ZxmtNichts schützt einen Artikel so zuverlässig vor einer Löschung, wie ein Löschantrag von mir. 07:06, 26. Jun. 2018 (CEST)Beantworten

Du hast Recht. Das grundsätzliche Problem dabei ist. Ich bin mit meiner Fassung von gestern eigentlich nicht wirklich zufrieden, da sie gewisse Fragen offen läßt. Mit der Variante von Wunschpunkt bin ich aber an sich auch nicht glücklich, da sie potentiell etwas suggeriert, was so nicht der Fall ist. Das grundsätzliche Problem ist schlicht, dass nicht-Fachleute so gut wie garnicht verstehen, was da vorgeht. Basierend auf den offiziellen Aussagen haben wir eine Nachricht, die symmetrisch verschlüsselt ist. Diese Nachricht wird (vorgeblich) niemals entschlüsselt. Der Schlüssel, mit dem diese Nachricht verschlüsselt wird, wird selbst wiederum asymmetrisch verschlüsselt. Damit ist der Schlüssel selbst wiederum auch eine Nachricht (nämlich die Schlüsselnachricht). Und diese Schlüsselnachricht wird definitiv und absolut eindeutig innerhalb des Gesamtsystems entschlüsselt.
Die Entschlüsselung der Schlüsselnachricht impliziert, dass die eigentliche Nachricht auch jederzeit entschlüsselt, mithin auch nicht mehr als verschlüsselt angesehen werden kann. Das dies tatsächlich nicht geschieht (also die "Hauptnachricht" mit dem "offen vorliegenden" geheimen Schlüssel entschlüsselt wird), ist eine reine Vertrauenssache. Dieses Vertrauen wird eingefordert (und zwar vom Diensteanbieter, d.h. der Diensteanbieter (aka BRAK)fordert vom Nutzer ein, dass man ihm vertraut.
Der Duden sagt dazu: Vertrauen: festes Überzeugtsein von der Verlässlichkeit, Zuverlässigkeit einer Person, Sache
Eine Organisation, die sich nachweislich als nicht vertrauenswürdig erwiesen (sowohl bezüglich ihrer technischen Kompetenz, als auch bezüglich ihrer Kommunikation und Dokumentation) fordert also ein, dass man ihr "nunmehr" vertraut, da alles besser geworden ist (obwohl dies definitiv laut Gutachten nicht der Fall ist). Das ist nicht nur ein Widerspruch, das ist schlicht absurd.
Zurück zum Verschlüsselungsthema: Wie stellt man in zwei Sätzen diesen Gesamtzusammenhang (ohne meine obige Polemik) OMA-tauglich dar? --Denalos(quatschen) 08:43, 26. Jun. 2018 (CEST)Beantworten
Exzellente & detaillierte Darstellung, großes Dankeschön für die Mühe!! Klar sollte das noch sauberer dargestellt werden. Vorschlag:
Zur Übertragung einer Nachricht wird diese von einer zentralen Stelle entgegen genommen bzw. ausgeliefert.
Die Nachricht wird dabei jeweils verschlüsselt übertragen. Der hierfür benutzte, identische Schlüssel
wird ebenfalls zentral verwaltet und dem Absender, wie auch dem Empfänger zu Verfügung gestellt.
So ist es beispielsweise möglich und vorgesehen, eine Nachricht zentral an andere oder weitere Empfänger zuzustellen.
Weitere Erläuterungen könnten dann Details erläutern, z.B. die 'zentrale Stelle' oder die im einzelnen vorgesehenen Verschlüsselungsarten. --Wunschpunkt (Diskussion) 22:50, 26. Jun. 2018 (CEST)Beantworten
Ergänzungsvorschlag:
Zur Übertragung einer Nachricht wird diese von einer zentralen Stelle (Dienstleister, d.h. BRAK) entgegen genommen bzw. ausgeliefert.
Die Nachricht wird dabei verschlüsselt übertragen. Der hierfür benutzte Schlüssel wird wiederum verschlüsselt und
zentral auf dem Server des Dienstleisters gespeichert.
Der Dienstleister ist grundsätzlich in der Lage, diesen Schlüssel zu dekodieren, da er selbst die Schlüssel für die Ver- und Entschlüsselung bereit stellt.
Die Wahl dieser strukturellen und technische Vorgehensweise erfolgte durch den Dienstleister mit der Begründung, dass nur eine solche Vorgehenswiese
die auch nachträgliche Umlenkung der Nachricht an andere als den adressierten Empfänger ermöglicht.
Durch administrative und technische Maßnahmen soll sichergestellt sein, dass nur berechtigte Personen die Nachrichten empfangen, also lesen können.
Laut durch die BRAK beauftragtem Gutachten sind sowohl die technischen als auch die organisatorischen Maßnahmen nicht vollständig transparent oder dokumentiert.
Die Vertraulichkeit des Gesamtsystems basiert darauf, dass sowohl dem Dienstleister selbst (der BRAK) als auch den untergeordnetetn Einheiten vertraut wird.
<hier die url auf das Gutachten rein>

Das ist jetzt zwar etwas ausführlicher, sollte jedoch einerseits verständlich sein und andererseits - da beißt die Maus keinen Faden ab - so isses nun mal (das System basiert ausschließlich auf Vertrauen) und nicht auf Kryptographie (d.h. Mathematik). --Denalos(quatschen) 08:51, 27. Jun. 2018 (CEST)Beantworten

Das sind mehr als 2 Sätze...
Es ist tatsächlich ausschweifend und kompliziert. Und du bringst auch wieder eine Bewertung der Situation mit rein. Das sollte/kann nachgelagert erfolgen. ("Der Dienstleister ist grundsätzlich in der Lage... Die Wahl dieser...")
"Der hierfür benutzte Schlüssel wird wiederum verschlüsselt" mag richtig sein, ist aber belanglos und irreführend, weil die BRAK trotzdem die Hoheit über die Schlüssel besitzt.
Du legst sehr auch viel Wert auf den Begriff Vertrauen, zu viel meiner Meinung. Die Welt besteht und funktioniert generell nur mit Vertrauen. Du vertraust vielleicht Deinem Vermieter, dass er keinen Nachschlüssel besitzt, du vertraust auf eine geeichte Benzinzapfsäule, auf das Briefgeheimnis, das Arztgeheimnis, das Bankgeheimnis und auf die Implementierung von HTTPS. Es ist normal und keineswegs außergewöhnlich, anderen Institutionen zu vertrauen, daß sie keine rechtlichen Verfehlungen begehen. Das kann man im Artikel natürlich auch (nachgelagert) nochmal entsprechend darstellen. Dass viele sich eine andere Architektur wünschen, ist auch klar...
Den abschließenden Bezug zum Gutachten finde ich in jedem Fall gut. Vorschlag daher:
Zur Übertragung einer Nachricht wird diese von einer zentralen Stelle entgegen genommen bzw. ausgeliefert.
Die Nachricht wird dabei jeweils verschlüsselt übertragen. Der hierfür benutzte, identische Schlüssel
wird ebenfalls zentral verwaltet und dem Absender, wie auch dem Empfänger zu Verfügung gestellt.
So ist es beispielsweise möglich und vorgesehen, eine Nachricht zentral an andere oder weitere berechtigte Empfänger zuzustellen.

Die notwendigen administrativen und technischen Maßnahmen wurden seitens der Kammer bislang
nicht vollständig transparent und öffentlich dokumentiert.[GutachtenRef]

Als 'zentrale Stelle' wurde von der Kammer ein IT-Dienstleister beauftragt. (ggf. in eigenen Abschnitt mit mehr Details)

--Wunschpunkt (Diskussion) 19:30, 27. Jun. 2018 (CEST)Beantworten

Ich habe den Vorschlag jetzt mal eingebaut, um die sachlichen Ungenauigkeiten ("mehrfache Ver-/Ent-schlüsselung") geradezubiegen. Abschnittüberschrift klarer. Diskussion & Ergänzungen gerne weiterhin nach Bedarf. --Wunschpunkt (Diskussion) 19:28, 29. Jun. 2018 (CEST)Beantworten
Hallo Wunschpunkt, so geht das nicht. Man muss schon mal in Ruhe über Deine Formulierung nachdenken können.
Mit Deinem jetzigen Formulierungsvorschlag schwächst du das Sicherheitsproblem in ganz erheblichem Maße ab. Der unbedarfte Leser kann jetzt nicht mehr erkennen, dass da durchaus erhebliche Sicherheitsprobleme vorliegen (das steht in dem Gutachten ja auch drin). Die Secunet schreibt selbst, dass einerseits das technische interne Verfahren nicht transparent ist und andererseits sowohl die Schlüsselverwaltung als auch die Sicherheit weder sauber dokumentiert noch einwandfrei nachvollziehbar sind.
So ziemlich alle Fachleute sind sich darüber einig, dass eine Nachricht nicht als durchgängig verschlüsselt übertragen betrachtet werden kann, wenn der Schlüssel zur Entschlüsselung dieser Nachricht irgendwo auf dem Transportwege (von irgend jemandem) entschlüsselt werden kann.
Die jetzige Formulierung hat das tatsächlich vorhandene - und dokumentierte - Sicherheitsproblem in einem Maße sprachlich "entschärft", dass man sich mit der Materie wirklich auskennen muss, um die sozusagen zwischen den Zeilen stehende Problematik zu verstehen. Genau das ist aber nun mal nicht das OMA-Prinzip. Die Wikipedia gibt eine Faktenlage wieder, aber Sie entschärft nicht aus einer Art politischer Korrektheit heraus.
Die alte Formulierung war - wenn auch nicht wirklich gut - immer noch besser, als die entschärfte aktuelle Fassung. Bevor eine neue Fassung in den Artikel eingepflegt wird, sollte das hier wirklich final ausdiskutiert werden. --Denalos(quatschen) 19:56, 29. Jun. 2018 (CEST)Beantworten
Gegen saubere Diskussion spricht nichts. Die Bewertung und öffentliche Diskussion der Fakten ("Forderung nach E2EE") würde ich, wie schon gesagt, nachgelagert in einem eigenem Abschnitt darstellen. Ebenso die früheren Aussagen der Kammer hierzu ("hat E2EE"). Daraus ergibt sich schliesslich die ganze öffentliche Diskussion, und deswegen formuliert das Gutachten in dieser Sachfrage auch so vorsichtig und bringt es nicht auf den Punkt.
Sicherheitsmerkmale
(...)
Entgegen der Darstellung der Kammer besaß die frühere Umsetzung keine durchgehende E2EE der Nachrichten.
Ein unabhängiges Gutachten vom Juni 2018 ergab weiterhin keine Hinweise, dass dies für die neue Umsetzung geplant wäre.

Kritik
(enthält bereits sehr viele Punkte und Meinungen; könnte im Einzelfall noch besser auf den Punkt gebracht werden)

Wie immer mit der Bitte um Diskussion. Insbesondere sollten zunächst wir auch eine sinnvolle Abschnittstruktur diskutieren. --Wunschpunkt (Diskussion) 10:05, 30. Jun. 2018 (CEST)Beantworten

Obige Aussage stimmt nicht:

Entgegen der Darstellung der Kammer besaß die frühere Umsetzung keine durchgehende E2EE der Nachrichten.

denn sie impliziert mehrere Dinge: 1) es gab eine frühere und eine aktuelle Umsetzung (gab's nie, es hat sich strukturell seit dem Erstentwurf nichts geändert. 2) dass es heute besser als früher ist (stimmt auch nicht, es hat ein paar Bugfixes gegeben, das beinhaltet keine finale Aussage, das Gutachten enthält auch keine finale Aussage, sondern nur eine Bestandsaufnahme). 3) keine durchgehende E2EE (das ist eine unverständliche Tautologie, denn E2EE ist immer durchgehend, die Verwendung des Wortes "durchgehend" impliziert hier, dass es eine Steigerungsform ist, das isses aber nicht).

Schlussendlich beschäftigt sich das Gutachten nicht wirklich mit der Betrachtung der Vor- und Nachteile einer E2EE. Es ist einfach keine, und das wird vom Gutachten en passant erwähnt bzw. bestätigt. In erster Linie beschäftigt sich das Gutachten mit den technischen und organisatorischen Mängeln. Stellt sich die Frage, warum das Gutachten die E2EE-Thematik nicht intensiver beleutet.

Die Antwort dürfte einfach sein:

1) Die Secunet hat wohl nicht den Auftrag bekommen, sich zur Thematik einer E2EE zu äußern (ob sie zwingend notwendig ist)
2) Secunet wird eine HSM-Technologie mit Sicherheit niemals grundsätzlich in Frage stellen (auch nicht für spezielle Einsatzgebiete), schlicht weil Secunet selbst Anbieter von HSM-Technologie ist

Schlussendlich muss man also feststellen, dass das Secunet-Gutachten in Punkto - nicht vorhandener - E2EE nichts hergibt, was nicht schon vorher bekannt war. Das Gutachten beleuchtet nur die Umsetzung einer irgend gearteten Verschlüsselungsmethode, die nicht E2EE-basierend ist (und das Ergebnis ist - vom Fachmann betrachtet - sehr schlecht)

Schlussendlich kommen wir hier zu einem Betrachtungspunkt, den ich schon sehr viel weiter oben mal erwähnt habe: Der ganze Artikel müsste komplett umgeschrieben werden. Das kann man aber wohl erst dann machen, wenn "sich der Staub gelegt hat". --Denalos(quatschen) 13:05, 30. Jun. 2018 (CEST)Beantworten

Nun ja, Formulierungen sollten nichts 'implizieren'. Sachlich falsch scheinen die knappen Aussage dann also doch nicht zu sein. Deine Implizierungen kann ich im Übrigen nicht nachvollziehen, genausowenig wie den Ansatz, den ganzen Artikel in den Müll zu schmeißen. Der Artikel ist hinreichend gut gegliedert, um einzelne Abschnitte verbessern zu können.
Tatsächlich kann man von einer 'alten' und einer 'neuen' Umsetzung sprechen, das findet sich auch bereits im Artikel. Die wenigen (unwesentlichen) Unterschiede kann man (soweit bekannt) knapp darstellen, wie ich es oben mit der Faktenlage bereits in 2 Sätze getan habe. Das Wort 'durchgehend' ist geschenkt. --Wunschpunkt (Diskussion) 19:36, 6. Jul. 2018 (CEST)Beantworten
Damit der Artikel nicht zum Abstellgleis verkommt, sondern entwickelt werden kann, würde ich og. knappe Fakten ohne das Wort "durchgehend" übernehmen. Hier nochmal der Vorschlag ohne gewollte Implizierungen:
Sicherheitsmerkmale
Zur Übertragung einer Nachricht wird diese von einer zentralen Stelle entgegen genommen bzw. ausgeliefert.
Die Nachricht wird dabei jeweils verschlüsselt übertragen. Der hierfür benutzte, identische Schlüssel
wird ebenfalls zentral verwaltet und dem Absender, wie auch dem Empfänger zu Verfügung gestellt.
So ist es beispielsweise möglich und vorgesehen, eine Nachricht zentral an andere oder weitere berechtigte Empfänger zuzustellen.
Als 'zentrale Stelle' wurde von der Kammer ein IT-Dienstleister beauftragt.

Entgegen der Darstellung der Kammer besaß die frühere Umsetzung tatsächlich keine E2EE der Nachrichten.
Ein unabhängiges Gutachten vom Juni 2018 ergab weiterhin keine Hinweise, dass dies für die neue Umsetzung geplant wäre.
Die insgesamt notwendigen, administrativen und technischen Maßnahmen wurden im Detail von der Kammer nicht veröffentlicht. [GutachtenRef]

Kritik
-bleibt-
Damit entfällt insbesondere das enzyklopädisch untragbare "genau genommen" im Abschnitt. --Wunschpunkt (Diskussion) 01:16, 23. Jul. 2018 (CEST)Beantworten

Es tut mir leid, aber Deine obige Formulierung stellt den tatsächlichen Sachverhalt so stark vereinfacht dar, dass es schlicht nicht dem entspricht, wie es tatsächlich implementiert wurde, andererseits ist die Formulierung aber so kompliziert, dass man (also OMA) nicht versteht, was da gemeint ist. Kompliziert und richtig ist eine Darstellungsvariante (die nicht schön ist), einfach verständlich und dafür nicht mehr ganz korrekt ist eine andere Variante (die auch nicht schön ist). Einfach und korrekt ist die Idealvariante, aber kompliziert und unkorrekt ist keine gangbare Formulierungsvariante. --Denalos(quatschen) 01:56, 23. Jul. 2018 (CEST)Beantworten

Wenn ich dich richtig verstehe, möchtest Du "wichtige Details" gleich zu Anfang unterbringen? Welche? Priorisierung und Detaillierung von Fakten sollte/kann nachgelagert erfolgen. Wichtig ist, dass der Textvorschlag nicht sachlich falsch ist und nicht tendenzös, also OMA-tauglich und übersichtlich. Deine Punkte 1) bis 3) habe ich berücksichtigt. Den Wunsch nach "der Übertragung kann man nicht vertrauen" explizit nicht. Weitere Meinungen sind an dieser Stelle naturgemäß erwünscht! --17:13, 30. Jul. 2018 (CEST)

Textvorschlag vom Juli 2018 entspr. (erl.) Disk. eingefügt. --Wunschpunkt (Diskussion) 15:32, 11. Aug. 2018 (CEST)Beantworten

Größenbeschränkung von Schriftsätzen

[Quelltext bearbeiten]

Größenbeschränkung von Schriftsätzen ist kein Problem des beA, sondern der zugrunde liegenden Architektur EGVP, an das das beA lediglich andockt. Das wird aus dem Abschnitt genauso wenig deutlich wie die Tatsache, dass die Begrenzung in der Praxis kaum eine Rolle spielt. Werden Schriftsätze aus Word oder einem anderen Textbearbeitungsprogramm mit PDF-Drucker in PDF überführt, entstehen nur selten zu große Dateien. Anders mag es aussehen, wenn die Schriftsätze ausgedruckt und dann mit hoher Auflösung wieder gescannt werden. --Lapp (Diskussion) 09:33, 26. Aug. 2018 (CEST)Beantworten

Der Kritikpunkt ist nicht belegt und kann daher ggf. auch entfernt werden. Der Kritikpunkt ist ein Problem des Postfachs und "der zugrunde liegenden Architektur EGVP". --Wunschpunkt (Diskussion) 23:29, 26. Aug. 2018 (CEST)Beantworten

Klageverschiebung in Artikel einarbeiten?

[Quelltext bearbeiten]

Sollte dies irgendwie (z.B. im Abschnitt "Kritik") untergebracht werden?

Interessant ist evtl. auch der letzte Absatz im Bericht, wo es um einen "untergetauchten" Anwalt geht:

Der Vertreter müsste nun auf das BeA-Postfach des verschwundenen Anwalts zugreifen, zumindest auf die Metadaten, also beispielsweise die Sender und Empfänger der Nachrichten im Postfach. Doch dieser hatte sich beim BeA noch gar nicht angemeldet. Diesen Fall hatte die Bundesrechtsanwaltskammer offenbar nicht vorgesehen.

Nachdenkliche Grüße von Iva 14:06, 17. Dez. 2018 (CET)Beantworten

Ich denke, dass die Klageverschiebung erstmal nicht von so allgemeinem Interesse ist, der Artikel enthält jetzt schon viele Newsticker-Komponenten. Das mit dem untergetauchten Anwalt ist halt eine von vielen nicht vorgesehenen Komponenten im beA; es zeigt einfach nur, dass man sich bei der BRAK keine grundkonzeptionellen Gedanken gemacht hat. Wenn man ein komplexes System baut, dann betrachtet man die Welt nicht so, wie man sie gerne hätte, sondern so, wie sie ist, d.h. man berücksichtigt möglichst alle Konstellationen, genau das hat man beim beA eben nicht gemacht, und deshalb schlägt hier immer wieder das "Gesetz der Widerwärtigkeit" zu und es beißen einen Probleme in den Hintern, mit denen niemand gerechnet hat (obwohl man damit eigentlich hätte rechnen müssen). --Denalos(quatschen) 17:27, 19. Dez. 2018 (CET)Beantworten
Auch ich meine, dass wir im Artikel nicht jeden Sonderfall behandeln müssen, zumal die BRAK ja an der Beseitigung dran ist. --Lapp (Diskussion) 10:51, 20. Dez. 2018 (CET)Beantworten

Ein Link auf beN sollte angebracht werden, sobald sich eine Wikiseite gebildet hat. Die Anforderungen, Leistungen aber auch die Probleme sind naturgemäß extrem dieselben.

https://www.heise.de/newsticker/meldung/Verschluesselung-und-Verfuegbarkeit-Aerger-mit-dem-elektronischen-Notarpostfach-4420312.html

"Der Zugriff auf das beA erfolgt entweder über einen Browser (Firefox, Safari, Chrome, Internet Explorer, der Edge-Browser wird nicht unterstützt)..."

[Quelltext bearbeiten]

Diese Angabe im umseitigen Artikel stimmt entweder nicht oder ist veraltet. Der MS-Edge-Browser kann (jetzt) verwendet weden. Der Internet Explorer wird nicht (mehr) unterstützt, vgl. hier. Das sollte man richtig stellen oder die pflegeaufwendigen Systemvoraussetzungen auch gleich ganz streichen und auf den beA-Onlineauftritt verlinken. --Legatorix (Diskussion) 14:03, 5. Aug. 2022 (CEST)Beantworten

Sicherheitsgutachten veröffentlicht?

[Quelltext bearbeiten]

Stimmt der Satz „ Die Ergebnisse von Sicherheitsüberprüfungen und die Architektur wurden nicht veröffentlicht.“ noch? Ist das nicht das Gutachten aus 2018? --2A02:F90:E18D:A800:EC6D:4189:CF74:B1FD 05:31, 17. Sep. 2024 (CEST)Beantworten