beA ist da – So melden Sie sich an
3 CommentsSeit heute morgen hat die BRAK nun die beA-Seiten im Internet freigeschaltet. Wer im Besitz einer beA-Karte ist, kann sich nun also anmelden und das beA nutzen.
Was ist zu tun?
1. Rufen Sie bitte die Seite https://www.bea-brak.de/ auf. Es erscheint dann diese Seite:
2. Laden Sie sich die “Client Security” für das verwendete Betriebssystem herunter:
3. Es öffnet sich dann ein Speicherdialog:
4. Speichern Sie die Datei – hier: beAClientSecurity_windows.msi – ab und öffnen Sie sie mit Doppelklick. Die Client-Security wird nun installiert:
Nach der Installation lädt die Client-Security …
… und auf dem Desktop finden Sie das Symbol .
Dass die Client Security läuft, sehen Sie bei Windows unten rechts an dem entsprechenden Zeichen (hier: ganz links):
5.Nun klicken Sie auf der bea-Webseite auf “Registrierung für Benutzer mit eigenem Postfach”.
Es startet die Benutzer-Authentifizierung:
6. Wenn Ihre beA-Karte im Lesegerät steckt, erscheint dann folgender Bildschirm:
Wählen Sie dann Ihren Sicherheits-Token.
7. Sie werden dann mehrfach aufgefordert, Ihre PIN einzugeben.
8. Wenn Sie die richtige PIN eingeben, beginnt die Einrichtung Ihres Postfaches:
9. Nachdem Sie auch hier die erforderlichen oder optionalen Angaben gemacht haben, erscheint dann endlich Ihr beA-Postfach. Voilá!
10. Zukünftig müssen Sie natürlich den Registrierungsprozess nicht erneut durchlaufen – klicken Sie dann einfach nur auf “Anmeldung”.
11. Zum Abschluss noch ein ganz wichtiger Hinweis: Wenn Sie im Firefox-Browser einen Popup-Blocker verwenden, sollten Sie für die Seite https://www.bea-brak.de eine Ausnahme hinzufügen – denn sonst öffnet sich das Fenster, in dem Sie eine Nachricht verfassen können, wahrscheinlich nicht. (Ich danke dem Kollegen Rüdiger Wulff für den freundlichen Hinweis).
Wenn Sie noch Fragen zu beA haben, besuchen Sie gerne die beA-Selbsthilfegruppe auf Facebook. Dort haben sich mittlerweile über 2.800 Nutzer zusammengefunden, die sich gegenseitig mit Rat und Tat zur Seite stehen:
beA-Hilfe: Die inoffizielle Supportgruppe für beA-Anwender
Markus Stamm
Ich hatte mich schon gefreut, aber wohl zu früh. Die Installationsroutine für die Client Security hat keine Codesignatur. Warum vegißt die BRAK solche Selbstverständlichkeiten? Eine Codesignatur ist kein Allheilmittel gegen kompromittierte Software, aber die BRAK könnte ja ein Prüfmittel zur Verfügung stellen, mit dem die Echtheit der Client Security geprüft werden kann. Da diese Komponenten Dreh- und Angelpunkt des ganzen Verschlüsselungskonzepts zu sein scheint – und man eben nicht nur, wie es anfänglich hieß, Webbrowser und Internetzugang nebst Karte braucht – wundert es mich, wie man dann den Anwendern unsignierte Software zumutet. Das kennt man sonst nur von Hobbyprojekten, bei denen das Geld für das Zertifikat nicht reicht, und jedes ernstzunehmende FOSS-Projekt kann es besser. Geht ja gut an.
Rüdiger Wulf
Wenn ich Sie richtig verstanden habe, dann bemängeln Sie das Fehlen der CodeSignatur wegen der dann nicht mehr nachvollziehbaren Urheberschaft der Installationsdatei. Soweit ich weiss, lässt sich diese Datei akt. auch nur über die beA BRAK Seite runterladen. Es handekt sich ja nicht um eine Software, die ich aus diversen Quellen beziehen kann. Mithin müsste schon auf dem beA BRAK Server eine kompromittierte Datei zum Download bereit liegen, aber wenn das der Fall wäre, wäre die Datei wohl das geringste Problem des beA.
Markus Stamm
Sie sprechen einen Aspekt der fehlenden Codesignatur an, und auch das Helpdesk sagte mir, man brauche keine Codesignatur, weil eben nur über die eine Website die Installationsroutine heruntergeladen werden könne, aber dieses Argument kann ich nicht geltenlassen. Nicht umsonst ist im IT-Grundschutzmaßnahmenkatalog (M 4.117) schon seit Jahren das Vorhandensein einer Möglichkeit zur Prüfung der Quelle und Echtheit eines Softwarepakets empfohlen. In vielen Fällen, so auch bei mir, ist die Installation unsignierter Software grundsätzlich nicht zugelassen. Die Codesignatur ist nur ein Schutzelement und kein Allheilmittel, und keine Website, auch nicht die des beA, wird je definitiv gegen Angriffe geschützt sein. Es geht einfach darum, daß man für wenig Geld ein Codesignatur-Zertifikat bekommt und darüber hinaus mit geringem Aufwand dem Anwender zusätzliche Möglichkeiten zur Echtheitsprüfung geben kann, und ich überhaupt nicht nachvollziehen kann, wieso man sich so einen einfachen Schritt spart. Dasselbe gilt übrigens für die beA-Website, bei der es zu einem SSL-Zertifikat mit Extended Validation auch nicht gereicht hat.