Frau mit Laptop

Leitfaden Sicherheits-Token

Informationen und Unterstützung im Rahmen der Sperrung alter Zertifikate

Die Zertifizierungsstelle der Bundesnotarkammer startete ab Juli 2024 die Sperrung aller Authentifizierungszertifikate mit einer Schlüssellänge von weniger als 3.072 Bit. 

Welche Sicherheits-Token sind von der Sperrung betroffen und warum?

Betroffen sind die

  • beA-Karten Mitarbeiter der alten Generation (Kartennummer beginnend mit 3) und
  • beA-Softwarezertifikate, zu denen eine entsprechende Kommunikation an die Inhaber erfolgt ist.

Der Austausch war erforderlich, weil die alten Zertifikate nicht über die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Schlüssellänge verfügen.

Wie habe ich davon erfahren, wenn eins meiner Sicherheits-Token ausgetauscht werden musste und somit jetzt von der Sperrung betroffen ist?

Die Zertifizierungsstelle der Bundesnotarkammer hat an alle Rechtsanwältinnen und Rechtsanwälte, mit denen ein Vertragsverhältnis bezüglich eines der betroffenen Sicherheits-Token besteht, Mitteilungen in ihr beA-Postfach versandt:

  • Ablaufbenachrichtigungen für beA-Karten Mitarbeiter und
  • Bereitstellungsbenachrichtigungen für beA-Softwarezertifikate.

Für nicht gekündigte beA-Karten Mitarbeiter wurden von August 2023 bis März 2024 Austauschkarten an die im Bundesweiten Amtlichen Anwaltsverzeichnis hinterlegte Kanzleianschrift versandt.

Für beA-Softwarezertifikate ermöglichte die Zertifizierungsstelle der Bundesnotarkammer über ihr Kundenportal den Austausch aller ausgegebenen beA-Softwarezertifikate gegen Zertifikate der neuen Generation seit Mitte November 2023.

Die meisten Rechtsanwältinnen und Rechtsanwälte haben bereits dafür gesorgt, dass ihre neuen Sicherheits-Token (meist durch die Mitarbeitenden in Verwendung) im System hinterlegt sind. Rechtsanwältinnen und Rechtsanwälte, die noch nicht auf die Bereitstellungsbenachrichtigung für beA-Softwarezertifikate reagiert haben, wurden im Zeitraum vom 23.05.2024 bis 27.05.2024 via beA-Nachricht von der Zertifizierungsstelle der Bundesnotarkammer erinnert.

(Wie) Kann ich selbst erkennen, ob mein Zertifikat über die empfohlene Schlüssellänge verfügt?

beA-Karten Mitarbeiter mit einer Schlüssellänge von weniger als 3.072 Bit sind einfach identifiziert: Es handelt sich um die alten beA-Karten Mitarbeiter, deren Kartennummer mit 3 beginnen. Neue beA-Karten Mitarbeiter tragen Kartennummern, die mit 8 beginnen. Siehe auch: 

Welche Karte für welches Postfach?.

Generell kann aber in der Zertifikatsverwaltung des beA die Schlüssellänge des Zertifikates des jeweils verwendeten Sicherheits-Tokens eingesehen werden. 

Dafür klicken Sie 

  • auf der Startseite der beA-Webanwendung 
  • unten rechts auf Zertifikate verwalten und
  • markieren im so geöffneten Dialog den zu beauskunftenden Sicherheits-Token. Nun wählen Sie
  • unten rechts die Schaltfläche Details anzeigen und sehen somit die Zertifikatsinformation des gewählten Sicherheits-Tokens.

Darin klicken Sie auf Details, um weitere Informationen angezeigt zu bekommen. Im Unterpunkt Öffentlicher Schlüssel ist u.a. die Schlüssellänge des Zertifikats einsehbar:

Zertifikatinformation mit Hinweis auf eine nicht mehr empfohlene Schlüssellänge     Zertifikatinformation mit Hinweis die aktuell verwendete Schlüssellänge

Was tun wenn?

Eine neue beA-Karte Mitarbeiter und/oder ein neues Software-Zertifikat liegt vor und ist im beA eingebunden

Sie können der beabsichtigten Sperrung der alten Zertifikate entspannt entgegensehen, sofern Sie Ihren neuen Sicherheits-Token bereits im beA hinterlegt haben. Nutzen Sie ab jetzt bitte den neuen Sicherheits-Token für die Anmeldung am Postfach. Sollte es innerhalb des beA zu Einschränkungen kommen, prüfen Sie bitte, ob die Freischaltung des jeweiligen Sicherheits-Tokens erfolgt ist.

Eine neue beA-Karte Mitarbeiter und/oder ein neues Software-Zertifikat liegt vor, ist aber noch nicht im beA eingebunden

Vermeiden Sie Einschränkungen. Stellen Sie sicher, dass die zur Verfügung gestellten neuen Sicherheits-Token jeweils in beA eingebunden werden, bevor die bislang verwendeten Sicherheits-Token unbrauchbar werden und Sie bzw. Ihre Mitarbeitenden kurzfristig keinen Zugriff mehr haben.

Anleitungen finden Sie im FAQ-Bereich (Fragen & Antworten):

Ein neuer Sicherheits-Token liegt nicht vor

Möglicherweise verwenden Sie kein Sicherheits-Token, das vom Tausch betroffen ist. 

Neben oben beschriebener Prüfung der im Einsatz befindlichen Sicherheits-Token über die Zertifikatsverwaltung des beA am eigenen PC bestehen aber weitere Möglichkeiten herauszufinden, ob möglicherweise Sicherheits-Token übersehen wurden. Das kann bspw. passieren, wenn Mitarbeitende ihre Sicherheits-Token ausschließlich am eigenen PC oder ggf. auch im Homeoffice in Verwendung haben. Im FAQ-Bereich (Fragen & Antworten) finden Sie eine Zusammenfassung weiterer Prüfmöglichkeiten unter:

Stellt sich bei dieser Prüfung heraus, dass der Tausch für beA-Softwarezertifikate versäumt wurde, besteht auch nach Juli 2024 die Möglichkeit, ein neues beA-Softwarezertifikat zu erhalten. Für jedes gesperrte Zertifikat wird ein digitaler Gutschein (Voucher) zur Verfügung gestellt, der sodann im Kundenportal der Zertifizierungsstelle der Bundesnotarkammer für ein neues Softwarezertifikat eingelöst werden kann.

Sind alte beA-Karten Mitarbeiter in Verwendung, zu denen von der Bundesnotarkammer keine Tauschkarte übersandt wurden, empfiehlt es sich die Zertifizierungsstelle der Bundesnotarkammer zu kontaktieren, um die Gründe zu eruieren. Bitte verwenden Sie dafür das von dort zur Verfügung gestellte Kontaktformular.

Ein neuer Sicherheits-Token wurde nicht rechtzeitig im beA eingebunden

Wird im beA ein zwischenzeitlich gesperrtes Sicherheits-Token zur Anmeldung ausgewählt, erscheint eine Fehlermeldung mit dem Hinweis, dass das Zertifikat nicht gültig ist oder die Gültigkeit des Zertifikats nicht online geprüft werden konnte. 

Bitte prüfen Sie, ob es einen gültigen Sicherheits-Token für diesen Zugang gibt und nutzen diesen für die Anmeldung. Für Postfachbesitzer (Rechtsanwältinnen / Rechtsanwälte) ist das i.d.R. die beA-Karte. Die Hinterlegung des neuen Sicherheits-Tokens kann dann auch nachträglich noch erfolgen. 

Anleitungen finden Sie im FAQ-Bereich (Fragen & Antworten):

Gibt es keinen alternativ nutzbaren Sicherheits-Token (z.B. bei Benutzer-Zugängen von Mitarbeitenden) stehen zwei Lösungsmöglichkeiten zur Verfügung:

  1. Handelt es sich um einen Benutzerzugang (z.B. mit der Rolle Mitarbeiter), mit dem auf sehr viele Postfächer Zugriff bestand, empfiehlt es sich, den Zugang zurücksetzen zu lassen. Hierfür nutzen Sie bitte unseren Entkopplungsantrag für Mitarbeitende
  2. Alternativ kann durch den Postfachinhaber ein neuer Benutzerzugang angelegt werden: Mitarbeiter verwalten. Hierbei ist darauf zu achten, dass abschließend dem ursprünglich genutzten Benutzerzugang für alle Postfächer sämtliche Rechte entzogen werden, um die Benutzerverwaltung übersichtlich zu halten. 

In beiden Fällen ist anschließend erneut eine Erstregistrierung mit dem neuen Sicherheits-Token erforderlich: Erneute Erstregistrierung (Mitarbeitende) nach Entkopplung

Informationsseiten

Die Zertifizierungsstelle der Bundesnotarkammer hat alle wichtigen Informationen unter folgenden Links zusammengefasst:

Der beA-Anwendersupport unterstützt mit folgenden Anleitungsartikeln:

Supportkontakte

Die Zertifizierungsstelle der Bundesnotarkammer hat in ihrer Onlinehilfe themenbezogene Unterstützung zur Verfügung gestellt und ist für konkrete Rückfragen über ihr Kontaktformular erreichbar.

Für Fragen rund ums beA und ggf. technische Unterstützung bei der Verwendung bereits vorliegender Sicherheits-Token wenden Sie sich bitte an den beA-Anwendersupport unter servicedesk@beasupport.de