Tausch der beA-Software-Zertifikate in 2024

Im Gegensatz zu den Hardware-Zertifikaten (HW) (= beA-Karten) sind die beA-Software-Zertifikate (SW) lediglich Dateien, die lokal auf dem Rechner oder einem USB-Stick gespeichert werden. Der Austausch dieser Zertifikate erfolgt, weil die Gültigkeit alter SW abläuft und weil die BNotK auch die SW auf eine zukunftssichere Schlüssellänge umstellt. Wegen Letzterem müssen auch diejenigen SW ausgetauscht werden, die jetzt noch nicht ablaufen.

Beachten Sie | Haben Sie bislang noch kein SW verwendet, können Sie nach Eingabe Ihrer SAFE-ID ein neues SW für 4,90 EUR netto pro Jahr über den folgenden Link bestellen: iww.de/s10096. Ihre SAFE-ID finden Sie im beA-Portal beim öffentlich zugänglichen Bundesweiten Amtlichen Anwaltsverzeichnis (oder ggf. in dem von Ihnen angelegten „Notfallkoffer“ für solche Informationen).

Seit November 2023 informiert die Zertifizierungsstelle (ZS) der BNotK über den Austausch der beA-Software-Zertifikate. Die erste „Bereitstellungsbenachrichtigung“ vom Absender „Bundesnotarkammer – Zertifizierungsstelle“ kam als „Benachrichtigungen (10117 Berlin)“ per beA.

Betroffene sollen sich beim Kundenportal der ZS anmelden und dort entweder das aktuelle Software-Zertifikat austauschen oder nicht mehr benötigte Software-Zertifikate kündigen. Am besten verwenden Sie den unteren Hinweis „Mit Chipkarte anmelden“. Hier kommt der weitere Hinweis, dass dazu die BNotK SAK lite benötigt wird. Diese wird in der Regel bereits auf Ihrem Rechner installiert sein, wenn Sie mit der Fernsignatur der BNotK arbeiten. Weiterhin müssen Sie den Button „secureFramework Kommunikationsfenster öffnen“ anklicken und dieses Feld während des gesamten Vorgangs geöffnet halten.

Beachten Sie | Wenn es Probleme gibt, die Signaturanwendungskomponente zu öffnen, schließen Sie ggf. die beA Client-Security und probieren es erneut.

Nach der PIN-Eingabe erscheint das Profil:

Sie werden darauf hingewiesen, dass SW zum Tausch zur Verfügung stehen. Nun können Sie Ihr SW austauschen:

Benennen Sie das SW mit einem unverwechselbaren Namen (z. B. Jahreszahl voranstellen). So können Sie das neue SW vom alten SW unterscheiden.

Vergeben Sie Ihr Passwort für das neue SW. Da dieses Passwort über die Computertastatur eingegeben wird, könnten neben Zahlen auch Buchstaben oder Sonderzeichen verwendet werden. Haben Sie für beA-Karte und SW ein identisches Passwort, kann dieses jedoch nur aus sechs Zahlen bestehen (beim Kartenlesegerät sind weder Buchstaben noch Sonderzeichen möglich).

Laden Sie anschließend das Zertifikat herunter. Sie erhalten im Download eine .p12-Datei. Speichern Sie diese Datei auf Ihrem Rechner und ggf. auch auf einem USB-Stick.

Ein Zertifikatsimport-Assistent leitet Sie durch den Vorgang:

Sie werden aufgefordert, das Kennwort für den privaten Schlüssel einzugeben. Wählen Sie dann den Zertifikatsspeicher aus (i. d. R. ist es ausreichend, den Zertifikatsspeicher automatisch auf dem Zertifikatstyp basierend auswählen zu lassen). Danach stellt der Assistent den Import fertig.

Loggen Sie sich nun mit Ihrer beA-Karte oder als Mitarbeitender mit Ihrer beA-Mitarbeiterkarte (und den Rechten 18/19) in das beA ein. Gehen Sie auf > Einstellungen > Profilverwaltung > Sicherheits-Token und wählen Sie „Neuen Sicherheits-Token anlegen“.

Vergeben Sie einen unterscheidungskräftigen Namen. Fügen Sie nunmehr das neue SW dem beA-System hinzu: „Software-Token aus Datei laden“. Laden Sie dazu die zuvor erstellte p.12-Datei. Damit das Zertifikat verfügbar wird, müssen Sie die PIN eingeben. Um die PIN zu speichern, müssen Sie die PIN-Eingabe wiederholen:

Wenn der Token-Import erfolgreich war, muss der neue Sicherheits-Token noch für das Postfach freigeschaltet werden:

Dies erfolgt mit der beA-Karte und der Eingabe der PIN:

Danach erhalten Sie die Meldung:

Da SW beliebig kopierbar sind, sollten Sie in Ihrem beA-Kartenmanagement festhalten, wer mit welchen Zugangsmitteln welche beA-Postfächer benutzt. Löschen Sie nicht benötigte SW, damit kein Missbrauch betrieben werden kann. Dies können Sie tun unter > Einstellungen > Profilverwaltung > Sicherheits-Token mit dem rechts befindlichen Button „Löschen“:

Nachdem Sie mit der PIN bestätigt haben, ist das SW gelöscht. Achten Sie allerdings darauf, dass Sie bei der BNotK auch dieses SW kündigen, wenn Sie dafür kein SW im Austausch verwendet haben.