Willkommen beim UPC
Nur ein paar Klicks, und schon…
Das UPC nimmt seine Arbeit auf und wir alt gedienten Patentanwälte mit deutscher und europäischer Zulassung können uns per Großvater-Regelung als UPC-Vertreter bestellen. Unsere Nachfolger werden dazu eine aufwändigere Ausbildung absolvieren müssen.
Der Weg bis zur Zulassung ist unerwartet steinig. Jede Kommunikation mit dem UPC muss über deren Content Management System (CMS) erfolgen. Dieses macht leider nicht den Eindruck, als wäre das ein stabiles System. Beispielsweise wird es täglich zwischen 8 und 10 heruntergefahren, einfach mal so. Links weisen ins Leere, Antwortzeiten sind manchmal im Minutenbereich, die Server geben immer mal 500er-Fehler aus und das Ticket-System ist im Effekt sehr wenig hilfreich. Immerhin arbeitet man auf Open Source Produkten, es gibt Hoffnung, dass die IT-Qualität über die Zeit eher zu- statt abnimmt.
Der Zugang beim CMS des UPC erfordert eine qualifizierte digitale Signatur, üblicherweise in Form einer SmartCard. Die ist auf dem Computer Ihrer Wahl so einzurichten, dass sie mit dem UPC verträglich ist. Dieser Schritt kann erstaunlich schwierig sein, insbesondere wenn Sie nicht genau die Konstellation von Rechnern und Software haben, von der das UPC ausgeht. Wer einen Windows 11 Rechner hat, Chrome als Browser und Adobe Acrobat als PDF Reader verwendet, hat an dieser Stelle vermutlich kein Problem. Allerdings bin ich der Auffassung, dass eine solche Konstellation in puncto Datenschutz und Datensicherheit eher unangemessen für ein unabhängiges Organ der Rechtspflege ist. Kommen dann noch Produkte wie Exchange oder Outlook dazu, ist meines Erachtens die Sorgfalt beim Umgang mit vertraulichen Daten nicht gewährleistet. Sollten Sie beispielsweise Apple Computer verwenden, sind Ihre größten Probleme zunächst anders gelagert.
Der Kartenaussteller unserer Wahl ist LuxTrust, weil er Mac-Unterstützung verspricht. Dass die App dieses Anbieters zur Authentifizierung eines Benutzers “im Moment” für Android nicht verfügbar ist, störte uns weniger, weil die iPad-Variante installiert werden konnte. Wohlgemerkt iPad, nicht iPhone. Sie sollten schon einen gepflegten Gerätepark haben, um mitspielen zu können. Das Zertifikat wurde ausgestellt, wir durften vor der iPad-Kamera schön auf Kommando mit den Füßen wackeln und den Personalausweis verbiegen, bis das Hologramm sichtbar war. Eine Erfahrung, deren Charme ein wenig an die Musterung zur Bundeswehr in den 1980er Jahren erinnerte.
Die Wahl des Kartenlesers ist nach unseren Erfahrungen unkritisch, wir verwenden ein Gemalto und ein chinesisches Voastek Gerät mit gleich guten Ergebnissen. Das Lesegerät wird von Mac OS erkannt, davon merkt man gar nichts. Von LuxTrust lädt man eine Java Software herunter, die etwas ausladend “LuxTrust Middleware” genannt wird, letztlich aber eine rebrandete, ältere Gemalto Sache ist. Ihr Mac wird Sie darauf hinweisen, dass derart alte Software demnächst wohl nicht mehr unterstützt wird. Ohne Weiteres können Sie jetzt Ihre Karte bei LuxTrust freischalten und im Browser testen.
Nach Aussagen von LuxTrust funktioniert das in Mac OS nur mit einem Gemalto Kartenleser und nur unter Firefox. Wie gesagt hatten wir mit anderen Kartenlesern auch kein Problem und vermuten mal, dass man beispielsweise auch Chrome PKCS#11 beibringen könnte. Alternative Middleware gibt es auch, beispielsweise die Open Source OpenSC, die auch auf dem Mac läuft.
Beim UPC machen Sie damit aber noch keinen Stich, die Anmeldeseite weist Sie ab mit dem Hinweis, Ihr Zertifikat wäre nicht gültig. Wenn Sie weniger Glück haben, müssen Sie ca. 5 Minuten auf ein Timeout warten.
Nach ziemlich viel Recherchieren und Forschen kam letztlich der entscheidende Hinweis vom Level 2 Support von Luxtrust. Zur Authentifizierung muss PKCS#11 verwendet werden. Das ist ein Verfahren, das in Mac OS bereits eingebaut ist, man muss es aber seinem Browser erst andienen. Dazu müssen Sie Ihrem Browser erst beibringen, das PKCS#11 Modul zu verwenden. Das scheint nur mit Firefox zu funktionieren, und zwar wie folgt:
[Nachricht vom LuxTrust Customer Care:] Dazu gehen Sie wie folgt vor:
- Öffnen Sie die Firefox Einstellungen (CMD + ,).
- Gehen Sie zu Datenschutz & Sicherheit
- Scrollen Sie runter bis zum Punkt Sicherheit
- Klicken Sie auf den Button “Kryptographie-Module…“
- Im sich nun öffnenden Fenster, klicken Sie auf den Knopf “Laden“
- Im Menü “PKCS#11-Gerätetreiber laden“ geben Sie folgenden Pfad im Feld Modul-Dateiname an: /usr/local/lib/ClassicClient/libgclib.dylib (am besten Kopieren und Einfügen).
Nun sollte das Zertifikat erkannt werden.
Der Prozess des Anlegens eines Benutzers im UPC CMS erfordert unter Anderem ein Unterzeichnen eines PDF Dokuments. Signieren können Sie leider nicht mit Apples PDF-Programm “Vorschau”, aber mit Adobe Acrobat. Eine Anleitung hierzu findet sich auf den Adobe Seiten. Die kostenlose Variante des Acrobat reicht hierfür aus, Sie müssen nicht die Pro-Version erwerben und brauchen auch nicht die Demo-Pro-Version.
Ohne das Hochladen der passenden Dokumente und ohne die Schwierigkeiten mit dem PKCS#11 Modul mitzuzählen kamen wir immer noch auf ca. eine Stunde klicken-warten-neu-probieren, bis der Antrag gestellt war. Das CMS macht derzeit insgesamt den Eindruck eines do-it-yourself Callcenters. Folgen Sie nicht dem vorgesehenen Pfad, kommen Sie halt nicht weiter. Das System weist Sie ab, kann man nichts machen. Der vorgesehene Pfad ist manchmal lang, gewunden und steinig.
Nachtrag:
Alle Eingaben ans UPC müssen digital signiert sein. Adobe Acrobat macht das, indem man Werkzeuge -> Zertifikate auswählt, ein zu öffnendes PDF-Dokument angibt und auf “Digital signieren” klickt. Der folgende Dialog sollte das Zertifikat auf der SmartCard auswählen lassen. Sollte das nicht funktionieren, kann man in den Einstellungen von Acrobat dasselbe PKCS#11 Modul wie für Firefox (/usr/local/lib/ClassicClient/libgclib.dylib) laden.
Nachtrag 2:
Eingaben müssen im PDF/A Format sein, das ist ein nicht änderbares Archiv-Format. Signiert man so ein Doument mit Acrobat, ist es kein PDF/A Dokument mehr und der UPC akzeptiert es nicht. Der Bearbeitungsschutz des Dokuments darf daher nicht in Acrobat aufgehoben werden, dann wird beim Signieren ein neues Dokument angelegt, das Sie hochladen können.
Nachtrag 3:
Mein erster Antrag ist in der Bearbeitung stecken geblieben, trotz nachgelieferter Dokumente tat sich länger nichts mehr. Ich habe daher einen zweiten Antrag gestellt, der innerhalb weniger Stunden bewilligt wurde, Respekt dafür!
Allerdings bat man mich, den ersten Antrag zurückzuziehen. Als Hinweis, welche Funktion zu verwenden wäre, gab es ein 602 x 137 Pixel-PNG, auf dem nicht wirklich viel zu erkennen war. Es reichte gerade, um sagen zu können, dass die Oberfläche jetzt anders ausschaut. Der wahrscheinlich gewünschte Button heisst jetzt sinngemäß “Löschen eines eingetragenen Vertreters”. Der Bitte des UPC mochte ich lieber nicht nachkommen, die Funktion verspricht das Gegenteil von dem, was ich vorhatte. Stattdessen habe ich höflich vorgeschlagen, den ersten Antrag abschlägig zu bescheiden, mit der Begründung, es bestünde aufgrund des angenommenen zweiten Antrags kein Rechtsschutzbedürfnis mehr. Eine Antwort habe ich bis jetzt nicht erhalten.
Von allem was man hört, kommen die wenigsten Kollegen auf Anhieb durch das Aufnahmeritual des UPC durch. Machen Sie sich also keine Sorgen, wenn es bei Ihnen nicht gleich funktioniert. Aber denken Sie daran, dass das Kulanzjahr im Juni 2024 enden wird, bis dahin sollte Ihr Antrag gestellt sein.
Nachtrag 4:
Die LuxTrust Applikation scheint gar nicht erforderlich zu sein. In der beschriebenen Firefox-Konfiguration läuft unter Mac OS 13.5.1 auf Intel der Zugriff jedenfalls auch wunderbar ohne die Middleware.