Bis August 2023 wurden alle Zertifikate mit einer Schlüssellänge von 2048 bits von der BNotK erzeugt. Das BSI empfehlt jedoch, eine höhere Schlüssellänge zu verwenden, weshalb alle Softwarezertifkate mit 2048 bits-Länge durch neue (mit 3072 bits) auszutauschen bzw. zu ersetzen sind.

Die einfache Möglichkeit ist es, sich die Länge der p12-Datei anzuschauen. Beträgt die Länge ca. 2,6 KBytes (gerundet 3 KBytes), dann ist das Zertifikat mit einer Schlüssellänge von 2048 bits erzeugt worden. Ein Zertifikat mit 3072 bits ist hingegen ca. 3,6 Kbytes groß (gerundet 4 KBytes).

Hilfe der BNotK für die Bestellung des Softwarzertifikats/Softwaretokens: https://zertifizierungsstelle.bnotk.de/tausch-bea-softwarezertifikate

Im Gegensatz zum Allgemeinglauben, ist das Softwarezertifikat beim Kauf oder Austausch NICHT zu einem/einer Postfach/SAFE-ID zugeordnet. Dieser falscher Glaube ensteht oft, weil Sie den Softwatetoken unter Ihrem Account beim de Bundesnotarkammer bestellt bzw. heruntergeladen haben. Die Zuordnung erfolgt NICHT bei der Bestellung, sondern muss separat im BRAK-Portal vorgenommen werden.
Dieser Schritt müssen Sie vorher noch vornehmen da sonst die App nicht funktionieren wird. Mehr dazu: Softwaretoken beim beA aktivieren

1. Öffnen Sie den Reiter "Benutzer/Softwaretoken" unter "Einstellungen"


Klicken Sie auf "Neuer Benutzer +". Danach meldet sich die beA.expert SUITE vom beA ab. Alle Prozesse und Sessions werden gestoppt.

2. Laden Sie den neuen Softwaretoken.


Tipp: Sie können mehrere Softwartoken hintereinander so einspielen.

Nach dem Import werden die neue Zertifikate sichtbar.


Sie erkennen alte und neue Softwaretoken an der angezeigten unterschiedlichen Schlüssellänge (Spalte "Key"): 2048 (alt) oder 3072 (neu).


3. Schalten Sie den entsprechenden Softwaretoken frei, indem Sie die Zeile mit dem neuen Zertifikat selektieren und auf "selektierter Benutzer freischalten" klicken. Auch hier können Sie mehrere Zeilen hintereinander freischalten, bis Sie fertig sind.


4. Überprüfen Sie, ob die alten Softwaretoken deaktiviert (nicht mehr ONLINE) und dafür die neuen aktiviert.


Bitte beachten Sie, dass Sie NICHT ALLE Softwaretoken bzw. SAFE-IDs auf EINMAL umstellen müssen. Sie können jederzeit den Umstellungsprozess mit fehlenden Softwaretoken neustarten und ergänzen und somit auch die Umstellung Schritt für Schritt durchführen.

Pro SAFE-ID kann nur eine Zeile aktiv (d.h. "ONLINE") sein. SAFE-IDs, die "ONLINE" sind und noch das alte Softwarezertifikat benutzen, sind solange akti, bis das beA bzw. die BNotK das Zertifikat deaktiviert hat. Danach wird kein Login möglich sein und dann muss endgültig umgestellt werden.

5. Die beA.expert SUITE neu starten

Nachdem Sie Ihren neuen Softwaretoken aktiviert haben, sollen Sie die App deinstallieren (komplett löschen) und gleich danach neu installieren. Bei der Deinstallation werden Sie ggf. gefragt ob Sie Ihr Abo kündigen wollen, antworten Sie mit "Nein" um Ihr Abo beizubehalten.

Danach loggen Sie sich im beA-Portal ein. Unter "Einstellungen" (Reiter oben) / "Sicherheits-Token" (Reiter links), selektieren Sie die Zeile mit dem neuen Sofwaretoken und klicken auf "QR-Code erzeugen". Damit können Sie den Softwaretoken in der beA.expert App einscannen.