beA-Karte PIN ändern: So ändern Sie Ihre beA-Karten-PIN sicher und unkompliziert – mit Schritt-für-Schritt-Anleitung für Webanwendung und Chipkartenleser.
Die PIN der beA-Karte zu ändern ist einer der ersten und wichtigsten Schritte nach dem Erhalt Ihrer neuen Chipkarte für das besondere elektronische Anwaltspostfach. Die Bundesnotarkammer empfiehlt ausdrücklich, die voreingestellte Initial-PIN sofort durch eine persönliche, sichere PIN zu ersetzen.
In diesem Artikel erfahren Sie Schritt für Schritt, welche Software und Hardware Sie benötigen, wie die Änderung gelingt und was bei Problemen wie einer gesperrten Karte oder vergessenen PIN zu tun ist.
Was ist die beA-Karte und warum ist die PIN so wichtig?
Das besondere elektronische Anwaltspostfach (beA) ist seit dem 1. Januar 2022 für alle zugelassenen Rechtsanwältinnen und Rechtsanwälte in Deutschland verpflichtend aktiv. Zudem ist die passive Nutzungspflicht seit Jahren in Kraft. Der Zugang zum beA erfolgt ausschließlich über eine beA-Chipkarte, die von der Zertifizierungsstelle der Bundesnotarkammer (BNotK) ausgegeben wird. Diese Karte enthält ein elektronisches Zertifikat und schützt Ihr Postfach zuverlässig vor unbefugtem Zugriff.
Deshalb ist die PIN der zentrale Sicherheitsmechanismus: Ohne korrekte PIN ist keine Anmeldung am beA möglich. Außerdem legitimiert die PIN elektronische Signaturen und bestätigt Ihre Identität gegenüber dem Gericht oder der Gegenseite. Je schwächer oder leichter erratbar die PIN ist, desto größer wird das Risiko für vertrauliche Mandantenkommunikation.
Zusammengefasst gilt: Eine starke, individuelle PIN ist kein optionaler Komfort, sondern ein professioneller und berufsrechtlicher Sicherheitsstandard.
Voraussetzungen für die beA-Karte PIN-Änderung
Bevor Sie mit der PIN-Änderung beginnen, sollten Sie sicherstellen, dass alle notwendigen Voraussetzungen erfüllt sind. Andernfalls schlägt der Prozess möglicherweise fehl.
Benötigte Hardware
Zunächst benötigen Sie ein Chipkartenlesegerät. Nicht jedes Lesegerät ist kompatibel. Die Zertifizierungsstelle der BNotK empfiehlt ausdrücklich folgende Geräte:
- ReinerSCT cyberJack e-com 3.0
- ReinerSCT cyberJack RFID
- ReinerSCT cyberJack RFID komfort
- ReinerSCT cyberJack secoder
Zudem muss die aktuelle Treibersoftware des Lesegeräts auf Ihrem Rechner installiert sein. Außerdem sollten Sie im cyberJack Gerätemanager unter dem Reiter „Aktualisierung“ prüfen, ob die neueste Firmware für Ihr Gerät installiert ist. Treiber für ReinerSCT-Geräte finden Sie auf der Herstellerseite unter reiner-sct.com.
Benötigte Software: BNotK SAK lite
Für beA-Karten der 2. Generation stellt die Zertifizierungsstelle der Bundesnotarkammer die kostenlose Software „BNotK SAK lite“ bereit. Dabei handelt es sich um eine Signaturanwendungskomponente, die speziell für die Verwaltung der neuen Kartengeneration entwickelt wurde. Den Download finden Sie auf der offiziellen Seite der Zertifizierungsstelle unter bea.bnotk.de/sak/.
Für ältere beA-Karten der 1. Generation wurde hingegen das Java-basierte SecureFramework verwendet. Dieses steht ebenfalls auf der BNotK-Seite bereit, jedoch ist es inzwischen veraltet und für aktuelle Betriebssysteme teils eingeschränkt kompatibel. Deshalb sollten Inhaber älterer Karten prüfen, ob ein Kartentausch sinnvoll ist.
Betriebssysteme
Die offizielle Dokumentation der BNotK nennt folgende unterstützte Betriebssysteme für die PIN-Verwaltungssoftware:
- Microsoft Windows (aktuelle Versionen)
- Apple macOS
- Ubuntu Desktop (LTS-Versionen)
PIN-Brief
Für die erstmalige Nutzung benötigen Sie außerdem die Initial-PIN aus dem PIN-Brief, den die BNotK Ihnen nach Ihrer Empfangsbestätigung getrennt von der Karte per Post zusendet. Im PIN-Brief befinden sich sowohl die PIN als auch die PUK (Personal Unblocking Key). Bewahren Sie diesen Brief sicher auf, denn die PUK wird benötigt, wenn die Karte nach dreimaliger Falscheingabe gesperrt wird.
beA-Karte PIN ändern: Schritt-für-Schritt-Anleitung (BNotK SAK lite)
Die folgende Anleitung beschreibt die PIN-Änderung für beA-Karten der 2. Generation mit der Software BNotK SAK lite unter Windows, macOS und Linux.
Schritt 1 – Kartenlesegerät anschließen
Stecken Sie zunächst Ihr Chipkartenlesegerät an den Computer und warten Sie, bis das Betriebssystem es erkannt hat.
Schritt 2 – beA-Karte einstecken
Legen Sie Ihre beA-Karte in das Lesegerät ein. Die SAK-lite-Software erkennt das Gerät nur dann, wenn sich auch tatsächlich eine Karte darin befindet.
Schritt 3 – BNotK SAK lite starten
Öffnen Sie die installierte BNotK SAK lite-Anwendung auf Ihrem Computer. Falls Sie die Software noch nicht installiert haben, laden Sie sie zunächst von bea.bnotk.de/sak/ herunter und führen Sie die Installation aus.
Schritt 4 – Kartenlesegerät auswählen
Nach dem Start zeigt SAK lite auf der rechten Seite die angeschlossenen Kartenlesegeräte an. Wählen Sie das entsprechende Gerät aus. Sollte das Lesegerät nicht angezeigt werden, prüfen Sie zunächst, ob die beA-Karte korrekt eingesteckt ist, und klicken Sie anschließend auf „Aktualisieren“.
Schritt 5 – PIN-Änderung aufrufen
Klicken Sie auf das Zahnrad-Symbol in der Oberfläche. Wählen Sie danach die Option „PIN ändern“ und bestätigen Sie mit „Änderung beginnen“.
Schritt 6 – Aktuelle PIN eingeben
Geben Sie zunächst die bisherige PIN ein – beim ersten Mal ist das die Initial-PIN aus Ihrem PIN-Brief. Bestätigen Sie die Eingabe mit „OK“.
Schritt 7 – Neue PIN zweimal eingeben
Tippen Sie nun die neue, gewünschte PIN ein und wiederholen Sie die Eingabe zur Bestätigung. Beachten Sie: Die PIN muss mindestens 6 und darf maximal 12 Stellen haben. Bestätigen Sie auch hier mit „OK“.
Schritt 8 – Bestätigung abwarten
Nachdem Sie die neue PIN bestätigt haben, zeigt die Anwendung im unteren Bereich den Hinweis „PIN erfolgreich aktualisiert“ an. Damit ist die Änderung abgeschlossen.
Wichtiger Hinweis: Bei einigen Kartenlesegeräten erfolgt die PIN-Eingabe direkt am Display des Lesegeräts und nicht über die Computertastatur. Dies erhöht die Sicherheit, da die PIN so nicht über den Rechner abgefangen werden kann.
Sicherheitsempfehlungen für eine starke beA-PIN
Zusätzlich zur eigentlichen Änderung der PIN sollten Sie einige empfohlene Vorgehensweisen beachten, um die Sicherheit Ihres beA dauerhaft zu gewährleisten.
Eine sichere PIN wählen: Verwenden Sie keine offensichtlichen Zahlenkombinationen wie Geburtsdaten, fortlaufende Nummern (123456) oder wiederholte Ziffern (111111). Stattdessen empfehlen sich zufällige Ziffernfolgen mit mindestens 8 Stellen.
PIN niemals aufschreiben oder digital speichern: Notieren Sie die PIN nicht auf einem Zettel neben dem Computer oder in einer unverschlüsselten Datei. Falls Sie Gedächtnisstützen benötigen, verwenden Sie einen verschlüsselten Passwort-Manager wie beispielsweise KeePass oder Bitwarden.
PIN regelmäßig ändern: Auch wenn keine konkreten Sicherheitsvorfälle bekannt sind, empfiehlt es sich, die PIN in regelmäßigen Abständen zu erneuern – zum Beispiel jährlich oder nach einem möglichen Datenleck.
Karte sicher aufbewahren: Die beA-Karte ist ein physischer Schlüssel zu Ihrem Postfach. Bewahren Sie sie deshalb an einem sicheren Ort auf und tragen Sie sie nicht unnötig mit sich.
PIN-Brief aufbewahren: Bewahren Sie den Original-PIN-Brief an einem sicheren Ort auf. Er enthält nicht nur die Initial-PIN, sondern auch die PUK, die Sie im Fehlerfall dringend benötigen.
Die beA-Karte unter verschiedenen Betriebssystemen
Windows
Unter Windows läuft die BNotK SAK lite in der Regel problemlos. Stellen Sie sicher, dass die aktuellen Treiber für das Lesegerät installiert sind. Falls SAK lite beim Start Probleme macht, löschen Sie den Ordner .secureframework im Benutzerverzeichnis (z. B. unter C:\Benutzer\IhrName\) und leeren Sie den Java-Cache in der Systemsteuerung unter dem Element „Java“ über den Button „Dateien löschen“. Danach sollte die Anwendung erneut starten.
macOS
Unter macOS funktioniert die SAK-lite-Software ebenfalls. Achten Sie jedoch darauf, dass die Treiber des Kartenlesegeräts für Ihre macOS-Version aktuell sind. Außerdem sollten Sie prüfen, ob die beA Client Security gestartet ist, bevor Sie SAK lite öffnen – beide Programme können sich in bestimmten Versionen gegenseitig beeinflussen.
Linux (Ubuntu)
Für Ubuntu Desktop in LTS-Versionen ist die Software ebenfalls freigegeben. Zusätzlich ist sicherzustellen, dass das Chipkartenlesegerät durch das Betriebssystem erkannt wird und der PC-SC-Daemon (pcscd) läuft. Deshalb empfiehlt es sich, vor dem Start von SAK lite den Dienst pcscd per Terminal zu aktivieren.
beA-Karte und Software-Token: Unterschied bei der PIN
Neben der physischen beA-Karte gibt es auch Software-Token, die als Alternative für Mitarbeiterinnen und Mitarbeiter in Kanzleien eingesetzt werden können. Dabei ist ein wichtiger Unterschied zu beachten:
Die PIN-Änderung für Software-Token erfolgt nicht über SAK lite, sondern direkt im beA-Webportal unter den Einstellungen des jeweiligen Tokens. Dort navigieren Sie zu den Postfacheinstellungen, wählen den entsprechenden Sicherheits-Token aus und können die PIN über die Schaltfläche „Optionen“ ändern.
Außerdem ist bei Software-Token zu beachten: Die Aktivierung einer neuen beA-Karte für einen Sicherheits-Token funktioniert nicht ausschließlich mit Software-Tokens – es wird zusätzlich mindestens eine gültige physische beA-Anwaltskarte benötigt.
Was tun, wenn die beA-Karte gesperrt ist?
Wer die PIN dreimal hintereinander falsch eingibt, sperrt die beA-Karte vorläufig. Dies gilt für die physische Karte ebenso wie für Software-Token. Der Fehlbedienungszähler muss in diesem Fall mit der PUK zurückgesetzt werden.
PUK einsetzen: So gehen Sie vor
Schritt 1: Öffnen Sie SAK lite und wählen Sie das Lesegerät mit der gesperrten Karte aus.
Schritt 2: Klicken Sie auf „PIN zurücksetzen“.
Schritt 3: Geben Sie die PUK aus dem PIN-Brief ein und bestätigen Sie.
Schritt 4: Die PIN-Eingabe ist danach wieder freigeschaltet. Die PUK setzt jedoch nur den Fehlbedienungszähler zurück – die zuletzt aktive PIN bleibt weiterhin dieselbe.
Wichtig: Die PUK kann insgesamt maximal 10 Mal verwendet werden. Nach dem zehnten Einsatz sperrt sich auch die PUK und die Karte ist dauerhaft nicht mehr verwendbar.
PIN vergessen: Was jetzt?
Falls Sie die zuletzt gesetzte, geänderte PIN vergessen haben, gibt es leider keine Möglichkeit, diese zurückzusetzen oder wiederherzustellen. In diesem Fall bleibt nur der Weg über eine kostenpflichtige Ersatzkarte.
Die Ersatzkarte beantragen Sie beim Support der Zertifizierungsstelle der Bundesnotarkammer:
- E-Mail: bea@bnotk.de
- Telefon: 030-21787017 (montags bis freitags, 8:00 bis 20:00 Uhr, bundeseinheitliche Feiertage ausgenommen)
- Kosten: 30,00 Euro zzgl. Umsatzsteuer
Außerdem ist zu beachten: Sobald Sie eine Ersatzkarte beantragen, sperrt die Zertifizierungsstelle die bisherige beA-Karte. Deshalb ist nach Erhalt der Ersatzkarte und des zugehörigen PIN-Briefes eine Entkopplung der alten Karte im beA-Postfach erforderlich. Danach führen Sie mit der neuen Karte eine erneute Erstregistrierung durch.
Falls Sie die Initial-PIN – also die unveränderter Original-PIN aus dem PIN-Brief – noch kennen, können Sie diese in SAK lite eingeben und anschließend sofort eine neue PIN setzen, ohne eine Ersatzkarte bestellen zu müssen.
Kartenablauf und Kartentausch: PIN-Änderung bei neuer Karte
Jede beA-Karte hat ein Ablaufdatum. Nähert sich das Datum, sendet die BNotK automatisch eine neue Karte. Dabei ist folgender Ablauf zu beachten:
- Sie erhalten die neue beA-Karte per Post.
- Anschließend bestätigen Sie den Erhalt über den Link in der E-Mail der BNotK.
- Danach wird Ihnen der PIN-Brief mit Initial-PIN und PUK für die neue Karte zugesandt.
- Die neue Karte muss im beA freigeschaltet und aktiviert werden – dazu ist mindestens eine noch gültige alte beA-Karte notwendig.
- Nach der Aktivierung ändern Sie die Initial-PIN der neuen Karte sofort über SAK lite.
Zudem gilt: Falls Sie bis 6 Wochen vor dem Ablaufdatum keine neue Karte erhalten haben, sollten Sie sich unter der E-Mail bea-hilfe@bnotk.de oder über das Kontaktformular der BNotK melden.
Mitarbeiterkarten und Kanzleipostfächer: Besonderheiten bei der PIN
In größeren Kanzleien kommen neben der Anwaltskarte des Postfachinhabers auch beA-Mitarbeiterkarten zum Einsatz. Diese ermöglichen Kanzleimitarbeitern, das beA zu nutzen, ohne die PIN des Postfachinhabers zu kennen.
Auch bei Mitarbeiterkarten gilt: Die Initial-PIN sofort nach Erhalt in SAK lite ändern. Der Prozess ist dabei identisch mit dem der Anwaltskarte. Außerdem ist bei Mitarbeiterkarten zu beachten, dass die Freischaltung der Karte für ein bestimmtes Postfach ausschließlich durch den Postfachinhaber persönlich möglich ist. Deshalb sollte dieser Schritt nicht an Dritte delegiert werden.
Für Berufsausübungsgesellschaften (BAG) gibt es spezielle beA-BAG-Karten, die über die Zertifizierungsstelle der BNotK unter zertifizierungsstelle.bnotk.de bestellt werden können. Auch hier gilt dasselbe Verfahren zur PIN-Änderung.
Typische Fehler und Lösungsansätze
Problem: SAK lite erkennt das Kartenlesegerät nicht.
Zunächst prüfen Sie, ob die beA-Karte korrekt eingesteckt ist. Außerdem aktualisieren Sie den Treiber des Lesegeräts. Danach klicken Sie in SAK lite auf „Aktualisieren“. Falls das Gerät weiterhin nicht erscheint, starten Sie SAK lite neu.
Problem: SAK lite startet nicht unter Windows.
Löschen Sie den Ordner .secureframework in Ihrem Benutzerverzeichnis und leeren Sie den Java-Cache. Zusätzlich prüfen Sie, ob Java in der aktuellen Version installiert ist.
Problem: beA Client Security und SAK lite „vertragen sich nicht“.
Beenden Sie die beA Client Security, bevor Sie SAK lite öffnen. Nach der PIN-Änderung können Sie beA Client Security wieder starten.
Problem: PIN-Brief nicht mehr vorhanden.
Ohne PIN-Brief ist die PUK nicht verfügbar. Deshalb ist die PUK vorab an einem sicheren Ort zu notieren oder der PIN-Brief sicher zu archivieren. Ohne PUK und bei vergessener geänderter PIN bleibt nur die kostenpflichtige Ersatzkarte.
Häufige Fragen rund um die beA-Karte PIN
Wie oft muss ich die PIN der beA-Karte ändern?
Es gibt keine gesetzlich festgelegte Pflicht zur regelmäßigen PIN-Änderung. Allerdings empfiehlt die Bundesnotarkammer, die Initial-PIN direkt nach Kartenerhalt zu ändern. Zudem ist eine regelmäßige Erneuerung – etwa jährlich – eine empfohlene Vorgehensweise im Sinne der IT-Sicherheit.
Wie lang muss die PIN der beA-Karte sein?
Die PIN muss mindestens 6 Stellen und darf maximal 12 Stellen haben. Eine PIN mit 8 oder mehr Stellen bietet deutlich mehr Sicherheit als die Mindestlänge von 6 Stellen.
Welche Software brauche ich für die PIN-Änderung?
Für beA-Karten der 2. Generation benötigen Sie die BNotK SAK lite, die kostenlos von der Zertifizierungsstelle der Bundesnotarkammer heruntergeladen werden kann. Für ältere Karten der 1. Generation wurde das SecureFramework eingesetzt.
Kann ich die PIN der beA-Karte online ändern?
Nein. Die PIN-Änderung erfolgt lokal am Computer über SAK lite und das angeschlossene Kartenlesegerät. Eine rein browserbasierte Änderung ohne physisches Lesegerät ist nicht möglich.
Was passiert, wenn ich die PIN dreimal falsch eingebe?
Nach drei Falscheingaben wird die beA-Karte gesperrt. Deshalb ist der Fehlbedienungszähler mit der PUK zurückzusetzen. Die PUK finden Sie im PIN-Brief, der zusammen mit der beA-Karte zugestellt wurde.
Was kostet eine Ersatzkarte bei vergessener PIN?
Eine Ersatzkarte kostet einmalig 30,00 Euro zuzüglich Umsatzsteuer. Sie wird beim beA-Karten-Support der BNotK unter bea@bnotk.de beantragt. Außerdem ist nach Erhalt die alte Karte im beA zu entkoppeln.
Kann ich die beA-Karte auch unter macOS nutzen?
Ja. Die beA-Karte und SAK lite sind auch unter macOS und Ubuntu Desktop (LTS-Versionen) nutzbar. Dabei ist jedoch sicherzustellen, dass die Treiber des Kartenlesegeräts für das jeweilige Betriebssystem aktuell installiert sind.
Was ist der Unterschied zwischen PIN und PUK bei der beA-Karte?
Die PIN ist Ihr persönliches Zugangspasswort zur beA-Karte. Die PUK hingegen ist ein Entsperrcode, der ausschließlich dazu dient, den Fehlbedienungszähler nach dreimaliger Falscheingabe zurückzusetzen. Die PUK kann maximal 10 Mal eingesetzt werden.
Muss die PIN auch bei Software-Token geändert werden?
Ja. Auch für Software-Token gilt die Empfehlung, die Initial-PIN sofort nach Erhalt zu ändern. Die Änderung erfolgt dabei jedoch nicht über SAK lite, sondern direkt im beA-Webportal unter den Postfach- und Token-Einstellungen.
Kann die PIN-Änderung auch durch Kanzleimitarbeiter vorgenommen werden?
Die Änderung der eigenen Karten-PIN kann jeder Karteninhaber selbst vornehmen. Zudem muss die Freischaltung einer neuen Karte für ein Anwaltspostfach jedoch ausschließlich durch den Postfachinhaber persönlich erfolgen und kann nicht delegiert werden.
Fazit
Die PIN der beA-Karte zu ändern ist ein einfacher, aber unverzichtbarer Schritt für die Sicherheit Ihres Anwaltspostfachs. Mit der BNotK SAK lite, einem kompatiblen Kartenlesegerät und dem PIN-Brief gelingt die Änderung in wenigen Minuten.
Deshalb gilt: Initial-PIN sofort nach Kartenerhalt ändern, PUK sicher aufbewahren und die PIN in regelmäßigen Abständen erneuern. So schützen Sie Ihre vertrauliche Mandantenkommunikation zuverlässig und erfüllen gleichzeitig professionelle Sicherheitsstandards.