Abo
  • Services:

Keine sensiblen Informationen im Betreff und im Nachrichtentext

Im Klartext: Die Brak geht davon aus, dass sämtliche sensiblen Informationen im BeA nur in Nachrichtenanhängen verschickt werden dürfen. Weder der Inhalt der Nachricht noch deren Betreff dürfen demnach Informationen enthalten, die potenziell dem Mandatsgeheimnis unterliegen. Das dürfte den wenigsten Anwälten bisher klar sein. Selbst simple Aussagen wie etwa die, dass eine Person eine andere verklagt, können bereits schützenswerte Informationen sein.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Traunreut
  2. Controlware GmbH, München, Ingolstadt

Secunet hat laut Brak geprüft, dass die Webanwendung an keiner Stelle Zugriff auf die unverschlüsselten Nachrichtenanhänge hat. Doch selbst wenn man dieser fragwürdigen Begründung folgt, ergibt sich ein weiteres Problem. Auch wenn die Webanwendung die Nachrichtenanhänge nicht direkt auslesen kann, so kann sie doch kontrollieren, an wen diese geschickt werden.

Ein Innentäter könnte die Webanwendung also so manipulieren, dass manchen Nachrichten einfach noch ein weiterer Empfänger hinzugefügt wird, ohne dass dies in der Oberfläche sichtbar ist. Im Dateiauswahldialog, der von der BeA-Anwendung geöffnet wird, ist der Empfänger nicht zu sehen. Wir haben die Brak zu diesem Problem um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten.

Ein Innentäter hat also in jedem Fall die Möglichkeit, die Inhalte von Nachrichten mitzulesen. Auf die Anhänge kann er vermutlich über Umwege ebenfalls zugreifen.

Uralt-Verschlüsselung macht BeA verwundbar für Efail

Ein weiteres Problem, das wir in unserem Bericht vergangene Woche bereits angesprochen hatten, hat die Brak uns inzwischen bestätigt: Die BeA-Anwendung verwendet XML-Verschlüsselung mit dem CBC-Verfahren und ohne Authentifizierung. Diese Konstruktion ist Teil des sogenannten OSCI-Standards, der aus dem Jahr 2002 stammt.

Diese Uralt-Verschlüsselung ist ebenfalls ein Problem. Denn damit ist das BeA anfällig für die Efail-Sicherheitslücke, die im Frühjahr dieses Jahres publiziert wurde und die Mailverschlüsselungsverfahren S/MIME und PGP angreifbar macht. Die genauen Details hängen von den verwendeten Dateiformaten ab, aber hier ist es für einen Innentäter vermutlich möglich, eine Nachricht so zu manipulieren, dass sie den verschlüsselten Inhalt an Dritte weiterschickt.

Bei Secunet hatte man dieses Problem offenbar überhaupt nicht auf dem Schirm, zumindest ist im Gutachten davon nichts zu lesen. Theoretisch könnte man OSCI auch mit dem sichereren GCM-Verfahren nutzen. "Die Umstellung des beA auf den GCM-Modus an der OSCI-Schnittstelle erfolgt in einem geordneten Verfahren im EGVP-Verbund unter Steuerung des EGVP-Projektbüros und ist aktuell noch nicht vollzogen", schreibt uns die Brak dazu.

 Anwaltspostfach BeA: Geheimhaltung von Nachrichten ist nicht so wichtig
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. bei Alternate vorbestellen
  2. 59,79€ inkl. Rabatt
  3. 149€ (Bestpreis!)

Gunther Marko 16. Sep 2018 / Themenstart

Weg mit der Nutzungspflicht ! Und zwar unabhängig von Sicherheitsmängeln ! Diese sind...

plutoniumsulfat 12. Sep 2018 / Themenstart

Es geht nicht um Sicherheit, sondern um Rechtssicherheit.

Mik30 11. Sep 2018 / Themenstart

Denn der war kostenlos und macht im Ergebnis genau dasselbe wie das beA jetzt. Nur mit...

schnedan 11. Sep 2018 / Themenstart

ich freu mich schon auf den nächsten unterhaltsamen Vortrag beim CCCC

Mixermachine 11. Sep 2018 / Themenstart

Wie wäre es mit einem zweiten privaten Key, der ebenfalls als Versender eingetragen wird...

Kommentieren


Folgen Sie uns
       


Drahtlos bezahlen per App ausprobiert

In Deutschland können Smartphone-Besitzer jetzt unter anderem mit Google Pay und der Sparkassen-App Mobiles Bezahlen ihre Rechnungen begleichen. Wir haben die beiden Anwendungen im Alltag miteinander verglichen.

Drahtlos bezahlen per App ausprobiert Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
    Zukunft der Arbeit
    Was Automatisierung mit dem Grundeinkommen zu tun hat

    Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
    Eine Analyse von Daniel Hautmann

    1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
    2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
    3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

      •  /