Abo
  • IT-Karriere:

Keine sensiblen Informationen im Betreff und im Nachrichtentext

Im Klartext: Die Brak geht davon aus, dass sämtliche sensiblen Informationen im BeA nur in Nachrichtenanhängen verschickt werden dürfen. Weder der Inhalt der Nachricht noch deren Betreff dürfen demnach Informationen enthalten, die potenziell dem Mandatsgeheimnis unterliegen. Das dürfte den wenigsten Anwälten bisher klar sein. Selbst simple Aussagen wie etwa die, dass eine Person eine andere verklagt, können bereits schützenswerte Informationen sein.

Stellenmarkt
  1. LÖWEN ENTERTAINMENT GmbH, Bingen am Rhein (Großraum Mainz)
  2. Universität Stuttgart, Stuttgart

Secunet hat laut Brak geprüft, dass die Webanwendung an keiner Stelle Zugriff auf die unverschlüsselten Nachrichtenanhänge hat. Doch selbst wenn man dieser fragwürdigen Begründung folgt, ergibt sich ein weiteres Problem. Auch wenn die Webanwendung die Nachrichtenanhänge nicht direkt auslesen kann, so kann sie doch kontrollieren, an wen diese geschickt werden.

Ein Innentäter könnte die Webanwendung also so manipulieren, dass manchen Nachrichten einfach noch ein weiterer Empfänger hinzugefügt wird, ohne dass dies in der Oberfläche sichtbar ist. Im Dateiauswahldialog, der von der BeA-Anwendung geöffnet wird, ist der Empfänger nicht zu sehen. Wir haben die Brak zu diesem Problem um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten.

Ein Innentäter hat also in jedem Fall die Möglichkeit, die Inhalte von Nachrichten mitzulesen. Auf die Anhänge kann er vermutlich über Umwege ebenfalls zugreifen.

Uralt-Verschlüsselung macht BeA verwundbar für Efail

Ein weiteres Problem, das wir in unserem Bericht vergangene Woche bereits angesprochen hatten, hat die Brak uns inzwischen bestätigt: Die BeA-Anwendung verwendet XML-Verschlüsselung mit dem CBC-Verfahren und ohne Authentifizierung. Diese Konstruktion ist Teil des sogenannten OSCI-Standards, der aus dem Jahr 2002 stammt.

Diese Uralt-Verschlüsselung ist ebenfalls ein Problem. Denn damit ist das BeA anfällig für die Efail-Sicherheitslücke, die im Frühjahr dieses Jahres publiziert wurde und die Mailverschlüsselungsverfahren S/MIME und PGP angreifbar macht. Die genauen Details hängen von den verwendeten Dateiformaten ab, aber hier ist es für einen Innentäter vermutlich möglich, eine Nachricht so zu manipulieren, dass sie den verschlüsselten Inhalt an Dritte weiterschickt.

Bei Secunet hatte man dieses Problem offenbar überhaupt nicht auf dem Schirm, zumindest ist im Gutachten davon nichts zu lesen. Theoretisch könnte man OSCI auch mit dem sichereren GCM-Verfahren nutzen. "Die Umstellung des beA auf den GCM-Modus an der OSCI-Schnittstelle erfolgt in einem geordneten Verfahren im EGVP-Verbund unter Steuerung des EGVP-Projektbüros und ist aktuell noch nicht vollzogen", schreibt uns die Brak dazu.

 Anwaltspostfach BeA: Geheimhaltung von Nachrichten ist nicht so wichtig
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. For Honor für 11,50€, Anno 1404 Königsedition für 3,74€, Anno 2070 Königsedition...
  2. (aktuell u. a. Cryorig Gehäuselüfter ab 7,49€, Sandisk Ultra 400-GB-microSDXC für 59,90€)
  3. (u. a. Total war - Three Kingdoms für 35,99€, Command & Conquer - The Ultimate Collection für 4...

Gunther Marko 16. Sep 2018

Weg mit der Nutzungspflicht ! Und zwar unabhängig von Sicherheitsmängeln ! Diese sind...

plutoniumsulfat 12. Sep 2018

Es geht nicht um Sicherheit, sondern um Rechtssicherheit.

Mik30 11. Sep 2018

Denn der war kostenlos und macht im Ergebnis genau dasselbe wie das beA jetzt. Nur mit...

schnedan 11. Sep 2018

ich freu mich schon auf den nächsten unterhaltsamen Vortrag beim CCCC

Mixermachine 11. Sep 2018

Wie wäre es mit einem zweiten privaten Key, der ebenfalls als Versender eingetragen wird...


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

Filmkritik Apollo 11: Echte Mondlandung als packende Kinozeitreise
Filmkritik Apollo 11
Echte Mondlandung als packende Kinozeitreise

50 Jahre nach Apollo 11 können Kinozuschauer das historische Ereignis noch einmal miterleben, als wären sie live dabei - in Mission Control, im Kennedy Space Center, sogar auf der Mondoberfläche. Möglich machen das nicht etwa moderne Computereffekte, sondern kistenweise wiederentdeckte Filmrollen.
Eine Rezension von Daniel Pook

  1. Aufbruch zum Mond Die schönste Fake-Mondlandung aller Zeiten

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /