• IT-Karriere:
  • Services:

Keine sensiblen Informationen im Betreff und im Nachrichtentext

Im Klartext: Die Brak geht davon aus, dass sämtliche sensiblen Informationen im BeA nur in Nachrichtenanhängen verschickt werden dürfen. Weder der Inhalt der Nachricht noch deren Betreff dürfen demnach Informationen enthalten, die potenziell dem Mandatsgeheimnis unterliegen. Das dürfte den wenigsten Anwälten bisher klar sein. Selbst simple Aussagen wie etwa die, dass eine Person eine andere verklagt, können bereits schützenswerte Informationen sein.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf, Köln
  2. STRABAG AG, Stuttgart

Secunet hat laut Brak geprüft, dass die Webanwendung an keiner Stelle Zugriff auf die unverschlüsselten Nachrichtenanhänge hat. Doch selbst wenn man dieser fragwürdigen Begründung folgt, ergibt sich ein weiteres Problem. Auch wenn die Webanwendung die Nachrichtenanhänge nicht direkt auslesen kann, so kann sie doch kontrollieren, an wen diese geschickt werden.

Ein Innentäter könnte die Webanwendung also so manipulieren, dass manchen Nachrichten einfach noch ein weiterer Empfänger hinzugefügt wird, ohne dass dies in der Oberfläche sichtbar ist. Im Dateiauswahldialog, der von der BeA-Anwendung geöffnet wird, ist der Empfänger nicht zu sehen. Wir haben die Brak zu diesem Problem um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten.

Ein Innentäter hat also in jedem Fall die Möglichkeit, die Inhalte von Nachrichten mitzulesen. Auf die Anhänge kann er vermutlich über Umwege ebenfalls zugreifen.

Uralt-Verschlüsselung macht BeA verwundbar für Efail

Ein weiteres Problem, das wir in unserem Bericht vergangene Woche bereits angesprochen hatten, hat die Brak uns inzwischen bestätigt: Die BeA-Anwendung verwendet XML-Verschlüsselung mit dem CBC-Verfahren und ohne Authentifizierung. Diese Konstruktion ist Teil des sogenannten OSCI-Standards, der aus dem Jahr 2002 stammt.

Diese Uralt-Verschlüsselung ist ebenfalls ein Problem. Denn damit ist das BeA anfällig für die Efail-Sicherheitslücke, die im Frühjahr dieses Jahres publiziert wurde und die Mailverschlüsselungsverfahren S/MIME und PGP angreifbar macht. Die genauen Details hängen von den verwendeten Dateiformaten ab, aber hier ist es für einen Innentäter vermutlich möglich, eine Nachricht so zu manipulieren, dass sie den verschlüsselten Inhalt an Dritte weiterschickt.

Bei Secunet hatte man dieses Problem offenbar überhaupt nicht auf dem Schirm, zumindest ist im Gutachten davon nichts zu lesen. Theoretisch könnte man OSCI auch mit dem sichereren GCM-Verfahren nutzen. "Die Umstellung des beA auf den GCM-Modus an der OSCI-Schnittstelle erfolgt in einem geordneten Verfahren im EGVP-Verbund unter Steuerung des EGVP-Projektbüros und ist aktuell noch nicht vollzogen", schreibt uns die Brak dazu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Anwaltspostfach BeA: Geheimhaltung von Nachrichten ist nicht so wichtig
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 86,51€ (Vergleichspreis 98,62€)
  2. (u. a. Destiny 2 - Upgrade Edition (Steam Key) für 24,49€, Call of Duty Black Ops 3 für 16...
  3. 156,36€ neuer Bestpreis auf Geizhals
  4. (u. a. Samsung GQ65Q95TGT QLED TV für 2.299€ (inkl. Direktabzug), Samsung GQ75Q90TGT QLED TV...

Gunther Marko 16. Sep 2018

Weg mit der Nutzungspflicht ! Und zwar unabhängig von Sicherheitsmängeln ! Diese sind...

plutoniumsulfat 12. Sep 2018

Es geht nicht um Sicherheit, sondern um Rechtssicherheit.

Mik30 11. Sep 2018

Denn der war kostenlos und macht im Ergebnis genau dasselbe wie das beA jetzt. Nur mit...

schnedan 11. Sep 2018

ich freu mich schon auf den nächsten unterhaltsamen Vortrag beim CCCC

Mixermachine 11. Sep 2018

Wie wäre es mit einem zweiten privaten Key, der ebenfalls als Versender eingetragen wird...


Folgen Sie uns
       


Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


    Probefahrt mit Citroën Ami: Das Palindrom auf vier Rädern
    Probefahrt mit Citroën Ami
    Das Palindrom auf vier Rädern

    Wie fährt sich ein Elektroauto, das von vorne und hinten gleich aussieht und nur 7.000 Euro kostet?
    Ein Hands-on von Friedhelm Greis

    1. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
    2. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
    3. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar

    IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
    IT-Freelancer
    Der kürzeste Pfad zum nächsten Projekt

    Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
    Ein Bericht von Manuel Heckel

    1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

      •  /