Abo
  • IT-Karriere:

Keine sensiblen Informationen im Betreff und im Nachrichtentext

Im Klartext: Die Brak geht davon aus, dass sämtliche sensiblen Informationen im BeA nur in Nachrichtenanhängen verschickt werden dürfen. Weder der Inhalt der Nachricht noch deren Betreff dürfen demnach Informationen enthalten, die potenziell dem Mandatsgeheimnis unterliegen. Das dürfte den wenigsten Anwälten bisher klar sein. Selbst simple Aussagen wie etwa die, dass eine Person eine andere verklagt, können bereits schützenswerte Informationen sein.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. AKDB, Regensburg

Secunet hat laut Brak geprüft, dass die Webanwendung an keiner Stelle Zugriff auf die unverschlüsselten Nachrichtenanhänge hat. Doch selbst wenn man dieser fragwürdigen Begründung folgt, ergibt sich ein weiteres Problem. Auch wenn die Webanwendung die Nachrichtenanhänge nicht direkt auslesen kann, so kann sie doch kontrollieren, an wen diese geschickt werden.

Ein Innentäter könnte die Webanwendung also so manipulieren, dass manchen Nachrichten einfach noch ein weiterer Empfänger hinzugefügt wird, ohne dass dies in der Oberfläche sichtbar ist. Im Dateiauswahldialog, der von der BeA-Anwendung geöffnet wird, ist der Empfänger nicht zu sehen. Wir haben die Brak zu diesem Problem um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten.

Ein Innentäter hat also in jedem Fall die Möglichkeit, die Inhalte von Nachrichten mitzulesen. Auf die Anhänge kann er vermutlich über Umwege ebenfalls zugreifen.

Uralt-Verschlüsselung macht BeA verwundbar für Efail

Ein weiteres Problem, das wir in unserem Bericht vergangene Woche bereits angesprochen hatten, hat die Brak uns inzwischen bestätigt: Die BeA-Anwendung verwendet XML-Verschlüsselung mit dem CBC-Verfahren und ohne Authentifizierung. Diese Konstruktion ist Teil des sogenannten OSCI-Standards, der aus dem Jahr 2002 stammt.

Diese Uralt-Verschlüsselung ist ebenfalls ein Problem. Denn damit ist das BeA anfällig für die Efail-Sicherheitslücke, die im Frühjahr dieses Jahres publiziert wurde und die Mailverschlüsselungsverfahren S/MIME und PGP angreifbar macht. Die genauen Details hängen von den verwendeten Dateiformaten ab, aber hier ist es für einen Innentäter vermutlich möglich, eine Nachricht so zu manipulieren, dass sie den verschlüsselten Inhalt an Dritte weiterschickt.

Bei Secunet hatte man dieses Problem offenbar überhaupt nicht auf dem Schirm, zumindest ist im Gutachten davon nichts zu lesen. Theoretisch könnte man OSCI auch mit dem sichereren GCM-Verfahren nutzen. "Die Umstellung des beA auf den GCM-Modus an der OSCI-Schnittstelle erfolgt in einem geordneten Verfahren im EGVP-Verbund unter Steuerung des EGVP-Projektbüros und ist aktuell noch nicht vollzogen", schreibt uns die Brak dazu.

 Anwaltspostfach BeA: Geheimhaltung von Nachrichten ist nicht so wichtig
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 34,99€
  2. 4,19€
  3. 43,99€
  4. 2,80€

Gunther Marko 16. Sep 2018

Weg mit der Nutzungspflicht ! Und zwar unabhängig von Sicherheitsmängeln ! Diese sind...

plutoniumsulfat 12. Sep 2018

Es geht nicht um Sicherheit, sondern um Rechtssicherheit.

Mik30 11. Sep 2018

Denn der war kostenlos und macht im Ergebnis genau dasselbe wie das beA jetzt. Nur mit...

schnedan 11. Sep 2018

ich freu mich schon auf den nächsten unterhaltsamen Vortrag beim CCCC

Mixermachine 11. Sep 2018

Wie wäre es mit einem zweiten privaten Key, der ebenfalls als Versender eingetragen wird...


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

    •  /