Abo
  • Services:

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Artikel von Hanno Böck veröffentlicht am
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen.
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer)

Die Bundesrechtsanwaltskammer hat ihre Mitglieder einem gravierenden Sicherheitsrisiko ausgesetzt. Hintergrund ist das sogenannte besondere elektronische Anwaltspostfach - eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Die Nutzung des BeA ist ab Januar für Rechtsanwälte verpflichtend. Die Anwender waren aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist. Wer das getan hat, sollte das Zertifikat umgehend wieder entfernen.

Stellenmarkt
  1. ProLeiT AG, Leverkusen
  2. SCHUFA Holding AG, Wiesbaden

Wenn die BeA-Software installiert wird, betreibt diese auf dem lokalen Port 9998 einen HTTPS-Server. Damit Verbindungen dazu nicht zu Zertifikatswarnungen führen, wurde dafür ursprünglich ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt. Dafür hatte man die Domain bealocalhost.de registriert. Die Domain verweist jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1).

Zertifikat samt privatem Schlüssel Teil der Software

Das Problem dabei: Da die Software ja selbst die HTTPS-Verbindungen durchführt, muss der private Schlüssel Teil der Software sein. Damit bietet aber eine solche HTTPS-Verbindung keinerlei Schutz. Ein Man-in-the-Middle-Angreifer hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der BeA-Software präsentieren können.

Doch diese Vorgehensweise ist nicht nur unsicher, sie verstößt auch gegen die Regeln für Zertifizierungsstellen, die sogenannten Baseline Requirements. Diese sehen vor, dass Zertifizierungsstellen Zertifikate, deren privater Schlüssel kompromittiert ist, innerhalb von 24 Stunden zurückziehen müssen.

Markus Drenger vom Chaos Computer Club Darmstadt hatte dieses Zertifikat und den privaten Schlüssel entdeckt - und das Problem an Telesec gemeldet, die daraufhin das Zertifikat zurückzogen. Heise Online hatte gestern darüber berichtet.

Der Hersteller der BeA-Software, die Firma Atos, musste nun schnell reagieren - und machte das Problem noch viel schlimmer. Statt eines von Browsern akzeptierten Zertifikats wurde nun ein selbstsigniertes Zertifikat genutzt. Damit Nutzer dazu eine Verbindung aufbauen können, wurden sie in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Window zu importieren. Darauf wurde Golem.de von dem Rechtsanwalt Matthias Bergt hingewiesen. Windows zeigt dabei eine Warnung an, die man laut der Anleitung ignorieren sollte.

Dieses Zertifikat wird nun genutzt, um den lokalen HTTPS-Server zu betreiben, gleichzeitig ist es aber auch ein Root-Zertifikat, das andere Zertifikate signieren kann. Wieder ist der private Schlüssel Teil der Software. Mit Hilfe des IT-Sicherheitsexperten Craig Young gelang es dem Autor dieses Artikels, diesen Schlüssel zu extrahieren.

Verbindungen zu beliebigen Domains können angegriffen werden

Das Problem dabei: Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren - etwa für Google.com, Facebook.com oder jede beliebige andere Domain. Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen - und dabei Passwörter ausspionieren, Daten manipulieren und vieles mehr.

Das Problem ist praktisch identisch zu der Sicherheitslücke, die die Software Superfish auf Lenovo-Laptops vor einiger Zeit betraf. Auch Dell und die Software Privdog hatten in der Vergangenheit solche Probleme.

Inzwischen hat man bei der Bundesrechtsanwaltskammer wohl gemerkt, dass das keine so gute Idee war. Der entsprechende Newsletter ist von der Webseite entfernt worden, die Anleitung ist aber noch abrufbar. Über die Sicherheitsrisiken werden die Nutzer aber nicht aufgeklärt, auf der Webseite heißt es zur Zeit lediglich: "Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen."

Unser Online-Test prüft, ob man verwundbar ist

Golem.de hat einen Test bereitgestellt, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer das Zertifikat installiert hat, sollte es umgehend wieder entfernen. Dafür ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

Wir haben versucht, die Bundesrechtsanwaltskammer telefonisch und per E-Mail zu erreichen, um eine Stellungnahme zu erhalten. Doch am Samstag vor Weihnachten ist dort niemand erreichbar. Eine Bandansage teilt Nutzern dasselbe mit, was zur Zeit auf der Webseite steht: Dass das BeA zur Zeit offline ist.



Anzeige
Hardware-Angebote
  1. bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. und Far Cry 5 gratis erhalten
  4. 229,90€ + 5,99€ Versand

LearnYourJob 30. Dez 2017

Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER...

hagman 27. Dez 2017

Ich würde durchaus eher von einem verbreiteten und umfangreichen Nicht-Wissen ausgehen...

RichardEb 26. Dez 2017

Das Problem ist das die Gerichte dann auch eine revisionssichere Archivierung brauchen...

LearnYourJob 25. Dez 2017

Macht es das besser? Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen...

LearnYourJob 24. Dez 2017

Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA


Folgen Sie uns
       


Razer-Nommo-Chroma-Boxen - Test

Haartrockner oder doch Lautsprecher? Wir testen Razers Nommo-Chroma-Boxen und tendieren zu Ersterem.

Razer-Nommo-Chroma-Boxen - Test Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /