BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Artikel von veröffentlicht am
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen.
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer)

Die Bundesrechtsanwaltskammer hat ihre Mitglieder einem gravierenden Sicherheitsrisiko ausgesetzt. Hintergrund ist das sogenannte besondere elektronische Anwaltspostfach - eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Die Nutzung des BeA ist ab Januar für Rechtsanwälte verpflichtend. Die Anwender waren aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist. Wer das getan hat, sollte das Zertifikat umgehend wieder entfernen.

Wenn die BeA-Software installiert wird, betreibt diese auf dem lokalen Port 9998 einen HTTPS-Server. Damit Verbindungen dazu nicht zu Zertifikatswarnungen führen, wurde dafür ursprünglich ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt. Dafür hatte man die Domain bealocalhost.de registriert. Die Domain verweist jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1).

Zertifikat samt privatem Schlüssel Teil der Software

Das Problem dabei: Da die Software ja selbst die HTTPS-Verbindungen durchführt, muss der private Schlüssel Teil der Software sein. Damit bietet aber eine solche HTTPS-Verbindung keinerlei Schutz. Ein Man-in-the-Middle-Angreifer hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der BeA-Software präsentieren können.

Doch diese Vorgehensweise ist nicht nur unsicher, sie verstößt auch gegen die Regeln für Zertifizierungsstellen, die sogenannten Baseline Requirements. Diese sehen vor, dass Zertifizierungsstellen Zertifikate, deren privater Schlüssel kompromittiert ist, innerhalb von 24 Stunden zurückziehen müssen.

Markus Drenger vom Chaos Computer Club Darmstadt hatte dieses Zertifikat und den privaten Schlüssel entdeckt - und das Problem an Telesec gemeldet, die daraufhin das Zertifikat zurückzogen. Heise Online hatte gestern darüber berichtet.

Der Hersteller der BeA-Software, die Firma Atos, musste nun schnell reagieren - und machte das Problem noch viel schlimmer. Statt eines von Browsern akzeptierten Zertifikats wurde nun ein selbstsigniertes Zertifikat genutzt. Damit Nutzer dazu eine Verbindung aufbauen können, wurden sie in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Window zu importieren. Darauf wurde Golem.de von dem Rechtsanwalt Matthias Bergt hingewiesen. Windows zeigt dabei eine Warnung an, die man laut der Anleitung ignorieren sollte.

Dieses Zertifikat wird nun genutzt, um den lokalen HTTPS-Server zu betreiben, gleichzeitig ist es aber auch ein Root-Zertifikat, das andere Zertifikate signieren kann. Wieder ist der private Schlüssel Teil der Software. Mit Hilfe des IT-Sicherheitsexperten Craig Young gelang es dem Autor dieses Artikels, diesen Schlüssel zu extrahieren.

Verbindungen zu beliebigen Domains können angegriffen werden

Das Problem dabei: Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren - etwa für Google.com, Facebook.com oder jede beliebige andere Domain. Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen - und dabei Passwörter ausspionieren, Daten manipulieren und vieles mehr.

Das Problem ist praktisch identisch zu der Sicherheitslücke, die die Software Superfish auf Lenovo-Laptops vor einiger Zeit betraf. Auch Dell und die Software Privdog hatten in der Vergangenheit solche Probleme.

Inzwischen hat man bei der Bundesrechtsanwaltskammer wohl gemerkt, dass das keine so gute Idee war. Der entsprechende Newsletter ist von der Webseite entfernt worden, die Anleitung ist aber noch abrufbar. Über die Sicherheitsrisiken werden die Nutzer aber nicht aufgeklärt, auf der Webseite heißt es zur Zeit lediglich: "Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen."

Unser Online-Test prüft, ob man verwundbar ist

Golem.de hat einen Test bereitgestellt, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer das Zertifikat installiert hat, sollte es umgehend wieder entfernen. Dafür ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

Wir haben versucht, die Bundesrechtsanwaltskammer telefonisch und per E-Mail zu erreichen, um eine Stellungnahme zu erhalten. Doch am Samstag vor Weihnachten ist dort niemand erreichbar. Eine Bandansage teilt Nutzern dasselbe mit, was zur Zeit auf der Webseite steht: Dass das BeA zur Zeit offline ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


LearnYourJob 30. Dez 2017

Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER...

hagman 27. Dez 2017

Ich würde durchaus eher von einem verbreiteten und umfangreichen Nicht-Wissen ausgehen...

Anonymer Nutzer 26. Dez 2017

Das Problem ist das die Gerichte dann auch eine revisionssichere Archivierung brauchen...

LearnYourJob 25. Dez 2017

Macht es das besser? Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /