• IT-Karriere:
  • Services:

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Artikel von Hanno Böck veröffentlicht am
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen.
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer)

Die Bundesrechtsanwaltskammer hat ihre Mitglieder einem gravierenden Sicherheitsrisiko ausgesetzt. Hintergrund ist das sogenannte besondere elektronische Anwaltspostfach - eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Die Nutzung des BeA ist ab Januar für Rechtsanwälte verpflichtend. Die Anwender waren aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist. Wer das getan hat, sollte das Zertifikat umgehend wieder entfernen.

Stellenmarkt
  1. IT-Systemhaus der Bundesagentur für Arbeit, Fürth
  2. andagon people GmbH, Köln

Wenn die BeA-Software installiert wird, betreibt diese auf dem lokalen Port 9998 einen HTTPS-Server. Damit Verbindungen dazu nicht zu Zertifikatswarnungen führen, wurde dafür ursprünglich ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt. Dafür hatte man die Domain bealocalhost.de registriert. Die Domain verweist jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1).

Zertifikat samt privatem Schlüssel Teil der Software

Das Problem dabei: Da die Software ja selbst die HTTPS-Verbindungen durchführt, muss der private Schlüssel Teil der Software sein. Damit bietet aber eine solche HTTPS-Verbindung keinerlei Schutz. Ein Man-in-the-Middle-Angreifer hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der BeA-Software präsentieren können.

Doch diese Vorgehensweise ist nicht nur unsicher, sie verstößt auch gegen die Regeln für Zertifizierungsstellen, die sogenannten Baseline Requirements. Diese sehen vor, dass Zertifizierungsstellen Zertifikate, deren privater Schlüssel kompromittiert ist, innerhalb von 24 Stunden zurückziehen müssen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Markus Drenger vom Chaos Computer Club Darmstadt hatte dieses Zertifikat und den privaten Schlüssel entdeckt - und das Problem an Telesec gemeldet, die daraufhin das Zertifikat zurückzogen. Heise Online hatte gestern darüber berichtet.

Der Hersteller der BeA-Software, die Firma Atos, musste nun schnell reagieren - und machte das Problem noch viel schlimmer. Statt eines von Browsern akzeptierten Zertifikats wurde nun ein selbstsigniertes Zertifikat genutzt. Damit Nutzer dazu eine Verbindung aufbauen können, wurden sie in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Window zu importieren. Darauf wurde Golem.de von dem Rechtsanwalt Matthias Bergt hingewiesen. Windows zeigt dabei eine Warnung an, die man laut der Anleitung ignorieren sollte.

Dieses Zertifikat wird nun genutzt, um den lokalen HTTPS-Server zu betreiben, gleichzeitig ist es aber auch ein Root-Zertifikat, das andere Zertifikate signieren kann. Wieder ist der private Schlüssel Teil der Software. Mit Hilfe des IT-Sicherheitsexperten Craig Young gelang es dem Autor dieses Artikels, diesen Schlüssel zu extrahieren.

Verbindungen zu beliebigen Domains können angegriffen werden

Das Problem dabei: Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren - etwa für Google.com, Facebook.com oder jede beliebige andere Domain. Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen - und dabei Passwörter ausspionieren, Daten manipulieren und vieles mehr.

Das Problem ist praktisch identisch zu der Sicherheitslücke, die die Software Superfish auf Lenovo-Laptops vor einiger Zeit betraf. Auch Dell und die Software Privdog hatten in der Vergangenheit solche Probleme.

Inzwischen hat man bei der Bundesrechtsanwaltskammer wohl gemerkt, dass das keine so gute Idee war. Der entsprechende Newsletter ist von der Webseite entfernt worden, die Anleitung ist aber noch abrufbar. Über die Sicherheitsrisiken werden die Nutzer aber nicht aufgeklärt, auf der Webseite heißt es zur Zeit lediglich: "Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen."

Unser Online-Test prüft, ob man verwundbar ist

Golem.de hat einen Test bereitgestellt, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer das Zertifikat installiert hat, sollte es umgehend wieder entfernen. Dafür ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

Wir haben versucht, die Bundesrechtsanwaltskammer telefonisch und per E-Mail zu erreichen, um eine Stellungnahme zu erhalten. Doch am Samstag vor Weihnachten ist dort niemand erreichbar. Eine Bandansage teilt Nutzern dasselbe mit, was zur Zeit auf der Webseite steht: Dass das BeA zur Zeit offline ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 39,99€
  2. (u. a. Neff Spülmaschine 60cm für 549€, Bosch Spülmaschine 60cm für 319€, Siemens...
  3. (u. a. Hell Let Loose für 15,99€, Star Wars Battlefront 2 (2017) für 10,49€, BioShock - The...
  4. (u. a. Heldenfilme in 4K: Venom, Spider-Man: Far From Home, Jumanji: The Next Level, Bloodshot...

LearnYourJob 30. Dez 2017

Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER...

hagman 27. Dez 2017

Ich würde durchaus eher von einem verbreiteten und umfangreichen Nicht-Wissen ausgehen...

Anonymer Nutzer 26. Dez 2017

Das Problem ist das die Gerichte dann auch eine revisionssichere Archivierung brauchen...

LearnYourJob 25. Dez 2017

Macht es das besser? Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen...

LearnYourJob 24. Dez 2017

Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA


Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /