Abo
  • Services:

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Artikel von Hanno Böck veröffentlicht am
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen.
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer)

Die Bundesrechtsanwaltskammer hat ihre Mitglieder einem gravierenden Sicherheitsrisiko ausgesetzt. Hintergrund ist das sogenannte besondere elektronische Anwaltspostfach - eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Die Nutzung des BeA ist ab Januar für Rechtsanwälte verpflichtend. Die Anwender waren aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist. Wer das getan hat, sollte das Zertifikat umgehend wieder entfernen.

Stellenmarkt
  1. Güntner GmbH & Co. KG, Fürstenfeldbruck Raum München
  2. NORMA Group Holding GmbH, Maintal bei Frankfurt am Main

Wenn die BeA-Software installiert wird, betreibt diese auf dem lokalen Port 9998 einen HTTPS-Server. Damit Verbindungen dazu nicht zu Zertifikatswarnungen führen, wurde dafür ursprünglich ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt. Dafür hatte man die Domain bealocalhost.de registriert. Die Domain verweist jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1).

Zertifikat samt privatem Schlüssel Teil der Software

Das Problem dabei: Da die Software ja selbst die HTTPS-Verbindungen durchführt, muss der private Schlüssel Teil der Software sein. Damit bietet aber eine solche HTTPS-Verbindung keinerlei Schutz. Ein Man-in-the-Middle-Angreifer hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der BeA-Software präsentieren können.

Doch diese Vorgehensweise ist nicht nur unsicher, sie verstößt auch gegen die Regeln für Zertifizierungsstellen, die sogenannten Baseline Requirements. Diese sehen vor, dass Zertifizierungsstellen Zertifikate, deren privater Schlüssel kompromittiert ist, innerhalb von 24 Stunden zurückziehen müssen.

Markus Drenger vom Chaos Computer Club Darmstadt hatte dieses Zertifikat und den privaten Schlüssel entdeckt - und das Problem an Telesec gemeldet, die daraufhin das Zertifikat zurückzogen. Heise Online hatte gestern darüber berichtet.

Der Hersteller der BeA-Software, die Firma Atos, musste nun schnell reagieren - und machte das Problem noch viel schlimmer. Statt eines von Browsern akzeptierten Zertifikats wurde nun ein selbstsigniertes Zertifikat genutzt. Damit Nutzer dazu eine Verbindung aufbauen können, wurden sie in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Window zu importieren. Darauf wurde Golem.de von dem Rechtsanwalt Matthias Bergt hingewiesen. Windows zeigt dabei eine Warnung an, die man laut der Anleitung ignorieren sollte.

Dieses Zertifikat wird nun genutzt, um den lokalen HTTPS-Server zu betreiben, gleichzeitig ist es aber auch ein Root-Zertifikat, das andere Zertifikate signieren kann. Wieder ist der private Schlüssel Teil der Software. Mit Hilfe des IT-Sicherheitsexperten Craig Young gelang es dem Autor dieses Artikels, diesen Schlüssel zu extrahieren.

Verbindungen zu beliebigen Domains können angegriffen werden

Das Problem dabei: Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren - etwa für Google.com, Facebook.com oder jede beliebige andere Domain. Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen - und dabei Passwörter ausspionieren, Daten manipulieren und vieles mehr.

Das Problem ist praktisch identisch zu der Sicherheitslücke, die die Software Superfish auf Lenovo-Laptops vor einiger Zeit betraf. Auch Dell und die Software Privdog hatten in der Vergangenheit solche Probleme.

Inzwischen hat man bei der Bundesrechtsanwaltskammer wohl gemerkt, dass das keine so gute Idee war. Der entsprechende Newsletter ist von der Webseite entfernt worden, die Anleitung ist aber noch abrufbar. Über die Sicherheitsrisiken werden die Nutzer aber nicht aufgeklärt, auf der Webseite heißt es zur Zeit lediglich: "Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen."

Unser Online-Test prüft, ob man verwundbar ist

Golem.de hat einen Test bereitgestellt, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer das Zertifikat installiert hat, sollte es umgehend wieder entfernen. Dafür ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

Wir haben versucht, die Bundesrechtsanwaltskammer telefonisch und per E-Mail zu erreichen, um eine Stellungnahme zu erhalten. Doch am Samstag vor Weihnachten ist dort niemand erreichbar. Eine Bandansage teilt Nutzern dasselbe mit, was zur Zeit auf der Webseite steht: Dass das BeA zur Zeit offline ist.



Anzeige
Top-Angebote
  1. 16,99€ + 3,49€ Versand (Vergleichspreis ca. 30€)
  2. (u. a. NieR Automata für 20,99€ und Dead in Vinland für 12,49€)
  3. (u. a. Fallout 4 für 7,99€ und Battlefleet Gothic: Armada für 6,99€)
  4. 77€ (Vergleichspreis 97,83€)

LearnYourJob 30. Dez 2017

Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER...

hagman 27. Dez 2017

Ich würde durchaus eher von einem verbreiteten und umfangreichen Nicht-Wissen ausgehen...

RichardEb 26. Dez 2017

Das Problem ist das die Gerichte dann auch eine revisionssichere Archivierung brauchen...

LearnYourJob 25. Dez 2017

Macht es das besser? Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen...

LearnYourJob 24. Dez 2017

Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA


Folgen Sie uns
       


Octopath Traveler - Livestream

Im Livestream zu Octopath Traveler erklären wir den Alltag im JRPG von Square Enix und Nintendo und verfallen später in eine Diskussion über Motivationsphilosophien in Games und das Genre allgemein.

Octopath Traveler - Livestream Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Chang'e 4 China stellt neuen Mondrover vor
  2. Raumfahrt Cubesats sollen unhackbar werden
  3. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an

    •  /