Abo
  • Services:

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

Artikel von Hanno Böck veröffentlicht am
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen.
Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer)

Die Bundesrechtsanwaltskammer hat ihre Mitglieder einem gravierenden Sicherheitsrisiko ausgesetzt. Hintergrund ist das sogenannte besondere elektronische Anwaltspostfach - eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Die Nutzung des BeA ist ab Januar für Rechtsanwälte verpflichtend. Die Anwender waren aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist. Wer das getan hat, sollte das Zertifikat umgehend wieder entfernen.

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen bei Freiburg im Breisgau
  2. Auvesy GmbH, Landau in der Pfalz

Wenn die BeA-Software installiert wird, betreibt diese auf dem lokalen Port 9998 einen HTTPS-Server. Damit Verbindungen dazu nicht zu Zertifikatswarnungen führen, wurde dafür ursprünglich ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt. Dafür hatte man die Domain bealocalhost.de registriert. Die Domain verweist jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1).

Zertifikat samt privatem Schlüssel Teil der Software

Das Problem dabei: Da die Software ja selbst die HTTPS-Verbindungen durchführt, muss der private Schlüssel Teil der Software sein. Damit bietet aber eine solche HTTPS-Verbindung keinerlei Schutz. Ein Man-in-the-Middle-Angreifer hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der BeA-Software präsentieren können.

Doch diese Vorgehensweise ist nicht nur unsicher, sie verstößt auch gegen die Regeln für Zertifizierungsstellen, die sogenannten Baseline Requirements. Diese sehen vor, dass Zertifizierungsstellen Zertifikate, deren privater Schlüssel kompromittiert ist, innerhalb von 24 Stunden zurückziehen müssen.

Markus Drenger vom Chaos Computer Club Darmstadt hatte dieses Zertifikat und den privaten Schlüssel entdeckt - und das Problem an Telesec gemeldet, die daraufhin das Zertifikat zurückzogen. Heise Online hatte gestern darüber berichtet.

Der Hersteller der BeA-Software, die Firma Atos, musste nun schnell reagieren - und machte das Problem noch viel schlimmer. Statt eines von Browsern akzeptierten Zertifikats wurde nun ein selbstsigniertes Zertifikat genutzt. Damit Nutzer dazu eine Verbindung aufbauen können, wurden sie in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Window zu importieren. Darauf wurde Golem.de von dem Rechtsanwalt Matthias Bergt hingewiesen. Windows zeigt dabei eine Warnung an, die man laut der Anleitung ignorieren sollte.

Dieses Zertifikat wird nun genutzt, um den lokalen HTTPS-Server zu betreiben, gleichzeitig ist es aber auch ein Root-Zertifikat, das andere Zertifikate signieren kann. Wieder ist der private Schlüssel Teil der Software. Mit Hilfe des IT-Sicherheitsexperten Craig Young gelang es dem Autor dieses Artikels, diesen Schlüssel zu extrahieren.

Verbindungen zu beliebigen Domains können angegriffen werden

Das Problem dabei: Mit diesem Zertifikat und dem privaten Schlüssel kann man nun beliebige Webseitenzertifikate signieren - etwa für Google.com, Facebook.com oder jede beliebige andere Domain. Ein Angreifer kann also nun nach Belieben Man-in-the-Middle-Angriffe gegen die Internetverbindungen der betroffenen Rechtsanwälte durchführen - und dabei Passwörter ausspionieren, Daten manipulieren und vieles mehr.

Das Problem ist praktisch identisch zu der Sicherheitslücke, die die Software Superfish auf Lenovo-Laptops vor einiger Zeit betraf. Auch Dell und die Software Privdog hatten in der Vergangenheit solche Probleme.

Inzwischen hat man bei der Bundesrechtsanwaltskammer wohl gemerkt, dass das keine so gute Idee war. Der entsprechende Newsletter ist von der Webseite entfernt worden, die Anleitung ist aber noch abrufbar. Über die Sicherheitsrisiken werden die Nutzer aber nicht aufgeklärt, auf der Webseite heißt es zur Zeit lediglich: "Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen."

Unser Online-Test prüft, ob man verwundbar ist

Golem.de hat einen Test bereitgestellt, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer das Zertifikat installiert hat, sollte es umgehend wieder entfernen. Dafür ruft man unter Windows in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

Wir haben versucht, die Bundesrechtsanwaltskammer telefonisch und per E-Mail zu erreichen, um eine Stellungnahme zu erhalten. Doch am Samstag vor Weihnachten ist dort niemand erreichbar. Eine Bandansage teilt Nutzern dasselbe mit, was zur Zeit auf der Webseite steht: Dass das BeA zur Zeit offline ist.



Anzeige
Hardware-Angebote
  1. und The Crew 2 gratis erhalten
  2. bei Caseking kaufen

LearnYourJob 30. Dez 2017

Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER...

hagman 27. Dez 2017

Ich würde durchaus eher von einem verbreiteten und umfangreichen Nicht-Wissen ausgehen...

RichardEb 26. Dez 2017

Das Problem ist das die Gerichte dann auch eine revisionssichere Archivierung brauchen...

LearnYourJob 25. Dez 2017

Macht es das besser? Es ist heute auch üblich sich seine Meinung aus Blasen in sozialen...

LearnYourJob 24. Dez 2017

Die Frage ist im Artikel selbst hinreichend beantwortet und zwar mit JA


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Hacker: Was ist eigentlich ein Exploit?
    Hacker
    Was ist eigentlich ein Exploit?

    In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
    Von Hauke Gierow

    1. IoT Foscam beseitigt Exploit-Kette in Kameras
    2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
    3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

      •  /