Abo
  • Services:

BeA: Das Anwaltspostfach kommt mit Sicherheitslücken

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.

Artikel von Hanno Böck veröffentlicht am
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen.
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen. (Bild: Brak)

Nachdem es acht Monate offline war, soll das besondere elektronische Anwaltspostfach (BeA) heute wieder online gehen. Doch weiterhin gibt es ungeklärte Fragen in Sachen Sicherheit. Das BeA ist ein System der Bundesrechtsanwaltskammer (Brak), über das Rechtsanwälte und Justizbehörden verschlüsselt miteinander kommunizieren können. Eigentlich war vorgesehen, dass Anwälte ab Januar 2018 darüber ihre Nachrichten empfangen müssen. Doch daraus wurde nichts. Aufgrund schwerwiegender Sicherheitslücken wurde das BeA am 23. Dezember abgeschaltet.

Inhalt:
  1. BeA: Das Anwaltspostfach kommt mit Sicherheitslücken
  2. Veraltete Verschlüsselung in OSCI

Als Reaktion auf die zahlreichen Sicherheitslücken hat die Brak die Firma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Inzwischen wurde ein Gutachten als Ergebnis dieser Prüfung veröffentlicht, an vielen Stellen bleibt es jedoch vage. Sowohl Secunet als auch die Brak verweigern Auskünfte über die Details der Sicherheitslücken.

Im Gutachten von Secunet werden die gefundenen Schwachstellen in verschiedene Risikokategorien eingeteilt. Die schwersten Lücken wurden als Kategorie A oder als "betriebsverhindernde" Probleme bezeichnet. In einem zusammen mit dem Gutachten veröffentlichten Begleitschreiben kündigte die Brak an, das BeA werde nur wieder online gehen, wenn Secunet bestätige, dass alle Probleme der Kategorie A behoben seien.

Betriebsbehindernde Sicherheitslücke bleibt bestehen

Eine dieser Lücken - im Secunet-Gutachten unter Punkt 5.4.1 zu finden - ist jedoch nach wie vor nicht geschlossen, da dies ohne eine grundlegende Änderung der Softwarearchitektur des BeA nicht möglich ist. Das BeA ist als Javascript-basierte Webanwendung realisiert. Die Webanwendung wird von einem Server der Brak - erreichbar unter bea-brak.de - geladen und kommuniziert dann mit der sogenannten Client Security, einer Software auf dem lokalen PC.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Das Problem bei dieser Konstruktion: Ein Angreifer, der Zugriff auf den Server der Brak hat, könnte jederzeit eine andere Anwendung ausliefern und beispielsweise den Javascript-Code so ändern, dass er den entschlüsselten Inhalt der Nachrichten an Dritte weiterleitet.

Das bedeutet letztendlich, dass ein Innentäter jederzeit Zugriff auf verschlüsselte Nachrichten erlangen kann, wenn er gezielt einen BeA-Nutzer angreifen will. Damit erübrigen sich auch alle bisherigen Diskussionen über die Frage der Sicherheit des Hardware-Sicherheitsmoduls (HSM) und einer möglichen Ende-zu-Ende-Verschlüsselung, um die es viel Streit gab und zu der auch noch eine Klage läuft.

Verhindern ließe sich ein solcher Angriff nur, wenn die Anwendung komplett lokal laufen würde. Doch eine solche Änderung ist nicht vorgenommen worden und wäre in dem kurzen Zeitraum wohl auch nicht umsetzbar gewesen. Trotzdem hat laut Aussage der Brak Secunet dem BeA nun seinen Segen gegeben. Auf mehrfache Nachfragen von Golem.de konnte die Brak nicht erklären, wie sie dieses grundlegende Problem beheben will.

In einer Pressemitteilung dazu heißt es: "Hinsichtlich der Schwachstelle 5.4.1 erklärt Secunet, dass man sich durch ein zusätzliches Quelltext-Audit davon überzeugt habe, dass zu keiner Zeit Zugriff auf den Klartext der vertraulichen Nachrichtenanhänge bestand. Die Schwachstelle stellt nach Auffassung von Secunet in dieser Form kein Hindernis mehr für eine Wiederinbetriebnahme des BeA dar."

Brak sieht Lücke als behoben an, kann aber nicht erklären, warum

Was diese Erklärung aussagen soll, bleibt unklar. Ein Quelltext-Audit ist hier irrelevant, da das Angriffsszenario ja davon ausgeht, dass ein Angreifer den Code jederzeit verändern kann. Wir haben mehrfach vergeblich versucht, von der Brak eine Erklärung dafür zu erhalten, warum sie dort davon ausgeht, dass dieses Problem behoben ist.

Kurz vor Inbetriebnahme des BeA sah sich die Rechtsanwaltskammer jedoch nicht in der Lage, Fragen zur Technik des BeA zu beantworten. "Inhaltlich brauche ich für Ihre Antwort Input aus unserer Technik-Abteilung", schrieb uns die Pressesprecherin der Brak, Stephanie Beyrich, auf Anfrage. "Sie werden verstehen, dass derzeit alle dortigen Mitarbeiter mit den Vorbereitungen für die Wiederinbetriebnahme ausgelastet sind. Ich habe nochmals an Ihr Anliegen erinnert, rechne aber nicht damit, dass in dieser Woche eine Antwort möglich sein wird."

Veraltete Verschlüsselung in OSCI 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 119,90€

grorg 06. Sep 2018

Bei nem Kollegen der Anwalt ist auf ein Bierchen der in seiner Kanzlei mit Mac OS...

RienSte 06. Sep 2018

Ich gehe davon aus, dass das keine direkte Antwort auf meinen Beitrag war, oder? (so wird...

RichardEb 04. Sep 2018

Und welche Zaubertechnik soll das verhindern?

plutoniumsulfat 04. Sep 2018

Die Logik dahinter sollte verständlich sein.

My1 04. Sep 2018

naja der nutzungszwang soll halt den anwälten ausm neuland raushelfen aber dass es so...


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 2

Im zweiten Teil unseres Livestreams basteln wir ein eigenes neues Deck (dreifarbig!) und ziehen damit in den Kampf.

MTG Arena Ravnica Allegiance - Livestream 2 Video aufrufen
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

    •  /