Abo
  • Services:

BeA: Das Anwaltspostfach kommt mit Sicherheitslücken

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.

Artikel von Hanno Böck veröffentlicht am
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen.
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen. (Bild: Brak)

Nachdem es acht Monate offline war, soll das besondere elektronische Anwaltspostfach (BeA) heute wieder online gehen. Doch weiterhin gibt es ungeklärte Fragen in Sachen Sicherheit. Das BeA ist ein System der Bundesrechtsanwaltskammer (Brak), über das Rechtsanwälte und Justizbehörden verschlüsselt miteinander kommunizieren können. Eigentlich war vorgesehen, dass Anwälte ab Januar 2018 darüber ihre Nachrichten empfangen müssen. Doch daraus wurde nichts. Aufgrund schwerwiegender Sicherheitslücken wurde das BeA am 23. Dezember abgeschaltet.

Inhalt:
  1. BeA: Das Anwaltspostfach kommt mit Sicherheitslücken
  2. Veraltete Verschlüsselung in OSCI

Als Reaktion auf die zahlreichen Sicherheitslücken hat die Brak die Firma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Inzwischen wurde ein Gutachten als Ergebnis dieser Prüfung veröffentlicht, an vielen Stellen bleibt es jedoch vage. Sowohl Secunet als auch die Brak verweigern Auskünfte über die Details der Sicherheitslücken.

Im Gutachten von Secunet werden die gefundenen Schwachstellen in verschiedene Risikokategorien eingeteilt. Die schwersten Lücken wurden als Kategorie A oder als "betriebsverhindernde" Probleme bezeichnet. In einem zusammen mit dem Gutachten veröffentlichten Begleitschreiben kündigte die Brak an, das BeA werde nur wieder online gehen, wenn Secunet bestätige, dass alle Probleme der Kategorie A behoben seien.

Betriebsbehindernde Sicherheitslücke bleibt bestehen

Eine dieser Lücken - im Secunet-Gutachten unter Punkt 5.4.1 zu finden - ist jedoch nach wie vor nicht geschlossen, da dies ohne eine grundlegende Änderung der Softwarearchitektur des BeA nicht möglich ist. Das BeA ist als Javascript-basierte Webanwendung realisiert. Die Webanwendung wird von einem Server der Brak - erreichbar unter bea-brak.de - geladen und kommuniziert dann mit der sogenannten Client Security, einer Software auf dem lokalen PC.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. über duerenhoff GmbH, Raum Augsburg

Das Problem bei dieser Konstruktion: Ein Angreifer, der Zugriff auf den Server der Brak hat, könnte jederzeit eine andere Anwendung ausliefern und beispielsweise den Javascript-Code so ändern, dass er den entschlüsselten Inhalt der Nachrichten an Dritte weiterleitet.

Das bedeutet letztendlich, dass ein Innentäter jederzeit Zugriff auf verschlüsselte Nachrichten erlangen kann, wenn er gezielt einen BeA-Nutzer angreifen will. Damit erübrigen sich auch alle bisherigen Diskussionen über die Frage der Sicherheit des Hardware-Sicherheitsmoduls (HSM) und einer möglichen Ende-zu-Ende-Verschlüsselung, um die es viel Streit gab und zu der auch noch eine Klage läuft.

Verhindern ließe sich ein solcher Angriff nur, wenn die Anwendung komplett lokal laufen würde. Doch eine solche Änderung ist nicht vorgenommen worden und wäre in dem kurzen Zeitraum wohl auch nicht umsetzbar gewesen. Trotzdem hat laut Aussage der Brak Secunet dem BeA nun seinen Segen gegeben. Auf mehrfache Nachfragen von Golem.de konnte die Brak nicht erklären, wie sie dieses grundlegende Problem beheben will.

In einer Pressemitteilung dazu heißt es: "Hinsichtlich der Schwachstelle 5.4.1 erklärt Secunet, dass man sich durch ein zusätzliches Quelltext-Audit davon überzeugt habe, dass zu keiner Zeit Zugriff auf den Klartext der vertraulichen Nachrichtenanhänge bestand. Die Schwachstelle stellt nach Auffassung von Secunet in dieser Form kein Hindernis mehr für eine Wiederinbetriebnahme des BeA dar."

Brak sieht Lücke als behoben an, kann aber nicht erklären, warum

Was diese Erklärung aussagen soll, bleibt unklar. Ein Quelltext-Audit ist hier irrelevant, da das Angriffsszenario ja davon ausgeht, dass ein Angreifer den Code jederzeit verändern kann. Wir haben mehrfach vergeblich versucht, von der Brak eine Erklärung dafür zu erhalten, warum sie dort davon ausgeht, dass dieses Problem behoben ist.

Kurz vor Inbetriebnahme des BeA sah sich die Rechtsanwaltskammer jedoch nicht in der Lage, Fragen zur Technik des BeA zu beantworten. "Inhaltlich brauche ich für Ihre Antwort Input aus unserer Technik-Abteilung", schrieb uns die Pressesprecherin der Brak, Stephanie Beyrich, auf Anfrage. "Sie werden verstehen, dass derzeit alle dortigen Mitarbeiter mit den Vorbereitungen für die Wiederinbetriebnahme ausgelastet sind. Ich habe nochmals an Ihr Anliegen erinnert, rechne aber nicht damit, dass in dieser Woche eine Antwort möglich sein wird."

Veraltete Verschlüsselung in OSCI 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 34,99€

grorg 06. Sep 2018 / Themenstart

Bei nem Kollegen der Anwalt ist auf ein Bierchen der in seiner Kanzlei mit Mac OS...

RienSte 06. Sep 2018 / Themenstart

Ich gehe davon aus, dass das keine direkte Antwort auf meinen Beitrag war, oder? (so wird...

RichardEb 04. Sep 2018 / Themenstart

Und welche Zaubertechnik soll das verhindern?

plutoniumsulfat 04. Sep 2018 / Themenstart

Die Logik dahinter sollte verständlich sein.

My1 04. Sep 2018 / Themenstart

naja der nutzungszwang soll halt den anwälten ausm neuland raushelfen aber dass es so...

Kommentieren


Folgen Sie uns
       


Lenovo Thinkpad T480s - Test

Wir halten das Thinkpad T480s für eines der besten Business-Notebooks am Markt: Der 14-Zöller ist kompakt und recht leicht und weist dennoch viele Anschlüsse auf, zudem sind Speicher, SSD, Wi-Fi und Modem aufrüstbar.

Lenovo Thinkpad T480s - Test Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /