Abo
  • IT-Karriere:

BeA: Das Anwaltspostfach kommt mit Sicherheitslücken

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.

Artikel von Hanno Böck veröffentlicht am
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen.
Endlich ist es wieder da: das BeA. Doch in Sachen Sicherheit ist weiterhin einiges im Argen. (Bild: Brak)

Nachdem es acht Monate offline war, soll das besondere elektronische Anwaltspostfach (BeA) heute wieder online gehen. Doch weiterhin gibt es ungeklärte Fragen in Sachen Sicherheit. Das BeA ist ein System der Bundesrechtsanwaltskammer (Brak), über das Rechtsanwälte und Justizbehörden verschlüsselt miteinander kommunizieren können. Eigentlich war vorgesehen, dass Anwälte ab Januar 2018 darüber ihre Nachrichten empfangen müssen. Doch daraus wurde nichts. Aufgrund schwerwiegender Sicherheitslücken wurde das BeA am 23. Dezember abgeschaltet.

Inhalt:
  1. BeA: Das Anwaltspostfach kommt mit Sicherheitslücken
  2. Veraltete Verschlüsselung in OSCI

Als Reaktion auf die zahlreichen Sicherheitslücken hat die Brak die Firma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Inzwischen wurde ein Gutachten als Ergebnis dieser Prüfung veröffentlicht, an vielen Stellen bleibt es jedoch vage. Sowohl Secunet als auch die Brak verweigern Auskünfte über die Details der Sicherheitslücken.

Im Gutachten von Secunet werden die gefundenen Schwachstellen in verschiedene Risikokategorien eingeteilt. Die schwersten Lücken wurden als Kategorie A oder als "betriebsverhindernde" Probleme bezeichnet. In einem zusammen mit dem Gutachten veröffentlichten Begleitschreiben kündigte die Brak an, das BeA werde nur wieder online gehen, wenn Secunet bestätige, dass alle Probleme der Kategorie A behoben seien.

Betriebsbehindernde Sicherheitslücke bleibt bestehen

Eine dieser Lücken - im Secunet-Gutachten unter Punkt 5.4.1 zu finden - ist jedoch nach wie vor nicht geschlossen, da dies ohne eine grundlegende Änderung der Softwarearchitektur des BeA nicht möglich ist. Das BeA ist als Javascript-basierte Webanwendung realisiert. Die Webanwendung wird von einem Server der Brak - erreichbar unter bea-brak.de - geladen und kommuniziert dann mit der sogenannten Client Security, einer Software auf dem lokalen PC.

Stellenmarkt
  1. Landkreis Märkisch-Oderland, Seelow
  2. mWGmy World Germany GmbH, Köln

Das Problem bei dieser Konstruktion: Ein Angreifer, der Zugriff auf den Server der Brak hat, könnte jederzeit eine andere Anwendung ausliefern und beispielsweise den Javascript-Code so ändern, dass er den entschlüsselten Inhalt der Nachrichten an Dritte weiterleitet.

Das bedeutet letztendlich, dass ein Innentäter jederzeit Zugriff auf verschlüsselte Nachrichten erlangen kann, wenn er gezielt einen BeA-Nutzer angreifen will. Damit erübrigen sich auch alle bisherigen Diskussionen über die Frage der Sicherheit des Hardware-Sicherheitsmoduls (HSM) und einer möglichen Ende-zu-Ende-Verschlüsselung, um die es viel Streit gab und zu der auch noch eine Klage läuft.

Verhindern ließe sich ein solcher Angriff nur, wenn die Anwendung komplett lokal laufen würde. Doch eine solche Änderung ist nicht vorgenommen worden und wäre in dem kurzen Zeitraum wohl auch nicht umsetzbar gewesen. Trotzdem hat laut Aussage der Brak Secunet dem BeA nun seinen Segen gegeben. Auf mehrfache Nachfragen von Golem.de konnte die Brak nicht erklären, wie sie dieses grundlegende Problem beheben will.

In einer Pressemitteilung dazu heißt es: "Hinsichtlich der Schwachstelle 5.4.1 erklärt Secunet, dass man sich durch ein zusätzliches Quelltext-Audit davon überzeugt habe, dass zu keiner Zeit Zugriff auf den Klartext der vertraulichen Nachrichtenanhänge bestand. Die Schwachstelle stellt nach Auffassung von Secunet in dieser Form kein Hindernis mehr für eine Wiederinbetriebnahme des BeA dar."

Brak sieht Lücke als behoben an, kann aber nicht erklären, warum

Was diese Erklärung aussagen soll, bleibt unklar. Ein Quelltext-Audit ist hier irrelevant, da das Angriffsszenario ja davon ausgeht, dass ein Angreifer den Code jederzeit verändern kann. Wir haben mehrfach vergeblich versucht, von der Brak eine Erklärung dafür zu erhalten, warum sie dort davon ausgeht, dass dieses Problem behoben ist.

Kurz vor Inbetriebnahme des BeA sah sich die Rechtsanwaltskammer jedoch nicht in der Lage, Fragen zur Technik des BeA zu beantworten. "Inhaltlich brauche ich für Ihre Antwort Input aus unserer Technik-Abteilung", schrieb uns die Pressesprecherin der Brak, Stephanie Beyrich, auf Anfrage. "Sie werden verstehen, dass derzeit alle dortigen Mitarbeiter mit den Vorbereitungen für die Wiederinbetriebnahme ausgelastet sind. Ich habe nochmals an Ihr Anliegen erinnert, rechne aber nicht damit, dass in dieser Woche eine Antwort möglich sein wird."

Veraltete Verschlüsselung in OSCI 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. mit Gutschein: NBBX570

grorg 06. Sep 2018

Bei nem Kollegen der Anwalt ist auf ein Bierchen der in seiner Kanzlei mit Mac OS...

RienSte 06. Sep 2018

Ich gehe davon aus, dass das keine direkte Antwort auf meinen Beitrag war, oder? (so wird...

Anonymer Nutzer 04. Sep 2018

Und welche Zaubertechnik soll das verhindern?

plutoniumsulfat 04. Sep 2018

Die Logik dahinter sollte verständlich sein.

My1 04. Sep 2018

naja der nutzungszwang soll halt den anwälten ausm neuland raushelfen aber dass es so...


Folgen Sie uns
       


Acer Predator Thronos ausprobiert (Ifa 2019)

Acer stellt auf der Ifa den doch auffälligen Gaming-Stuhl Predator Thronos aus. Golem.de setzt sich hinein - und möchte am liebsten nicht mehr aussteigen.

Acer Predator Thronos ausprobiert (Ifa 2019) Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /