Abo
  • Services:

Hat SEC Consult all das übersehen?

Bei all den Problemen stellt sich die Frage, ob jemals jemand die BeA-Software auf Sicherheitslücken geprüft hat. Auf eine Anfrage nach dem Informationsfreiheitsgesetz hatte die Bundesrechtsanwaltskammer Markus Drenger vom CCC Darmstadt mitgeteilt, dass im Jahr 2015 ein Sicherheitsaudit von der Firma SEC Consult durchgeführt worden sei. Den Audit-Report könne man ihm aber nicht zur Verfügung stellen - dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos.

Stellenmarkt
  1. über duerenhoff GmbH, Würzburg
  2. über experteer GmbH, Hamburg (Home-Office)

SEC Consult hat uns das auch bestätigt - demnach wurde ein Blackbox-Test der BeA-Webanwendung durchgeführt. Doch zu Details des Tests darf SEC Consult nach eigenen Angaben nichts sagen.

Die Firma SEC Consult hat durchaus keinen schlechten Ruf in der IT-Sicherheitscommunity. Auch Golem hat schon mehrfach über die Arbeit der Firma berichtet. Interessanterweise hat SEC Consult im Jahr 2015 ausführlich über ein Problem mit privaten Schlüsseln in der Firmware von Embedded-Geräten berichtet - eine Lücke, die dem Zertifikatsproblem von BeA sehr ähnlich ist.

Im Juni 2017 hat SEC Consult Sicherheitslücken in der Software OSCI aufgedeckt. OCSI ist für den sicheren Datenaustausch zwischen Regierungsanwendungen entwickelt - und stammt von der Firma Governikus. Governikus wiederum ist auch an der Entwicklung von BeA beteiligt. BeA selbst kommuniziert ebenfalls nach dem OCSI-Standard, ob dabei allerdings dieselbe Softwareimplementierung zum Einsatz kommt konnten wir nicht herausfinden.

Ein Vertreter des von der Bundesrechtsanwaltskammer inzwischen eingeschalteten Kommunikationsbüros Johanssen + Kretschmer teilte uns telefonisch mit, dass in der Anwendungsversion, die 2015 von SEC Consult untersucht wurde, das grundsätzliche Problem mit dem Zertifikat und dem privaten Schlüssel bereits bestand. SEC Consult habe demnach die Sicherheit dieser Anwendung bestätigt.

Welche Rolle die Firma Governikus spielt, hätten wir auch gerne herausgefunden. Doch das Kommunikationsbüro der Bundesrechtsanwaltskammer teilte uns dazu mit, dass Governikus von Atos beauftragt wurde und man nicht wisse, wie die genaue Aufgabenverteilung war. Governikus selbst wiederum verwies uns an das Kommunikationsbüro der Bundesrechtsanwaltskammer.

Wie geht es weiter?

Wie es mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. Eigentlich sind Rechtsanwälte seit dem 1. Januar verpflichtet, mittels BeA Nachrichten zu empfangen. Aber selbstverständlich ist dies momentan nicht möglich.

Laut dem Kommunikationsbüro der Rechtsanwaltskammer befindet man sich im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). An der Entwicklung der bisherigen BeA-Software war das BSI demnach nicht beteiligt.

Angesichts der Vielzahl von teils sehr grundlegenden Problemen scheint es fragwürdig, ob die BeA-Software überhaupt zu retten ist. Sie hat die Rechtsanwälte wohl bislang 38 Millionen Euro gekostet.

Der Präsident der Bundesrechtsanwaltskammer, Ekkehart Schäfer, wandte sich mit einem Brief an die betroffenen Anwaltskanzleien. Darin bedankt sich Schäfer bei Markus Drenger für das Aufdecken der Sicherheitslücken und geht davon aus, dass das BeA im Januar abgeschaltet bleiben wird.

 Verwundbar für simple Cross-Site-Scripting-Lücke
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 33,99€
  2. 14,02€
  3. 12,99€
  4. 45,99€ (Release 12.10.)

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Segelflug: Die Höhenflieger
    Segelflug
    Die Höhenflieger

    In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
    Ein Bericht von Daniel Hautmann

    1. Luftfahrt Nasa testet leise Überschallflüge
    2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
    3. Elektroflieger Norwegen will elektrisch fliegen

      •  /