Abo
  • Services:

Hat SEC Consult all das übersehen?

Bei all den Problemen stellt sich die Frage, ob jemals jemand die BeA-Software auf Sicherheitslücken geprüft hat. Auf eine Anfrage nach dem Informationsfreiheitsgesetz hatte die Bundesrechtsanwaltskammer Markus Drenger vom CCC Darmstadt mitgeteilt, dass im Jahr 2015 ein Sicherheitsaudit von der Firma SEC Consult durchgeführt worden sei. Den Audit-Report könne man ihm aber nicht zur Verfügung stellen - dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos.

Stellenmarkt
  1. Ruhrverband, Essen
  2. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)

SEC Consult hat uns das auch bestätigt - demnach wurde ein Blackbox-Test der BeA-Webanwendung durchgeführt. Doch zu Details des Tests darf SEC Consult nach eigenen Angaben nichts sagen.

Die Firma SEC Consult hat durchaus keinen schlechten Ruf in der IT-Sicherheitscommunity. Auch Golem hat schon mehrfach über die Arbeit der Firma berichtet. Interessanterweise hat SEC Consult im Jahr 2015 ausführlich über ein Problem mit privaten Schlüsseln in der Firmware von Embedded-Geräten berichtet - eine Lücke, die dem Zertifikatsproblem von BeA sehr ähnlich ist.

Im Juni 2017 hat SEC Consult Sicherheitslücken in der Software OSCI aufgedeckt. OCSI ist für den sicheren Datenaustausch zwischen Regierungsanwendungen entwickelt - und stammt von der Firma Governikus. Governikus wiederum ist auch an der Entwicklung von BeA beteiligt. BeA selbst kommuniziert ebenfalls nach dem OCSI-Standard, ob dabei allerdings dieselbe Softwareimplementierung zum Einsatz kommt konnten wir nicht herausfinden.

Ein Vertreter des von der Bundesrechtsanwaltskammer inzwischen eingeschalteten Kommunikationsbüros Johanssen + Kretschmer teilte uns telefonisch mit, dass in der Anwendungsversion, die 2015 von SEC Consult untersucht wurde, das grundsätzliche Problem mit dem Zertifikat und dem privaten Schlüssel bereits bestand. SEC Consult habe demnach die Sicherheit dieser Anwendung bestätigt.

Welche Rolle die Firma Governikus spielt, hätten wir auch gerne herausgefunden. Doch das Kommunikationsbüro der Bundesrechtsanwaltskammer teilte uns dazu mit, dass Governikus von Atos beauftragt wurde und man nicht wisse, wie die genaue Aufgabenverteilung war. Governikus selbst wiederum verwies uns an das Kommunikationsbüro der Bundesrechtsanwaltskammer.

Wie geht es weiter?

Wie es mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. Eigentlich sind Rechtsanwälte seit dem 1. Januar verpflichtet, mittels BeA Nachrichten zu empfangen. Aber selbstverständlich ist dies momentan nicht möglich.

Laut dem Kommunikationsbüro der Rechtsanwaltskammer befindet man sich im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). An der Entwicklung der bisherigen BeA-Software war das BSI demnach nicht beteiligt.

Angesichts der Vielzahl von teils sehr grundlegenden Problemen scheint es fragwürdig, ob die BeA-Software überhaupt zu retten ist. Sie hat die Rechtsanwälte wohl bislang 38 Millionen Euro gekostet.

Der Präsident der Bundesrechtsanwaltskammer, Ekkehart Schäfer, wandte sich mit einem Brief an die betroffenen Anwaltskanzleien. Darin bedankt sich Schäfer bei Markus Drenger für das Aufdecken der Sicherheitslücken und geht davon aus, dass das BeA im Januar abgeschaltet bleiben wird.

 Verwundbar für simple Cross-Site-Scripting-Lücke
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. ab 225€
  2. 94,90€ + Versand mit Gutschein QVO20
  3. täglich neue Deals bei Alternate.de
  4. 169,90€ + Versand

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

    •  /