• IT-Karriere:
  • Services:

Hat SEC Consult all das übersehen?

Bei all den Problemen stellt sich die Frage, ob jemals jemand die BeA-Software auf Sicherheitslücken geprüft hat. Auf eine Anfrage nach dem Informationsfreiheitsgesetz hatte die Bundesrechtsanwaltskammer Markus Drenger vom CCC Darmstadt mitgeteilt, dass im Jahr 2015 ein Sicherheitsaudit von der Firma SEC Consult durchgeführt worden sei. Den Audit-Report könne man ihm aber nicht zur Verfügung stellen - dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos.

Stellenmarkt
  1. Paulmann Licht GmbH, Springe
  2. über duerenhoff GmbH, Raum Hamburg

SEC Consult hat uns das auch bestätigt - demnach wurde ein Blackbox-Test der BeA-Webanwendung durchgeführt. Doch zu Details des Tests darf SEC Consult nach eigenen Angaben nichts sagen.

Die Firma SEC Consult hat durchaus keinen schlechten Ruf in der IT-Sicherheitscommunity. Auch Golem hat schon mehrfach über die Arbeit der Firma berichtet. Interessanterweise hat SEC Consult im Jahr 2015 ausführlich über ein Problem mit privaten Schlüsseln in der Firmware von Embedded-Geräten berichtet - eine Lücke, die dem Zertifikatsproblem von BeA sehr ähnlich ist.

Im Juni 2017 hat SEC Consult Sicherheitslücken in der Software OSCI aufgedeckt. OCSI ist für den sicheren Datenaustausch zwischen Regierungsanwendungen entwickelt - und stammt von der Firma Governikus. Governikus wiederum ist auch an der Entwicklung von BeA beteiligt. BeA selbst kommuniziert ebenfalls nach dem OCSI-Standard, ob dabei allerdings dieselbe Softwareimplementierung zum Einsatz kommt konnten wir nicht herausfinden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Ein Vertreter des von der Bundesrechtsanwaltskammer inzwischen eingeschalteten Kommunikationsbüros Johanssen + Kretschmer teilte uns telefonisch mit, dass in der Anwendungsversion, die 2015 von SEC Consult untersucht wurde, das grundsätzliche Problem mit dem Zertifikat und dem privaten Schlüssel bereits bestand. SEC Consult habe demnach die Sicherheit dieser Anwendung bestätigt.

Welche Rolle die Firma Governikus spielt, hätten wir auch gerne herausgefunden. Doch das Kommunikationsbüro der Bundesrechtsanwaltskammer teilte uns dazu mit, dass Governikus von Atos beauftragt wurde und man nicht wisse, wie die genaue Aufgabenverteilung war. Governikus selbst wiederum verwies uns an das Kommunikationsbüro der Bundesrechtsanwaltskammer.

Wie geht es weiter?

Wie es mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. Eigentlich sind Rechtsanwälte seit dem 1. Januar verpflichtet, mittels BeA Nachrichten zu empfangen. Aber selbstverständlich ist dies momentan nicht möglich.

Laut dem Kommunikationsbüro der Rechtsanwaltskammer befindet man sich im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). An der Entwicklung der bisherigen BeA-Software war das BSI demnach nicht beteiligt.

Angesichts der Vielzahl von teils sehr grundlegenden Problemen scheint es fragwürdig, ob die BeA-Software überhaupt zu retten ist. Sie hat die Rechtsanwälte wohl bislang 38 Millionen Euro gekostet.

Der Präsident der Bundesrechtsanwaltskammer, Ekkehart Schäfer, wandte sich mit einem Brief an die betroffenen Anwaltskanzleien. Darin bedankt sich Schäfer bei Markus Drenger für das Aufdecken der Sicherheitslücken und geht davon aus, dass das BeA im Januar abgeschaltet bleiben wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verwundbar für simple Cross-Site-Scripting-Lücke
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. Gratis
  2. für PC, PS4/PS5, Xbox und Switch
  3. 14,99€
  4. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Returnal - Fazit

Im Video stellt Golem.de das Actionspiel Returnal vor.

Returnal - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /