Abo
  • Services:
Anzeige
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen.
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage))

Hat SEC Consult all das übersehen?

Bei all den Problemen stellt sich die Frage, ob jemals jemand die BeA-Software auf Sicherheitslücken geprüft hat. Auf eine Anfrage nach dem Informationsfreiheitsgesetz hatte die Bundesrechtsanwaltskammer Markus Drenger vom CCC Darmstadt mitgeteilt, dass im Jahr 2015 ein Sicherheitsaudit von der Firma SEC Consult durchgeführt worden sei. Den Audit-Report könne man ihm aber nicht zur Verfügung stellen - dieser sei ein Geschäftsgeheimnis der Herstellerfirma Atos.

Anzeige

SEC Consult hat uns das auch bestätigt - demnach wurde ein Blackbox-Test der BeA-Webanwendung durchgeführt. Doch zu Details des Tests darf SEC Consult nach eigenen Angaben nichts sagen.

Die Firma SEC Consult hat durchaus keinen schlechten Ruf in der IT-Sicherheitscommunity. Auch Golem hat schon mehrfach über die Arbeit der Firma berichtet. Interessanterweise hat SEC Consult im Jahr 2015 ausführlich über ein Problem mit privaten Schlüsseln in der Firmware von Embedded-Geräten berichtet - eine Lücke, die dem Zertifikatsproblem von BeA sehr ähnlich ist.

Im Juni 2017 hat SEC Consult Sicherheitslücken in der Software OSCI aufgedeckt. OCSI ist für den sicheren Datenaustausch zwischen Regierungsanwendungen entwickelt - und stammt von der Firma Governikus. Governikus wiederum ist auch an der Entwicklung von BeA beteiligt. BeA selbst kommuniziert ebenfalls nach dem OCSI-Standard, ob dabei allerdings dieselbe Softwareimplementierung zum Einsatz kommt konnten wir nicht herausfinden.

Ein Vertreter des von der Bundesrechtsanwaltskammer inzwischen eingeschalteten Kommunikationsbüros Johanssen + Kretschmer teilte uns telefonisch mit, dass in der Anwendungsversion, die 2015 von SEC Consult untersucht wurde, das grundsätzliche Problem mit dem Zertifikat und dem privaten Schlüssel bereits bestand. SEC Consult habe demnach die Sicherheit dieser Anwendung bestätigt.

Welche Rolle die Firma Governikus spielt, hätten wir auch gerne herausgefunden. Doch das Kommunikationsbüro der Bundesrechtsanwaltskammer teilte uns dazu mit, dass Governikus von Atos beauftragt wurde und man nicht wisse, wie die genaue Aufgabenverteilung war. Governikus selbst wiederum verwies uns an das Kommunikationsbüro der Bundesrechtsanwaltskammer.

Wie geht es weiter?

Wie es mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. Eigentlich sind Rechtsanwälte seit dem 1. Januar verpflichtet, mittels BeA Nachrichten zu empfangen. Aber selbstverständlich ist dies momentan nicht möglich.

Laut dem Kommunikationsbüro der Rechtsanwaltskammer befindet man sich im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). An der Entwicklung der bisherigen BeA-Software war das BSI demnach nicht beteiligt.

Angesichts der Vielzahl von teils sehr grundlegenden Problemen scheint es fragwürdig, ob die BeA-Software überhaupt zu retten ist. Sie hat die Rechtsanwälte wohl bislang 38 Millionen Euro gekostet.

Der Präsident der Bundesrechtsanwaltskammer, Ekkehart Schäfer, wandte sich mit einem Brief an die betroffenen Anwaltskanzleien. Darin bedankt sich Schäfer bei Markus Drenger für das Aufdecken der Sicherheitslücken und geht davon aus, dass das BeA im Januar abgeschaltet bleiben wird.

 Verwundbar für simple Cross-Site-Scripting-Lücke

eye home zur Startseite
intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Themenstart

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

Themenstart

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

Themenstart

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Themenstart

Hackfleisch 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Lernstudio Barbarossa GmbH, Kaiserslautern
  2. BG-Phoenics GmbH, München
  3. Landeshauptstadt München, München
  4. BSH Hausgeräte GmbH, Traunreut


Anzeige
Top-Angebote
  1. 69€
  2. 199€ (Bestpreis!)
  3. 289€ (Bestpreis!)

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Evolution <> Sozialismus?

    SelfEsteem | 21:31

  2. von wegen 100% Löschquote :-( - Google weigert...

    jmayer | 21:27

  3. Re: You are not prepared!

    Mingfu | 21:23

  4. Re: Ich verstehe die irischen Praktikanten

    mnementh | 21:09

  5. Re: SPD müsse sich erneuern?

    pre3 | 21:06


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel