Abo
  • Services:

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.

Artikel von Hanno Böck veröffentlicht am
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen.
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage))

Das besondere elektronische Anwaltspostfach (BeA) bleibt vorerst offline, und das wohl mindestens bis Ende Januar. Das hat die Bundesrechtsanwaltskammer ihren Mitgliedern in einem Schreiben mitgeteilt. Hintergrund ist, dass die Software aufgrund eines integrierten Zertifikats samt privatem Schlüssel eine gravierende Sicherheitslücke aufwies. Golem.de hatte vor Weihnachten darüber berichtet und war auch an der Aufdeckung der Details beteiligt.

Inhalt:
  1. BeA: Noch mehr Sicherheitslücken im Anwaltspostfach
  2. Verwundbar für simple Cross-Site-Scripting-Lücke
  3. Hat SEC Consult all das übersehen?

Doch die Probleme mit dem Zertifikat sind längst nicht die einzige Baustelle beim Anwaltspostfach. Einiges war schon vorher bekannt, anderes hatten Markus Drenger und Felix Rohrbach vom Chaos Computer Club Darmstadt auf dem 34C3 in einem Vortrag erläutert.

Eine Ende-zu-Ende-Verschlüsselung, die keine ist

"Die sichere Übermittlung der Nachrichten wird beim BeA durch eine sogenannte Ende-zu-Ende-Verschlüsselung gewährleistet", heißt es auf den Webseiten der Bundesrechtsanwaltskammer. Weiter wird behauptet, "auch die BRAK als Betreiber des BeA oder der Systemadministrator der Kanzlei können die Nachrichten nicht lesen." Doch das Anwaltspostfach hat eine Funktion, die die gesamte Sicherheit der Ende-zu-Ende-Verschlüsselung wieder aushebelt.

Das Anwaltspostfach sieht nämlich eine "Umschlüsselung" der Nachrichten auf dem Server vor. Die Idee dabei: Ein Nutzer des Postfachs kann definieren, dass Nachrichten an ihn auch von einer anderen berechtigten Person gelesen werden können.

Stellenmarkt
  1. Württembergische Versicherung AG, Stuttgart
  2. Governikus GmbH & Co. KG, Bremen

Damit das funktioniert, muss der Server natürlich Zugriff auf den privaten Schlüssel des Empfängers haben. Dieser befindet sich in einem sogenannten Hardware Security Module (HSM). Hier noch von einer Ende-zu-Ende-Verschlüsselung zu sprechen, ist eine sehr kreative Auslegung des Begriffs.

Diese Konstruktion war auch bisher kein Geheimnis. Auf der übrigens nur unverschlüsselt über HTTP erreichbaren Webseite der Rechtsanwaltskammer zum BeA wird mit einigen Klimmzügen versucht, zu begründen, warum das Ganze trotzdem sicher sein soll. Da ausschließlich das HSM Zugriff auf die Schlüssel hat und die Nachricht auch niemals vollständig entschlüsselt wird - zur Umschlüsselung muss nur der asymmetrische Teil einer Hybridverschlüsselung durchgeführt werden -, sah man in dieser Konstruktion offenbar kein Problem.

Webinterfaces vertragen sich nicht mit einer sicheren Ende-zu-Ende-Verschlüsselung

Doch die Ende-zu-Ende-Verschlüsselung hat ein noch viel fundamentaleres Problem: Die Nutzer der BeA-Anwendung kommunizieren mit dieser generell über ein Webinterface. Die lokale Software ist nur dazu da, die Kommunikation mit der Chipkarte durchzuführen.

Ein Webinterface verträgt sich aber überhaupt nicht mit einer Ende-zu-Ende-Verschlüsselung, da der Server jederzeit anderen Javascript-Code schicken kann, der die Verschlüsselung aushebelt oder Nachrichten unverschlüsselt an Dritte weiterleitet.

Es ist offensichtlich, dass bei der Konstruktion von BeA grundlegende Missverständnisse über den Sinn und Zweck einer Ende-zu-Ende-Verschlüsselung vorlagen. Die Idee einer Ende-zu-Ende-Verschlüsselung ist, dass man dem Betreiber der Serverinfrastruktur nicht vertrauen muss. Beim BeA hat dieser aber gleich mehrere Möglichkeiten, die Sicherheit des Systems zu kompromittieren und Nachrichten mitzulesen.

Verwundbar für simple Cross-Site-Scripting-Lücke 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 158,80€
  2. 184,99€
  3. 69,99€ statt 119,99€
  4. 179,99€ statt 229,99€

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Lenovo Moto G6 - Test

Bei einem Smartphone für 250 Euro müssen sich Käufer oft auf Kompromisse einstellen. Beim Moto G6 halten sie sich aber in Grenzen.

Lenovo Moto G6 - Test Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

    •  /