Abo
  • Services:

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.

Artikel von Hanno Böck veröffentlicht am
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen.
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage))

Das besondere elektronische Anwaltspostfach (BeA) bleibt vorerst offline, und das wohl mindestens bis Ende Januar. Das hat die Bundesrechtsanwaltskammer ihren Mitgliedern in einem Schreiben mitgeteilt. Hintergrund ist, dass die Software aufgrund eines integrierten Zertifikats samt privatem Schlüssel eine gravierende Sicherheitslücke aufwies. Golem.de hatte vor Weihnachten darüber berichtet und war auch an der Aufdeckung der Details beteiligt.

Inhalt:
  1. BeA: Noch mehr Sicherheitslücken im Anwaltspostfach
  2. Verwundbar für simple Cross-Site-Scripting-Lücke
  3. Hat SEC Consult all das übersehen?

Doch die Probleme mit dem Zertifikat sind längst nicht die einzige Baustelle beim Anwaltspostfach. Einiges war schon vorher bekannt, anderes hatten Markus Drenger und Felix Rohrbach vom Chaos Computer Club Darmstadt auf dem 34C3 in einem Vortrag erläutert.

Eine Ende-zu-Ende-Verschlüsselung, die keine ist

"Die sichere Übermittlung der Nachrichten wird beim BeA durch eine sogenannte Ende-zu-Ende-Verschlüsselung gewährleistet", heißt es auf den Webseiten der Bundesrechtsanwaltskammer. Weiter wird behauptet, "auch die BRAK als Betreiber des BeA oder der Systemadministrator der Kanzlei können die Nachrichten nicht lesen." Doch das Anwaltspostfach hat eine Funktion, die die gesamte Sicherheit der Ende-zu-Ende-Verschlüsselung wieder aushebelt.

Das Anwaltspostfach sieht nämlich eine "Umschlüsselung" der Nachrichten auf dem Server vor. Die Idee dabei: Ein Nutzer des Postfachs kann definieren, dass Nachrichten an ihn auch von einer anderen berechtigten Person gelesen werden können.

Stellenmarkt
  1. EUROIMMUN AG, Dassow
  2. Kulturveranstaltungen des Bundes in Berlin GmbH (KBB), Berlin

Damit das funktioniert, muss der Server natürlich Zugriff auf den privaten Schlüssel des Empfängers haben. Dieser befindet sich in einem sogenannten Hardware Security Module (HSM). Hier noch von einer Ende-zu-Ende-Verschlüsselung zu sprechen, ist eine sehr kreative Auslegung des Begriffs.

Diese Konstruktion war auch bisher kein Geheimnis. Auf der übrigens nur unverschlüsselt über HTTP erreichbaren Webseite der Rechtsanwaltskammer zum BeA wird mit einigen Klimmzügen versucht, zu begründen, warum das Ganze trotzdem sicher sein soll. Da ausschließlich das HSM Zugriff auf die Schlüssel hat und die Nachricht auch niemals vollständig entschlüsselt wird - zur Umschlüsselung muss nur der asymmetrische Teil einer Hybridverschlüsselung durchgeführt werden -, sah man in dieser Konstruktion offenbar kein Problem.

Webinterfaces vertragen sich nicht mit einer sicheren Ende-zu-Ende-Verschlüsselung

Doch die Ende-zu-Ende-Verschlüsselung hat ein noch viel fundamentaleres Problem: Die Nutzer der BeA-Anwendung kommunizieren mit dieser generell über ein Webinterface. Die lokale Software ist nur dazu da, die Kommunikation mit der Chipkarte durchzuführen.

Ein Webinterface verträgt sich aber überhaupt nicht mit einer Ende-zu-Ende-Verschlüsselung, da der Server jederzeit anderen Javascript-Code schicken kann, der die Verschlüsselung aushebelt oder Nachrichten unverschlüsselt an Dritte weiterleitet.

Es ist offensichtlich, dass bei der Konstruktion von BeA grundlegende Missverständnisse über den Sinn und Zweck einer Ende-zu-Ende-Verschlüsselung vorlagen. Die Idee einer Ende-zu-Ende-Verschlüsselung ist, dass man dem Betreiber der Serverinfrastruktur nicht vertrauen muss. Beim BeA hat dieser aber gleich mehrere Möglichkeiten, die Sicherheit des Systems zu kompromittieren und Nachrichten mitzulesen.

Verwundbar für simple Cross-Site-Scripting-Lücke 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 8 für 379€ statt 403,95€ im Vergleich)
  2. 549,99€ (Bestpreis!)
  3. 54€

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


LG G8 Thinq - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das G8 Thinq vorgestellt. Das Smartphone kann mit Luftgesten gesteuert werden. Wir haben viele Muster in die Luft gemalt, aber nicht immer werden die Gesten korrekt erkannt.

LG G8 Thinq - Hands on (MWC 2019) Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


      •  /