Abo
  • Services:

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden.
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden. (Bild: Mylius / Wikimedia Commons/GNU Free Documentation License)

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces - und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können.

BeA wurde abgeschaltet - das Rechtsanwaltsregister läuft jedoch wieder

Inhalt:
  1. BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
  2. Verschlüsselte Befehle lassen sich mit Padding Oracle generieren

Das Rechtsanwaltsregister läuft auf derselben Domain wie das besondere elektronische Anwaltspostfach - kurz BeA. Dieses wurde vor Weihnachten wegen einer Sicherheitslücke abgeschaltet. Doch während das BeA selbst nach wie vor offline ist, wurde das Rechtsanwaltsregister schon nach wenigen Tagen wieder aktiviert.

Zwischenzeitlich hat die Bundesrechtsanwaltskammer die IT-Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Der Anwaltskammer liegt seit kurzem ein erster Zwischenbericht vor. Wie Golem.de erfahren hat, hält die Rechtsanwaltskammer diesen Bericht zur Zeit zurück, da darin Informationen über Sicherheitslücken von noch in Betrieb befindlichen Systemen zu finden seien.

Da das Rechtsanwaltsregister der einzige Teil des BeA ist, der zur Zeit nicht offline ist, war es naheliegend zu vermuten, dass es darin eine weitere Sicherheitslücke geben musste. Golem.de gelang es daher nach kurzer Zeit, diese Lücke zu finden.

Sicherheitslücke in Java-Komponente Primefaces seit 2016 bekannt

Stellenmarkt
  1. Bremer Rechenzentrum GmbH, Bremen
  2. Drachen-Propangas GmbH, Frankfurt am Main

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt. In Primefaces wiederum wurde 2016 von der Firma Minded Security eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, auf dem Server Java-Code auszuführen.

Das Problem ist also eine veraltete Java-Komponente. Schon in der BeA-Software selbst war eines der Sicherheitsprobleme, dass zahlreiche veraltete Java-Bibliotheken verwendet wurden. Die Lücke wurde in der im Juni 2016 veröffentlichten Version 6.0 von Primefaces behoben

Zuletzt wurde diese Sicherheitslücke auch laut Berichten im Forum von Primefaces aktiv ausgenutzt und Webseiten damit gehackt. Angreifer hatten damit Cryptocurrency-Miner auf Webseiten installiert.

Rechtsanwaltsregister wurde kurzfristig abgeschaltet

Es gelang uns, diese Sicherheitslücke anhand der Beschreibung von Minded Security im Rechtsanwaltsregister nachzuvollziehen und einen harmlosen Testcode auszuführen. Ein bösartiger Angreifer könnte mit diesem Wissen leicht die Kontrolle über das Rechtsanwaltsregister übernehmen und dort beispielsweise Daten ändern oder auch Malware über die Webseite ausliefern.

Wir haben der Bundesrechtsanwaltskammer empfohlen, aufgrund der Schwere der Lücke das Rechtsanwaltsregister vorläufig abzuschalten. Die Seite ist seit circa 12:40 Uhr am Freitag, den 13. April offline.

Am Sonntag ist ein Treffen der Bundesrechtsanwaltskammer mit den Vorsitzenden der lokalen Rechtsanwaltskammern geplant, dort sollen diese über den Stand der Dinge beim BeA informiert werden.

Verschlüsselte Befehle lassen sich mit Padding Oracle generieren 
  1. 1
  2. 2
  3.  

Themenseiten:

Zu den Kommentaren springen
Meistgelesen
  1. Audi E-Tron
    Ein Akku-Doppelbett für die Jagd auf Tesla
  2. Coradia iLint
    Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"
  3. Ryzen 7 2700X im Test
    AMDs Zen+ zieht gleich mit Intel
  4. Nordrhein-Westfalen
    Gelder für Breitbandausbau werden kaum abgerufen
  5. Grafikkarten
    AMD geht gegen Nvidias Exklusivprogramm in die Offensive
Anzeige
Spiele-Angebote
  2. 19,99€
  3. 16,49€
  4. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
Kommentarübersicht
Re: Bald haben wir es geschafft...
Proctrap 15. Apr 2018 / Themenstart

nö, wird einfach für sicher erklärt durch senken des Standards

Re: Inkompetenz kennt keine Grenzen
IchBinFanboyVon... 15. Apr 2018 / Themenstart

Schon mal mit nem Jurist über IT Sicherheit oder Datenschutz gesprochen? Mache ich...

War zu erwarten.
attitudinized 14. Apr 2018 / Themenstart

Die Schlüssel an alle Instanzen zu verteilen ist so ein grober und ganz enorm dümmer...

Investigativ
bastie 14. Apr 2018 / Themenstart

Solche Meldungen und Recherchen müssen gelobt werden!

Genau die Java Lücken hab ich bei beA schon dem...
eddie8 13. Apr 2018 / Themenstart

Antwort: "Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann...

Kommentieren

Folgen Sie uns
       
Intel NUC8 - Test

Winzig und kraftvoll: der NUC8 alias Hades Canyon.

Intel NUC8 - Test Video aufrufen
Dell XPS 13
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip
Open Data
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data
Sony
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /