• IT-Karriere:
  • Services:

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden.
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden. (Bild: Mylius / Wikimedia Commons/GNU Free Documentation License)

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces - und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können.

BeA wurde abgeschaltet - das Rechtsanwaltsregister läuft jedoch wieder

Inhalt:
  1. BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
  2. Verschlüsselte Befehle lassen sich mit Padding Oracle generieren

Das Rechtsanwaltsregister läuft auf derselben Domain wie das besondere elektronische Anwaltspostfach - kurz BeA. Dieses wurde vor Weihnachten wegen einer Sicherheitslücke abgeschaltet. Doch während das BeA selbst nach wie vor offline ist, wurde das Rechtsanwaltsregister schon nach wenigen Tagen wieder aktiviert.

Zwischenzeitlich hat die Bundesrechtsanwaltskammer die IT-Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Der Anwaltskammer liegt seit kurzem ein erster Zwischenbericht vor. Wie Golem.de erfahren hat, hält die Rechtsanwaltskammer diesen Bericht zur Zeit zurück, da darin Informationen über Sicherheitslücken von noch in Betrieb befindlichen Systemen zu finden seien.

Da das Rechtsanwaltsregister der einzige Teil des BeA ist, der zur Zeit nicht offline ist, war es naheliegend zu vermuten, dass es darin eine weitere Sicherheitslücke geben musste. Golem.de gelang es daher nach kurzer Zeit, diese Lücke zu finden.

Sicherheitslücke in Java-Komponente Primefaces seit 2016 bekannt

Stellenmarkt
  1. Universität Bielefeld, Bielefeld
  2. Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt. In Primefaces wiederum wurde 2016 von der Firma Minded Security eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, auf dem Server Java-Code auszuführen.

Das Problem ist also eine veraltete Java-Komponente. Schon in der BeA-Software selbst war eines der Sicherheitsprobleme, dass zahlreiche veraltete Java-Bibliotheken verwendet wurden. Die Lücke wurde in der im Juni 2016 veröffentlichten Version 6.0 von Primefaces behoben

Zuletzt wurde diese Sicherheitslücke auch laut Berichten im Forum von Primefaces aktiv ausgenutzt und Webseiten damit gehackt. Angreifer hatten damit Cryptocurrency-Miner auf Webseiten installiert.

Rechtsanwaltsregister wurde kurzfristig abgeschaltet

Es gelang uns, diese Sicherheitslücke anhand der Beschreibung von Minded Security im Rechtsanwaltsregister nachzuvollziehen und einen harmlosen Testcode auszuführen. Ein bösartiger Angreifer könnte mit diesem Wissen leicht die Kontrolle über das Rechtsanwaltsregister übernehmen und dort beispielsweise Daten ändern oder auch Malware über die Webseite ausliefern.

Wir haben der Bundesrechtsanwaltskammer empfohlen, aufgrund der Schwere der Lücke das Rechtsanwaltsregister vorläufig abzuschalten. Die Seite ist seit circa 12:40 Uhr am Freitag, den 13. April offline.

Am Sonntag ist ein Treffen der Bundesrechtsanwaltskammer mit den Vorsitzenden der lokalen Rechtsanwaltskammern geplant, dort sollen diese über den Stand der Dinge beim BeA informiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verschlüsselte Befehle lassen sich mit Padding Oracle generieren 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. 5 Euro am Tag
    Homeoffice-Steuerpauschale geplant
  2. Gigafabrik Berlin
    Tesla darf weitere Waldflächen roden
  3. Medion Erazer Hunter X10
    Aldi Nord bringt Desktop-PC mit Geforce RTX 3080
  4. CoD, Crysis, Dirt 5, Watch Dogs, WoW
    Radeon-Raytracing kann auch schnell sein
  5. Privater Hotspot
    Telekom schafft WLAN To Go im Heimrouter ab
Anzeige
Spiele-Angebote
  1. 38,77€
  3. (u. a. Metrox: Exodus für 15,99€, Ancestors Legacy für 7,99€, Code Vein für 17,99€, Fade...
  4. 14,49€
Kommentarübersicht
Re: Investigativ
treba 28. Feb 2019

Volle Zustimmung, coole Aktion!

Re: Bald haben wir es geschafft...
Proctrap 15. Apr 2018

nö, wird einfach für sicher erklärt durch senken des Standards

Re: Inkompetenz kennt keine Grenzen
IchBinFanboyVon... 15. Apr 2018

Schon mal mit nem Jurist über IT Sicherheit oder Datenschutz gesprochen? Mache ich...

War zu erwarten.
Anonymer Nutzer 14. Apr 2018

Die Schlüssel an alle Instanzen zu verteilen ist so ein grober und ganz enorm dümmer...

Genau die Java Lücken hab ich bei beA schon dem...
eddie8 13. Apr 2018

Antwort: "Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann...

Folgen Sie uns
       
Microsoft Flight Simulator - Test

Hardwarehungriger Höhenflug: Der neue FluSi sieht fantastisch aus und spielt sich auch so.

Microsoft Flight Simulator - Test Video aufrufen
iPhone 12
iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe
Demon's Souls
Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner

    Purism
    Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
    Librem Mini v2 im Test
    Der kleine Graue mit dem freien Bios

    Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
    Ein Test von Moritz Tremmel

    1. Purism Neuer Librem Mini mit Comet Lake
    2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
    3. Librem Mini Purism bringt NUC-artigen Mini-PC
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /