Abo
  • Services:

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden.
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden. (Bild: Mylius / Wikimedia Commons/GNU Free Documentation License)

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces - und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können.

BeA wurde abgeschaltet - das Rechtsanwaltsregister läuft jedoch wieder

Inhalt:
  1. BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
  2. Verschlüsselte Befehle lassen sich mit Padding Oracle generieren

Das Rechtsanwaltsregister läuft auf derselben Domain wie das besondere elektronische Anwaltspostfach - kurz BeA. Dieses wurde vor Weihnachten wegen einer Sicherheitslücke abgeschaltet. Doch während das BeA selbst nach wie vor offline ist, wurde das Rechtsanwaltsregister schon nach wenigen Tagen wieder aktiviert.

Zwischenzeitlich hat die Bundesrechtsanwaltskammer die IT-Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Der Anwaltskammer liegt seit kurzem ein erster Zwischenbericht vor. Wie Golem.de erfahren hat, hält die Rechtsanwaltskammer diesen Bericht zur Zeit zurück, da darin Informationen über Sicherheitslücken von noch in Betrieb befindlichen Systemen zu finden seien.

Da das Rechtsanwaltsregister der einzige Teil des BeA ist, der zur Zeit nicht offline ist, war es naheliegend zu vermuten, dass es darin eine weitere Sicherheitslücke geben musste. Golem.de gelang es daher nach kurzer Zeit, diese Lücke zu finden.

Sicherheitslücke in Java-Komponente Primefaces seit 2016 bekannt

Stellenmarkt
  1. fischerwerke GmbH & Co. KG, Tumlingen
  2. BWI GmbH, Bonn-Beuel

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt. In Primefaces wiederum wurde 2016 von der Firma Minded Security eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, auf dem Server Java-Code auszuführen.

Das Problem ist also eine veraltete Java-Komponente. Schon in der BeA-Software selbst war eines der Sicherheitsprobleme, dass zahlreiche veraltete Java-Bibliotheken verwendet wurden. Die Lücke wurde in der im Juni 2016 veröffentlichten Version 6.0 von Primefaces behoben

Zuletzt wurde diese Sicherheitslücke auch laut Berichten im Forum von Primefaces aktiv ausgenutzt und Webseiten damit gehackt. Angreifer hatten damit Cryptocurrency-Miner auf Webseiten installiert.

Rechtsanwaltsregister wurde kurzfristig abgeschaltet

Es gelang uns, diese Sicherheitslücke anhand der Beschreibung von Minded Security im Rechtsanwaltsregister nachzuvollziehen und einen harmlosen Testcode auszuführen. Ein bösartiger Angreifer könnte mit diesem Wissen leicht die Kontrolle über das Rechtsanwaltsregister übernehmen und dort beispielsweise Daten ändern oder auch Malware über die Webseite ausliefern.

Wir haben der Bundesrechtsanwaltskammer empfohlen, aufgrund der Schwere der Lücke das Rechtsanwaltsregister vorläufig abzuschalten. Die Seite ist seit circa 12:40 Uhr am Freitag, den 13. April offline.

Am Sonntag ist ein Treffen der Bundesrechtsanwaltskammer mit den Vorsitzenden der lokalen Rechtsanwaltskammern geplant, dort sollen diese über den Stand der Dinge beim BeA informiert werden.

Verschlüsselte Befehle lassen sich mit Padding Oracle generieren 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto
    Tesla-fahr'n auf der Autobahn
  2. EU-Urheberrechtsreform
    Das "absolute Unverständnis" des Axel Voss
  3. Geforce GTX 1660 Ti im Test
    Nvidia kann Turing auch günstig(er)
  4. Intel
    Apple soll ab 2020 auf ARM-Prozessoren umschwenken
  5. Ceramic Speed
    Hätte, hätte - Fahrrad ohne Kette
Anzeige
Top-Angebote
  1. (u. a. HP OMEN 27 27 Zoll QHD Gaming Monitor 439,00€)
  2. (u. a. Onrush Day One Edition PS4/Xbox 10,00€, PUBG PS4 25,00€)
  3. ab 294,00€ lieferbar
  4. ab 304,90€ lieferbar
Kommentarübersicht
Re: Bald haben wir es geschafft...
Proctrap 15. Apr 2018

nö, wird einfach für sicher erklärt durch senken des Standards

Re: Inkompetenz kennt keine Grenzen
IchBinFanboyVon... 15. Apr 2018

Schon mal mit nem Jurist über IT Sicherheit oder Datenschutz gesprochen? Mache ich...

War zu erwarten.
Anonymer Nutzer 14. Apr 2018

Die Schlüssel an alle Instanzen zu verteilen ist so ein grober und ganz enorm dümmer...

Investigativ
bastie 14. Apr 2018

Solche Meldungen und Recherchen müssen gelobt werden!

Genau die Java Lücken hab ich bei beA schon dem...
eddie8 13. Apr 2018

Antwort: "Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann...

Folgen Sie uns
       
Nike Adapt BB ausprobiert

Nikes neue Basketballschuhe Adapt BB schnüren sich automatisch zu, was in unserem Praxistest sehr gut funktioniert.

Nike Adapt BB ausprobiert Video aufrufen
Far Cry
Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort
Lebensmittel
Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf
Leistungsschutzrecht
EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /