BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden.
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden. (Bild: Mylius / Wikimedia Commons/GNU Free Documentation License)

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces - und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können.

BeA wurde abgeschaltet - das Rechtsanwaltsregister läuft jedoch wieder

Inhalt:
  1. BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
  2. Verschlüsselte Befehle lassen sich mit Padding Oracle generieren

Das Rechtsanwaltsregister läuft auf derselben Domain wie das besondere elektronische Anwaltspostfach - kurz BeA. Dieses wurde vor Weihnachten wegen einer Sicherheitslücke abgeschaltet. Doch während das BeA selbst nach wie vor offline ist, wurde das Rechtsanwaltsregister schon nach wenigen Tagen wieder aktiviert.

Zwischenzeitlich hat die Bundesrechtsanwaltskammer die IT-Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Der Anwaltskammer liegt seit kurzem ein erster Zwischenbericht vor. Wie Golem.de erfahren hat, hält die Rechtsanwaltskammer diesen Bericht zur Zeit zurück, da darin Informationen über Sicherheitslücken von noch in Betrieb befindlichen Systemen zu finden seien.

Da das Rechtsanwaltsregister der einzige Teil des BeA ist, der zur Zeit nicht offline ist, war es naheliegend zu vermuten, dass es darin eine weitere Sicherheitslücke geben musste. Golem.de gelang es daher nach kurzer Zeit, diese Lücke zu finden.

Sicherheitslücke in Java-Komponente Primefaces seit 2016 bekannt

Stellenmarkt
  1. Mitarbeiter*innen (m/w/d) im Prozessmanagement
    Landratsamt Reutlingen, Reutlingen
  2. Junior Softwareentwickler (m/w/d) Java / Webshop/E-Commerce
    ifm electronic GmbH, Essen
Detailsuche

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt. In Primefaces wiederum wurde 2016 von der Firma Minded Security eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, auf dem Server Java-Code auszuführen.

Das Problem ist also eine veraltete Java-Komponente. Schon in der BeA-Software selbst war eines der Sicherheitsprobleme, dass zahlreiche veraltete Java-Bibliotheken verwendet wurden. Die Lücke wurde in der im Juni 2016 veröffentlichten Version 6.0 von Primefaces behoben

Zuletzt wurde diese Sicherheitslücke auch laut Berichten im Forum von Primefaces aktiv ausgenutzt und Webseiten damit gehackt. Angreifer hatten damit Cryptocurrency-Miner auf Webseiten installiert.

Rechtsanwaltsregister wurde kurzfristig abgeschaltet

Es gelang uns, diese Sicherheitslücke anhand der Beschreibung von Minded Security im Rechtsanwaltsregister nachzuvollziehen und einen harmlosen Testcode auszuführen. Ein bösartiger Angreifer könnte mit diesem Wissen leicht die Kontrolle über das Rechtsanwaltsregister übernehmen und dort beispielsweise Daten ändern oder auch Malware über die Webseite ausliefern.

Wir haben der Bundesrechtsanwaltskammer empfohlen, aufgrund der Schwere der Lücke das Rechtsanwaltsregister vorläufig abzuschalten. Die Seite ist seit circa 12:40 Uhr am Freitag, den 13. April offline.

Am Sonntag ist ein Treffen der Bundesrechtsanwaltskammer mit den Vorsitzenden der lokalen Rechtsanwaltskammern geplant, dort sollen diese über den Stand der Dinge beim BeA informiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verschlüsselte Befehle lassen sich mit Padding Oracle generieren 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
BeA
Secunet findet noch mehr Lücken im Anwaltspostfach
artikel-bild
EGVP
Empfangsbestätigungen einer Klage sind verwertbar
artikel-bild
T-Mobile Österreich
Klartextpasswörter und "amazing Security" bei T-Mobile.at
artikel-bild
OpenSSL-Update
Die Rückkehr des Padding-Orakels
artikel-bild
GNU Patch
Holey Beep verrät Zeroday in Patch-Tool
Meistgelesen
artikel-bild
Rauchgranate
Tesla zeigt Versuch mit Biowaffen-Abwehrmodus des Model Y
artikel-bild
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
artikel-bild
Quartalsbericht
Apples Gewinn stellt alles in den Schatten
artikel-bild
Akamai
Steigende Nachfrage für illegale Kopien von Filmen
artikel-bild
Raspberry Pi
Mit einem DVB-T-Stick die Wetterstation retten
Kommentarübersicht
100%
127life 20. Sep 2021

tja, wer gibt schon freiwillig die totale Schlüsselgewalt an die plebs ab? Die BRAK? LOL...

Re: Investigativ
treba 28. Feb 2019

Volle Zustimmung, coole Aktion!

Re: Bald haben wir es geschafft...
Proctrap 15. Apr 2018

nö, wird einfach für sicher erklärt durch senken des Standards

Re: Inkompetenz kennt keine Grenzen
IchBinFanboyVon... 15. Apr 2018

Schon mal mit nem Jurist über IT Sicherheit oder Datenschutz gesprochen? Mache ich...

Genau die Java Lücken hab ich bei beA schon dem...
eddie8 13. Apr 2018

Antwort: "Bitte haben Sie Verständnis, dass der beA-Support nur dann tätig werden kann...

Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Giga Factory Berlin: Tesla kauft Bahngleis in Brandenburg
    Giga Factory Berlin
    Tesla kauft Bahngleis in Brandenburg

    Tesla will sein neues Werk in Grünheide besser an den öffentlichen Nahverkehr anbinden und kauft ein Schienenstück für einen eigenen Zug.

  2. Aus dem Verlag: Golem-PC mit Geforce RTX 3050 und 6C-Ryzen
    Aus dem Verlag
    Golem-PC mit Geforce RTX 3050 und 6C-Ryzen

    Sechs CPU-Kerne dank AMDs Ryzen und eine Raytracing-Grafikkarte für 1080p-Gaming: Der Golem Basic Plus ist dafür gerüstet.

  3. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar - trotz Chipkrise und weiteren Lieferengpässen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /