Abo
  • Services:

Quellcode veröffentlichen? Vielleicht

Neben den Sicherheitsfragen stand auch die Frage einer Veröffentlichung des Quellcodes erneut im Raum. Zahlreiche Organisationen hatten die Freigabe des Quellcodes gefordert. Mitglieder der Rechtsanwaltskammer Berlin haben für deren nächste Versammlung im März einen Antrag gestellt, der diese Forderung unterstützt.

Stellenmarkt
  1. Deutsche Leasing AG, Bad Homburg vor der Höhe
  2. it.sec GmbH & Co. KG, Berlin, Ulm, deutschlandweit (Home-Office)

Da BeA selbst diverse Bibliotheken unter freien Softwarelizenzen nutzt, stellt sich die Frage, ob darunter solche sind, die sowieso eine Öffnung des Codes erfordern. Andere Organisationen prüfen demnach zurzeit, ob solche Lizenzverletzungen vorliegen, aber darauf gibt es wohl bislang keine eindeutige Antwort. Einer der anwesenden Anwälte merkte an, dass dieses Problem natürlich erledigt wäre, wenn der Code einfach veröffentlicht würde.

Ein Vorstandsmitglied der Brak erklärte, dass man bislang zu dem Schluss gekommen sei, dass die Freigabe des Codes aufgrund der Verwendung bestimmter Komponenten von Dritten nicht möglich sei. Es werde aber erneut geprüft, ob der Code freigegeben werden könne. Das wird aber vermutlich nicht vor einem Neustart des Systems passieren. Zumindest der Hersteller Atos hatte in seiner Pressemitteilung erklärt, dass die Rechte des Codes bei der Brak liegen.

SSL-Stripping - BeA-Infoseite weiterhin ohne HTTPS

Einige Probleme, die auf dem BeAthon nicht thematisiert wurden, sollten hier der Vollständigkeit halber noch erwähnt werden.

Golem.de hat bereits darauf hingewiesen, dass das BeA-System für SSL-Stripping-Angriffe verwundbar ist. Zwischenzeitlich wurde auf der BeA-Domain (bea-brak.de) Strict Transport Security aktiviert, damit ist das Problem zumindest nicht mehr ganz so einfach auszunutzen. In FAQ schreibt die Brak das inzwischen auch.

Doch weiterhin besteht das Problem, dass die zentrale Informationsseite zu BeA, die auf einer anderen Domain gehostet ist (bea.brak.de), kein HTTPS nutzt. Auf jeder Seite steht dort ein Button mit der Aufschrift "Hier geht's zum beA". Dieser Link könnte natürlich weiterhin mit einem Stripping-Angriff verändert werden. So könnten Angreifer eine Domain, die der BeA-Domain ähnlich ist, registrieren und den Link verändern.

Im Vorfeld hatte Golem.de beim Pressebüro der Brak nach Details zur verwendeten Verschlüsselung und insbesondere auch zur ROCA-Sicherheitslücke gefragt. Die Fragen zur Verschlüsselung wurden uns bislang nicht beantwortet.

Infineon-Chips, aber mit eigener Verschlüsselungsbibliothek

Die ROCA-Sicherheitslücke ist ein Problem im Zufallszahlengenerator von BSI-zertifizierten Infineon-Chips. Die Chipkarten, die für BeA zum Einsatz kommen, nutzen wohl ebenfalls Infineon-Chips. Die Chipkarten werden von der Bundesnotarkammer herausgegeben.

Der Hersteller der Chipkarten hat allerdings nach den Angaben, die uns das Pressebüro weitergeleitet hat, für die Schlüsselgenerierung die Kryptobibliothek von Infineon durch eine Eigenentwicklung ersetzt. Wer der Hersteller ist, wurde nicht mitgeteilt.

BeA Plus und wie weiter?

Zusammenfassend lässt sich festhalten, dass die Brak weiterhin vorhat, das bestehende BeA-System zeitnah wieder zu aktivieren. Viele Fragen in Sachen Sicherheit müssen noch geklärt werden.

Dem Hersteller Atos traut kaum noch jemand. Auch von Vertretern der Brak war deutliche Kritik zu hören. Doch offenbar ist die Rechtsanwaltskammer der Ansicht, dass sie trotzdem mit Atos alle Schwachstellen klären und beheben lassen kann.

Die Brak setzt dabei vor allem darauf, dass die Gutachten der Firma Secunet mögliche verbleibende Probleme identifizieren. Nicht beantworten wollte die Brak die Frage, ob die Gutachten von Secunet der Öffentlichkeit zugänglich gemacht werden.

Mittelfristig scheinen aber viele darauf zu setzen, dass BeA durch ein besseres Nachfolgesystem - oftmals als BeA Plus tituliert - ersetzt wird. Dabei geht es um Dinge wie eine Ende-zu-Ende-Verschlüsselung, aber auch um Wünsche aus der Anwaltschaft wie die nach einem Postfach für eine ganze Kanzlei. Das sehen aber zurzeit auch die Gesetze nicht vor. Die Diskussion über BeA Plus wird am 5. März 2018 auf dem Symposium des EDV-Gerichtstages weitergeführt.

Markus Drenger warf dabei eine weitere Frage auf: Neben Anwälten wollen natürlich auch Ärzte, Notare und viele andere Berufsgruppen sicher kommunizieren. Statt Insellösungen für jede Berufsgruppe könnte man auch darüber nachdenken, eine standardisierte Lösung zu schaffen, die von allen genutzt werden kann.

 Die Key Custodians können BeA-Nachrichten knacken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 59,79€ inkl. Rabatt
  3. (reduzierte Überstände, Restposten & Co.)
  4. ab 399€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

UHD-Blu-ray im Langzeit-Test: Die letzte Scheibe für Qualitäts-Junkies
UHD-Blu-ray im Langzeit-Test
Die letzte Scheibe für Qualitäts-Junkies

Die Menschen streamen Filme und Serien ... alle Menschen? Nein! Eine unbeugsame Redaktion hört nicht auf, auch Ultra-HD-Blu-rays zu kaufen und zu testen.
Ein Test von Michael Wieczorek

  1. Oppo Digital Ein Blu-ray-Player-Hersteller weniger
  2. Cars 3 und Coco in HDR Die ersten Pixar-Filme kommen als Ultra-HD-Blu-ray
  3. 4K-UHD-Blu-ray Panasonic zeigt Abspielgerät mit Dolby Vision und HDR10+

Virtuelle Realität: Skin-Handel auf Basis von Blockchain
Virtuelle Realität
Skin-Handel auf Basis von Blockchain

Vlad Panchenko hat als Gaming-Unternehmer Millionen gemacht. Jetzt entwickelt er ein neues Blockchain-Protokoll. Heute kann man darüber In-Game Items sicher handeln, in der anrückenden VR-Zukunft aber alles, wie er glaubt.
Ein Interview von Sebastian Gluschak

  1. Digital Asset Google und Startup bieten Blockchain-Programmiersprache an
  2. Illegale Inhalte Die Blockchain enthält Missbrauchsdarstellungen

    •  /