• IT-Karriere:
  • Services:

Quellcode veröffentlichen? Vielleicht

Neben den Sicherheitsfragen stand auch die Frage einer Veröffentlichung des Quellcodes erneut im Raum. Zahlreiche Organisationen hatten die Freigabe des Quellcodes gefordert. Mitglieder der Rechtsanwaltskammer Berlin haben für deren nächste Versammlung im März einen Antrag gestellt, der diese Forderung unterstützt.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Hays AG, München

Da BeA selbst diverse Bibliotheken unter freien Softwarelizenzen nutzt, stellt sich die Frage, ob darunter solche sind, die sowieso eine Öffnung des Codes erfordern. Andere Organisationen prüfen demnach zurzeit, ob solche Lizenzverletzungen vorliegen, aber darauf gibt es wohl bislang keine eindeutige Antwort. Einer der anwesenden Anwälte merkte an, dass dieses Problem natürlich erledigt wäre, wenn der Code einfach veröffentlicht würde.

Ein Vorstandsmitglied der Brak erklärte, dass man bislang zu dem Schluss gekommen sei, dass die Freigabe des Codes aufgrund der Verwendung bestimmter Komponenten von Dritten nicht möglich sei. Es werde aber erneut geprüft, ob der Code freigegeben werden könne. Das wird aber vermutlich nicht vor einem Neustart des Systems passieren. Zumindest der Hersteller Atos hatte in seiner Pressemitteilung erklärt, dass die Rechte des Codes bei der Brak liegen.

SSL-Stripping - BeA-Infoseite weiterhin ohne HTTPS

Einige Probleme, die auf dem BeAthon nicht thematisiert wurden, sollten hier der Vollständigkeit halber noch erwähnt werden.

Golem.de hat bereits darauf hingewiesen, dass das BeA-System für SSL-Stripping-Angriffe verwundbar ist. Zwischenzeitlich wurde auf der BeA-Domain (bea-brak.de) Strict Transport Security aktiviert, damit ist das Problem zumindest nicht mehr ganz so einfach auszunutzen. In FAQ schreibt die Brak das inzwischen auch.

Doch weiterhin besteht das Problem, dass die zentrale Informationsseite zu BeA, die auf einer anderen Domain gehostet ist (bea.brak.de), kein HTTPS nutzt. Auf jeder Seite steht dort ein Button mit der Aufschrift "Hier geht's zum beA". Dieser Link könnte natürlich weiterhin mit einem Stripping-Angriff verändert werden. So könnten Angreifer eine Domain, die der BeA-Domain ähnlich ist, registrieren und den Link verändern.

Im Vorfeld hatte Golem.de beim Pressebüro der Brak nach Details zur verwendeten Verschlüsselung und insbesondere auch zur ROCA-Sicherheitslücke gefragt. Die Fragen zur Verschlüsselung wurden uns bislang nicht beantwortet.

Infineon-Chips, aber mit eigener Verschlüsselungsbibliothek

Die ROCA-Sicherheitslücke ist ein Problem im Zufallszahlengenerator von BSI-zertifizierten Infineon-Chips. Die Chipkarten, die für BeA zum Einsatz kommen, nutzen wohl ebenfalls Infineon-Chips. Die Chipkarten werden von der Bundesnotarkammer herausgegeben.

Der Hersteller der Chipkarten hat allerdings nach den Angaben, die uns das Pressebüro weitergeleitet hat, für die Schlüsselgenerierung die Kryptobibliothek von Infineon durch eine Eigenentwicklung ersetzt. Wer der Hersteller ist, wurde nicht mitgeteilt.

BeA Plus und wie weiter?

Zusammenfassend lässt sich festhalten, dass die Brak weiterhin vorhat, das bestehende BeA-System zeitnah wieder zu aktivieren. Viele Fragen in Sachen Sicherheit müssen noch geklärt werden.

Dem Hersteller Atos traut kaum noch jemand. Auch von Vertretern der Brak war deutliche Kritik zu hören. Doch offenbar ist die Rechtsanwaltskammer der Ansicht, dass sie trotzdem mit Atos alle Schwachstellen klären und beheben lassen kann.

Die Brak setzt dabei vor allem darauf, dass die Gutachten der Firma Secunet mögliche verbleibende Probleme identifizieren. Nicht beantworten wollte die Brak die Frage, ob die Gutachten von Secunet der Öffentlichkeit zugänglich gemacht werden.

Mittelfristig scheinen aber viele darauf zu setzen, dass BeA durch ein besseres Nachfolgesystem - oftmals als BeA Plus tituliert - ersetzt wird. Dabei geht es um Dinge wie eine Ende-zu-Ende-Verschlüsselung, aber auch um Wünsche aus der Anwaltschaft wie die nach einem Postfach für eine ganze Kanzlei. Das sehen aber zurzeit auch die Gesetze nicht vor. Die Diskussion über BeA Plus wird am 5. März 2018 auf dem Symposium des EDV-Gerichtstages weitergeführt.

Markus Drenger warf dabei eine weitere Frage auf: Neben Anwälten wollen natürlich auch Ärzte, Notare und viele andere Berufsgruppen sicher kommunizieren. Statt Insellösungen für jede Berufsgruppe könnte man auch darüber nachdenken, eine standardisierte Lösung zu schaffen, die von allen genutzt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die Key Custodians können BeA-Nachrichten knacken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Mobile-Angebote
  1. 789€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 634,90€ (Bestpreis!)
  3. 224,71€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  4. 369,99€ (Bestpreis!)

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

ldlx 29. Jan 2018

"doppelte End-to-End Verschlüsselung" - man könnte meinen, dass es jetzt auch "doppelt...


Folgen Sie uns
       


Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /