• IT-Karriere:
  • Services:

Quellcode veröffentlichen? Vielleicht

Neben den Sicherheitsfragen stand auch die Frage einer Veröffentlichung des Quellcodes erneut im Raum. Zahlreiche Organisationen hatten die Freigabe des Quellcodes gefordert. Mitglieder der Rechtsanwaltskammer Berlin haben für deren nächste Versammlung im März einen Antrag gestellt, der diese Forderung unterstützt.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Die Autobahn GmbH des Bundes, Hamm, Münster, Gelsenkirchen

Da BeA selbst diverse Bibliotheken unter freien Softwarelizenzen nutzt, stellt sich die Frage, ob darunter solche sind, die sowieso eine Öffnung des Codes erfordern. Andere Organisationen prüfen demnach zurzeit, ob solche Lizenzverletzungen vorliegen, aber darauf gibt es wohl bislang keine eindeutige Antwort. Einer der anwesenden Anwälte merkte an, dass dieses Problem natürlich erledigt wäre, wenn der Code einfach veröffentlicht würde.

Ein Vorstandsmitglied der Brak erklärte, dass man bislang zu dem Schluss gekommen sei, dass die Freigabe des Codes aufgrund der Verwendung bestimmter Komponenten von Dritten nicht möglich sei. Es werde aber erneut geprüft, ob der Code freigegeben werden könne. Das wird aber vermutlich nicht vor einem Neustart des Systems passieren. Zumindest der Hersteller Atos hatte in seiner Pressemitteilung erklärt, dass die Rechte des Codes bei der Brak liegen.

SSL-Stripping - BeA-Infoseite weiterhin ohne HTTPS

Einige Probleme, die auf dem BeAthon nicht thematisiert wurden, sollten hier der Vollständigkeit halber noch erwähnt werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
  2. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
Weitere IT-Trainings

Golem.de hat bereits darauf hingewiesen, dass das BeA-System für SSL-Stripping-Angriffe verwundbar ist. Zwischenzeitlich wurde auf der BeA-Domain (bea-brak.de) Strict Transport Security aktiviert, damit ist das Problem zumindest nicht mehr ganz so einfach auszunutzen. In FAQ schreibt die Brak das inzwischen auch.

Doch weiterhin besteht das Problem, dass die zentrale Informationsseite zu BeA, die auf einer anderen Domain gehostet ist (bea.brak.de), kein HTTPS nutzt. Auf jeder Seite steht dort ein Button mit der Aufschrift "Hier geht's zum beA". Dieser Link könnte natürlich weiterhin mit einem Stripping-Angriff verändert werden. So könnten Angreifer eine Domain, die der BeA-Domain ähnlich ist, registrieren und den Link verändern.

Im Vorfeld hatte Golem.de beim Pressebüro der Brak nach Details zur verwendeten Verschlüsselung und insbesondere auch zur ROCA-Sicherheitslücke gefragt. Die Fragen zur Verschlüsselung wurden uns bislang nicht beantwortet.

Infineon-Chips, aber mit eigener Verschlüsselungsbibliothek

Die ROCA-Sicherheitslücke ist ein Problem im Zufallszahlengenerator von BSI-zertifizierten Infineon-Chips. Die Chipkarten, die für BeA zum Einsatz kommen, nutzen wohl ebenfalls Infineon-Chips. Die Chipkarten werden von der Bundesnotarkammer herausgegeben.

Der Hersteller der Chipkarten hat allerdings nach den Angaben, die uns das Pressebüro weitergeleitet hat, für die Schlüsselgenerierung die Kryptobibliothek von Infineon durch eine Eigenentwicklung ersetzt. Wer der Hersteller ist, wurde nicht mitgeteilt.

BeA Plus und wie weiter?

Zusammenfassend lässt sich festhalten, dass die Brak weiterhin vorhat, das bestehende BeA-System zeitnah wieder zu aktivieren. Viele Fragen in Sachen Sicherheit müssen noch geklärt werden.

Dem Hersteller Atos traut kaum noch jemand. Auch von Vertretern der Brak war deutliche Kritik zu hören. Doch offenbar ist die Rechtsanwaltskammer der Ansicht, dass sie trotzdem mit Atos alle Schwachstellen klären und beheben lassen kann.

Die Brak setzt dabei vor allem darauf, dass die Gutachten der Firma Secunet mögliche verbleibende Probleme identifizieren. Nicht beantworten wollte die Brak die Frage, ob die Gutachten von Secunet der Öffentlichkeit zugänglich gemacht werden.

Mittelfristig scheinen aber viele darauf zu setzen, dass BeA durch ein besseres Nachfolgesystem - oftmals als BeA Plus tituliert - ersetzt wird. Dabei geht es um Dinge wie eine Ende-zu-Ende-Verschlüsselung, aber auch um Wünsche aus der Anwaltschaft wie die nach einem Postfach für eine ganze Kanzlei. Das sehen aber zurzeit auch die Gesetze nicht vor. Die Diskussion über BeA Plus wird am 5. März 2018 auf dem Symposium des EDV-Gerichtstages weitergeführt.

Markus Drenger warf dabei eine weitere Frage auf: Neben Anwälten wollen natürlich auch Ärzte, Notare und viele andere Berufsgruppen sicher kommunizieren. Statt Insellösungen für jede Berufsgruppe könnte man auch darüber nachdenken, eine standardisierte Lösung zu schaffen, die von allen genutzt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die Key Custodians können BeA-Nachrichten knacken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Spiele-Angebote
  1. (u. a. Far Cry: New Dawn für 11€, Ni no Kuni: Wrath of the White Witch Remastered für 11€)
  2. 23,99€

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

ldlx 29. Jan 2018

"doppelte End-to-End Verschlüsselung" - man könnte meinen, dass es jetzt auch "doppelt...


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /