Abo
  • Services:

Quellcode veröffentlichen? Vielleicht

Neben den Sicherheitsfragen stand auch die Frage einer Veröffentlichung des Quellcodes erneut im Raum. Zahlreiche Organisationen hatten die Freigabe des Quellcodes gefordert. Mitglieder der Rechtsanwaltskammer Berlin haben für deren nächste Versammlung im März einen Antrag gestellt, der diese Forderung unterstützt.

Stellenmarkt
  1. DAN Produkte GmbH, Siegen
  2. Merz Pharma GmbH & Co. KGaA, Reinheim

Da BeA selbst diverse Bibliotheken unter freien Softwarelizenzen nutzt, stellt sich die Frage, ob darunter solche sind, die sowieso eine Öffnung des Codes erfordern. Andere Organisationen prüfen demnach zurzeit, ob solche Lizenzverletzungen vorliegen, aber darauf gibt es wohl bislang keine eindeutige Antwort. Einer der anwesenden Anwälte merkte an, dass dieses Problem natürlich erledigt wäre, wenn der Code einfach veröffentlicht würde.

Ein Vorstandsmitglied der Brak erklärte, dass man bislang zu dem Schluss gekommen sei, dass die Freigabe des Codes aufgrund der Verwendung bestimmter Komponenten von Dritten nicht möglich sei. Es werde aber erneut geprüft, ob der Code freigegeben werden könne. Das wird aber vermutlich nicht vor einem Neustart des Systems passieren. Zumindest der Hersteller Atos hatte in seiner Pressemitteilung erklärt, dass die Rechte des Codes bei der Brak liegen.

SSL-Stripping - BeA-Infoseite weiterhin ohne HTTPS

Einige Probleme, die auf dem BeAthon nicht thematisiert wurden, sollten hier der Vollständigkeit halber noch erwähnt werden.

Golem.de hat bereits darauf hingewiesen, dass das BeA-System für SSL-Stripping-Angriffe verwundbar ist. Zwischenzeitlich wurde auf der BeA-Domain (bea-brak.de) Strict Transport Security aktiviert, damit ist das Problem zumindest nicht mehr ganz so einfach auszunutzen. In FAQ schreibt die Brak das inzwischen auch.

Doch weiterhin besteht das Problem, dass die zentrale Informationsseite zu BeA, die auf einer anderen Domain gehostet ist (bea.brak.de), kein HTTPS nutzt. Auf jeder Seite steht dort ein Button mit der Aufschrift "Hier geht's zum beA". Dieser Link könnte natürlich weiterhin mit einem Stripping-Angriff verändert werden. So könnten Angreifer eine Domain, die der BeA-Domain ähnlich ist, registrieren und den Link verändern.

Im Vorfeld hatte Golem.de beim Pressebüro der Brak nach Details zur verwendeten Verschlüsselung und insbesondere auch zur ROCA-Sicherheitslücke gefragt. Die Fragen zur Verschlüsselung wurden uns bislang nicht beantwortet.

Infineon-Chips, aber mit eigener Verschlüsselungsbibliothek

Die ROCA-Sicherheitslücke ist ein Problem im Zufallszahlengenerator von BSI-zertifizierten Infineon-Chips. Die Chipkarten, die für BeA zum Einsatz kommen, nutzen wohl ebenfalls Infineon-Chips. Die Chipkarten werden von der Bundesnotarkammer herausgegeben.

Der Hersteller der Chipkarten hat allerdings nach den Angaben, die uns das Pressebüro weitergeleitet hat, für die Schlüsselgenerierung die Kryptobibliothek von Infineon durch eine Eigenentwicklung ersetzt. Wer der Hersteller ist, wurde nicht mitgeteilt.

BeA Plus und wie weiter?

Zusammenfassend lässt sich festhalten, dass die Brak weiterhin vorhat, das bestehende BeA-System zeitnah wieder zu aktivieren. Viele Fragen in Sachen Sicherheit müssen noch geklärt werden.

Dem Hersteller Atos traut kaum noch jemand. Auch von Vertretern der Brak war deutliche Kritik zu hören. Doch offenbar ist die Rechtsanwaltskammer der Ansicht, dass sie trotzdem mit Atos alle Schwachstellen klären und beheben lassen kann.

Die Brak setzt dabei vor allem darauf, dass die Gutachten der Firma Secunet mögliche verbleibende Probleme identifizieren. Nicht beantworten wollte die Brak die Frage, ob die Gutachten von Secunet der Öffentlichkeit zugänglich gemacht werden.

Mittelfristig scheinen aber viele darauf zu setzen, dass BeA durch ein besseres Nachfolgesystem - oftmals als BeA Plus tituliert - ersetzt wird. Dabei geht es um Dinge wie eine Ende-zu-Ende-Verschlüsselung, aber auch um Wünsche aus der Anwaltschaft wie die nach einem Postfach für eine ganze Kanzlei. Das sehen aber zurzeit auch die Gesetze nicht vor. Die Diskussion über BeA Plus wird am 5. März 2018 auf dem Symposium des EDV-Gerichtstages weitergeführt.

Markus Drenger warf dabei eine weitere Frage auf: Neben Anwälten wollen natürlich auch Ärzte, Notare und viele andere Berufsgruppen sicher kommunizieren. Statt Insellösungen für jede Berufsgruppe könnte man auch darüber nachdenken, eine standardisierte Lösung zu schaffen, die von allen genutzt werden kann.

 Die Key Custodians können BeA-Nachrichten knacken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Top-Angebote
  1. 6,49€
  2. 219€ (Vergleichspreis 251€)
  3. 19,89€ inkl. Versand (Vergleichspreis ca. 30€)

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

    •  /