Abo
  • Services:
Anzeige
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

Quellcode veröffentlichen? Vielleicht

Neben den Sicherheitsfragen stand auch die Frage einer Veröffentlichung des Quellcodes erneut im Raum. Zahlreiche Organisationen hatten die Freigabe des Quellcodes gefordert. Mitglieder der Rechtsanwaltskammer Berlin haben für deren nächste Versammlung im März einen Antrag gestellt, der diese Forderung unterstützt.

Anzeige

Da BeA selbst diverse Bibliotheken unter freien Softwarelizenzen nutzt, stellt sich die Frage, ob darunter solche sind, die sowieso eine Öffnung des Codes erfordern. Andere Organisationen prüfen demnach zurzeit, ob solche Lizenzverletzungen vorliegen, aber darauf gibt es wohl bislang keine eindeutige Antwort. Einer der anwesenden Anwälte merkte an, dass dieses Problem natürlich erledigt wäre, wenn der Code einfach veröffentlicht würde.

Ein Vorstandsmitglied der Brak erklärte, dass man bislang zu dem Schluss gekommen sei, dass die Freigabe des Codes aufgrund der Verwendung bestimmter Komponenten von Dritten nicht möglich sei. Es werde aber erneut geprüft, ob der Code freigegeben werden könne. Das wird aber vermutlich nicht vor einem Neustart des Systems passieren. Zumindest der Hersteller Atos hatte in seiner Pressemitteilung erklärt, dass die Rechte des Codes bei der Brak liegen.

SSL-Stripping - BeA-Infoseite weiterhin ohne HTTPS

Einige Probleme, die auf dem BeAthon nicht thematisiert wurden, sollten hier der Vollständigkeit halber noch erwähnt werden.

Golem.de hat bereits darauf hingewiesen, dass das BeA-System für SSL-Stripping-Angriffe verwundbar ist. Zwischenzeitlich wurde auf der BeA-Domain (bea-brak.de) Strict Transport Security aktiviert, damit ist das Problem zumindest nicht mehr ganz so einfach auszunutzen. In FAQ schreibt die Brak das inzwischen auch.

Doch weiterhin besteht das Problem, dass die zentrale Informationsseite zu BeA, die auf einer anderen Domain gehostet ist (bea.brak.de), kein HTTPS nutzt. Auf jeder Seite steht dort ein Button mit der Aufschrift "Hier geht's zum beA". Dieser Link könnte natürlich weiterhin mit einem Stripping-Angriff verändert werden. So könnten Angreifer eine Domain, die der BeA-Domain ähnlich ist, registrieren und den Link verändern.

Im Vorfeld hatte Golem.de beim Pressebüro der Brak nach Details zur verwendeten Verschlüsselung und insbesondere auch zur ROCA-Sicherheitslücke gefragt. Die Fragen zur Verschlüsselung wurden uns bislang nicht beantwortet.

Infineon-Chips, aber mit eigener Verschlüsselungsbibliothek

Die ROCA-Sicherheitslücke ist ein Problem im Zufallszahlengenerator von BSI-zertifizierten Infineon-Chips. Die Chipkarten, die für BeA zum Einsatz kommen, nutzen wohl ebenfalls Infineon-Chips. Die Chipkarten werden von der Bundesnotarkammer herausgegeben.

Der Hersteller der Chipkarten hat allerdings nach den Angaben, die uns das Pressebüro weitergeleitet hat, für die Schlüsselgenerierung die Kryptobibliothek von Infineon durch eine Eigenentwicklung ersetzt. Wer der Hersteller ist, wurde nicht mitgeteilt.

BeA Plus und wie weiter?

Zusammenfassend lässt sich festhalten, dass die Brak weiterhin vorhat, das bestehende BeA-System zeitnah wieder zu aktivieren. Viele Fragen in Sachen Sicherheit müssen noch geklärt werden.

Dem Hersteller Atos traut kaum noch jemand. Auch von Vertretern der Brak war deutliche Kritik zu hören. Doch offenbar ist die Rechtsanwaltskammer der Ansicht, dass sie trotzdem mit Atos alle Schwachstellen klären und beheben lassen kann.

Die Brak setzt dabei vor allem darauf, dass die Gutachten der Firma Secunet mögliche verbleibende Probleme identifizieren. Nicht beantworten wollte die Brak die Frage, ob die Gutachten von Secunet der Öffentlichkeit zugänglich gemacht werden.

Mittelfristig scheinen aber viele darauf zu setzen, dass BeA durch ein besseres Nachfolgesystem - oftmals als BeA Plus tituliert - ersetzt wird. Dabei geht es um Dinge wie eine Ende-zu-Ende-Verschlüsselung, aber auch um Wünsche aus der Anwaltschaft wie die nach einem Postfach für eine ganze Kanzlei. Das sehen aber zurzeit auch die Gesetze nicht vor. Die Diskussion über BeA Plus wird am 5. März 2018 auf dem Symposium des EDV-Gerichtstages weitergeführt.

Markus Drenger warf dabei eine weitere Frage auf: Neben Anwälten wollen natürlich auch Ärzte, Notare und viele andere Berufsgruppen sicher kommunizieren. Statt Insellösungen für jede Berufsgruppe könnte man auch darüber nachdenken, eine standardisierte Lösung zu schaffen, die von allen genutzt werden kann.

 Die Key Custodians können BeA-Nachrichten knacken

eye home zur Startseite
derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

Themenstart

mimimi123 30. Jan 2018

Nein??

Themenstart

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

Themenstart

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

Themenstart

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. dm-drogerie markt GmbH + Co. KG, Karlsruhe
  2. A. Menarini Research & Business Service GmbH, Berlin
  3. Zurich Gruppe Deutschland, Bonn
  4. EidosMedia GmbH, Frankfurt am Main


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. Alcatel 1X

    Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro

  2. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  3. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  4. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  5. Wochenrückblick

    Früher war nicht alles besser

  6. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  7. Cloud

    AWS bringt den Appstore für Serverless-Software

  8. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  9. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  10. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Indiegames-Rundschau: Tiefseemonster, Cyberpunks und ein Kelte
Indiegames-Rundschau
Tiefseemonster, Cyberpunks und ein Kelte
  1. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass
  2. Games 2017 Die besten Indiespiele des Jahres

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Vergleich zu Nvidia

    Niaxa | 19:11

  2. Re: Schneller?

    Niaxa | 19:10

  3. Re: Habe noch nie verstanden...

    Niaxa | 19:07

  4. Re: Anschlüsse!

    gaelic | 19:03

  5. Re: Das sagt eine Schlange auch

    teenriot* | 19:01


  1. 19:00

  2. 11:53

  3. 11:26

  4. 11:14

  5. 09:02

  6. 17:17

  7. 16:50

  8. 16:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel