• IT-Karriere:
  • Services:

BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

Ein Bericht von Hanno Böck veröffentlicht am
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

Das besondere elektronische Anwaltspostfach, kurz BeA, hat bekanntlich mit zahlreichen Sicherheitsproblemen zu kämpfen. Es wurde Ende 2017 aufgrund von bekanntgewordenen Problemen mit eingebetteten TLS-Zertifikaten kurzfristig abgeschaltet und ist seitdem offline. Wie es weitergeht, hat die Bundesrechtsanwaltskammer (Brak) auf einem sogenannten BeAthon in Berlin diskutiert.

Die Herstellerfirma Atos beteiligte sich allerdings nicht an der Diskussion - sie sagte die Teilnahme kurz vor Beginn ab. Auch das Unternehmen Governikus, das maßgeblich an der Entwicklung von BeA beteiligt war, wurde von Atos angewiesen, nicht teilzunehmen. "Atos hat dann mit uns per Pressemitteilung kommuniziert", kommentierte das einer der Anwesenden.

Kurz vor der Veranstaltung gab Atos nämlich eine Pressemitteilung heraus, in der das Unternehmen erklärte, es habe der Brak nun eine neue Version von BeA bereitgestellt. Mit dieser sei das Problem mit dem TLS-Zertifikat gelöst. Auf die zahlreichen anderen Probleme ging Atos allerdings nicht ein.

BeA soll nach Sicherheitsgutachten in Betrieb gehen

Die Bundesrechtsanwaltskammer plant nach wie vor, das BeA grundsätzlich in seiner bisherigen Form wieder in Betrieb zu nehmen. Ein Datum dafür wollte sie aber explizit nicht nennen. Vorher sollen alle aufgeworfenen Sicherheitsfragen geklärt werden. Die Firma Secunet wurde beauftragt, die Sicherheit des Systems zu prüfen. Vertreter des Unternehmens nahmen am BeAthon teil, sie hielten sich aber überwiegend aus der Diskussion heraus.

Stellenmarkt
  1. Dürr IT Service GmbH, Bietigheim-Bissingen
  2. CipSoft GmbH, Regensburg

Diskussionen darüber, ob das BeA ganz grundsätzlich neugestaltet werden soll, versuchte man aus der Veranstaltung herauszuhalten. Der Deutsche EDV-Gerichtstag plant für März ein Symposium, auf dem ganz generell über die zukünftige Ausrichtung und ein mögliches BeA Plus diskutiert werden soll.

Ein Zertifikat für jede Installation

Als Lösung für das Problem mit dem TLS-Zertifikat schlägt Atos nun vor, dass bei jeder Installation ein individuelles Zertifikat generiert wird. Eine solche Lösung hielten alle anwesenden Fachleute generell für akzeptabel - wenn sie denn korrekt implementiert ist. Sichergestellt werden muss dabei, dass in jedem Fall auch ein neuer privater Schlüssel erzeugt wird.

Das TLS-Zertifikat ist für die bestehende Konstruktion des BeA notwendig. Die Nutzung läuft über eine Webanwendung, die mit einem lokalen HTTPS-Server auf Port 9998 kommuniziert. Bei einer solchen Konstruktion ist es notwendig, dass der lokale HTTPS-Server Zugriff auf den privaten Schlüssel hat. Ein Anwalt äußerte Bedenken. Die manuelle Installation eines Sicherheitszertifikats sei in Kanzleien, in denen eine Sicherheitspolicy für das Netzwerk festgelegt wird, nicht einfach machbar.

Theoretisch gäbe es auch die Möglichkeit, komplett auf HTTPS und ein Zertifikat zu verzichten. Da die Verbindung sowieso nur auf dem eigenen Rechner stattfindet, ist eine Verschlüsselung nicht notwendig.

Ein Standard des World Wide Web Consortium (W3C) sieht vor, dass solche Localhost-Verbindungen auch über HTTP als sichere Verbindungen angesehen werden. Doch bisher unterstützen diesen Standard nur aktuelle Versionen von Chrome und Firefox.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Exploit mittels Java-Deserialisierung 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. (aktuell u. a. Noblechairs Hero Limited Gaming-Stuhl für 299€, Intel Core i9-9900K 3,6 GHz für...
  2. 99,90€ statt 119,90€ (Bestpreis!)
  3. 2 Monate kostenlos, danach 9,99€ pro Monat - jederzeit kündbar
  4. (Gaming-PCs & Notebooks, Gaming-Zubehör, Virtual Reality, Spielkonsolen und vieles mehr)

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

ldlx 29. Jan 2018

"doppelte End-to-End Verschlüsselung" - man könnte meinen, dass es jetzt auch "doppelt...


Folgen Sie uns
       


O2 Free Unlimited im Test

Wir haben die beiden in der Geschwindigkeit beschränkten Smartphone-Tarife von Telefónica getestet, die eine echte Datenflatrate anbieten. Selbst der kleine Tarif O2 Free Unlimited Basic ist für typische Smartphone-Aufgaben ausreichend.

O2 Free Unlimited im Test Video aufrufen
Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  2. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen
  3. Concept Duet und Concept Ori Dells Dualscreen-Geräte machen Microsoft Konkurrenz

Gesetzentwurf zum Leistungsschutzrecht: Acht Wörter sollen reichen
Gesetzentwurf zum Leistungsschutzrecht
Acht Wörter sollen reichen

Auszüge von mehr als acht Wörtern sollen beim Leistungsschutzrecht lizenzpflichtig werden, von Vorschaubildern ist keine Rede mehr.
Von Justus Staufburg

  1. Medienstaatsvertrag Droht wirklich das Ende des Urheberrechts?
  2. Leistungsschutzrecht Drei Wörter sollen ...
  3. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


      •  /