Abo
  • Services:

BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

Ein Bericht von Hanno Böck veröffentlicht am
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

Das besondere elektronische Anwaltspostfach, kurz BeA, hat bekanntlich mit zahlreichen Sicherheitsproblemen zu kämpfen. Es wurde Ende 2017 aufgrund von bekanntgewordenen Problemen mit eingebetteten TLS-Zertifikaten kurzfristig abgeschaltet und ist seitdem offline. Wie es weitergeht, hat die Bundesrechtsanwaltskammer (Brak) auf einem sogenannten BeAthon in Berlin diskutiert.

Die Herstellerfirma Atos beteiligte sich allerdings nicht an der Diskussion - sie sagte die Teilnahme kurz vor Beginn ab. Auch das Unternehmen Governikus, das maßgeblich an der Entwicklung von BeA beteiligt war, wurde von Atos angewiesen, nicht teilzunehmen. "Atos hat dann mit uns per Pressemitteilung kommuniziert", kommentierte das einer der Anwesenden.

Kurz vor der Veranstaltung gab Atos nämlich eine Pressemitteilung heraus, in der das Unternehmen erklärte, es habe der Brak nun eine neue Version von BeA bereitgestellt. Mit dieser sei das Problem mit dem TLS-Zertifikat gelöst. Auf die zahlreichen anderen Probleme ging Atos allerdings nicht ein.

BeA soll nach Sicherheitsgutachten in Betrieb gehen

Die Bundesrechtsanwaltskammer plant nach wie vor, das BeA grundsätzlich in seiner bisherigen Form wieder in Betrieb zu nehmen. Ein Datum dafür wollte sie aber explizit nicht nennen. Vorher sollen alle aufgeworfenen Sicherheitsfragen geklärt werden. Die Firma Secunet wurde beauftragt, die Sicherheit des Systems zu prüfen. Vertreter des Unternehmens nahmen am BeAthon teil, sie hielten sich aber überwiegend aus der Diskussion heraus.

Stellenmarkt
  1. BWI GmbH, Rheinbach
  2. Allianz Global Corporate & Specialty AG, München oder Chicago (IL/USA)

Diskussionen darüber, ob das BeA ganz grundsätzlich neugestaltet werden soll, versuchte man aus der Veranstaltung herauszuhalten. Der Deutsche EDV-Gerichtstag plant für März ein Symposium, auf dem ganz generell über die zukünftige Ausrichtung und ein mögliches BeA Plus diskutiert werden soll.

Ein Zertifikat für jede Installation

Als Lösung für das Problem mit dem TLS-Zertifikat schlägt Atos nun vor, dass bei jeder Installation ein individuelles Zertifikat generiert wird. Eine solche Lösung hielten alle anwesenden Fachleute generell für akzeptabel - wenn sie denn korrekt implementiert ist. Sichergestellt werden muss dabei, dass in jedem Fall auch ein neuer privater Schlüssel erzeugt wird.

Das TLS-Zertifikat ist für die bestehende Konstruktion des BeA notwendig. Die Nutzung läuft über eine Webanwendung, die mit einem lokalen HTTPS-Server auf Port 9998 kommuniziert. Bei einer solchen Konstruktion ist es notwendig, dass der lokale HTTPS-Server Zugriff auf den privaten Schlüssel hat. Ein Anwalt äußerte Bedenken. Die manuelle Installation eines Sicherheitszertifikats sei in Kanzleien, in denen eine Sicherheitspolicy für das Netzwerk festgelegt wird, nicht einfach machbar.

Theoretisch gäbe es auch die Möglichkeit, komplett auf HTTPS und ein Zertifikat zu verzichten. Da die Verbindung sowieso nur auf dem eigenen Rechner stattfindet, ist eine Verschlüsselung nicht notwendig.

Ein Standard des World Wide Web Consortium (W3C) sieht vor, dass solche Localhost-Verbindungen auch über HTTP als sichere Verbindungen angesehen werden. Doch bisher unterstützen diesen Standard nur aktuelle Versionen von Chrome und Firefox.

Exploit mittels Java-Deserialisierung 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Spiele-Angebote
  1. 34,99€
  2. 42,49€
  3. 13,49€
  4. 2,99€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Intel NUC7 June Canyon - Test

Wir mögen Intels NUC7: Er hat volle PC-Funktionalität in kleinem Formfaktor zu einem niedrigen Preis.

Intel NUC7 June Canyon - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    •  /