Abo
  • Services:

BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

Ein Bericht von Hanno Böck veröffentlicht am
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

Das besondere elektronische Anwaltspostfach, kurz BeA, hat bekanntlich mit zahlreichen Sicherheitsproblemen zu kämpfen. Es wurde Ende 2017 aufgrund von bekanntgewordenen Problemen mit eingebetteten TLS-Zertifikaten kurzfristig abgeschaltet und ist seitdem offline. Wie es weitergeht, hat die Bundesrechtsanwaltskammer (Brak) auf einem sogenannten BeAthon in Berlin diskutiert.

Die Herstellerfirma Atos beteiligte sich allerdings nicht an der Diskussion - sie sagte die Teilnahme kurz vor Beginn ab. Auch das Unternehmen Governikus, das maßgeblich an der Entwicklung von BeA beteiligt war, wurde von Atos angewiesen, nicht teilzunehmen. "Atos hat dann mit uns per Pressemitteilung kommuniziert", kommentierte das einer der Anwesenden.

Kurz vor der Veranstaltung gab Atos nämlich eine Pressemitteilung heraus, in der das Unternehmen erklärte, es habe der Brak nun eine neue Version von BeA bereitgestellt. Mit dieser sei das Problem mit dem TLS-Zertifikat gelöst. Auf die zahlreichen anderen Probleme ging Atos allerdings nicht ein.

BeA soll nach Sicherheitsgutachten in Betrieb gehen

Die Bundesrechtsanwaltskammer plant nach wie vor, das BeA grundsätzlich in seiner bisherigen Form wieder in Betrieb zu nehmen. Ein Datum dafür wollte sie aber explizit nicht nennen. Vorher sollen alle aufgeworfenen Sicherheitsfragen geklärt werden. Die Firma Secunet wurde beauftragt, die Sicherheit des Systems zu prüfen. Vertreter des Unternehmens nahmen am BeAthon teil, sie hielten sich aber überwiegend aus der Diskussion heraus.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Diskussionen darüber, ob das BeA ganz grundsätzlich neugestaltet werden soll, versuchte man aus der Veranstaltung herauszuhalten. Der Deutsche EDV-Gerichtstag plant für März ein Symposium, auf dem ganz generell über die zukünftige Ausrichtung und ein mögliches BeA Plus diskutiert werden soll.

Ein Zertifikat für jede Installation

Als Lösung für das Problem mit dem TLS-Zertifikat schlägt Atos nun vor, dass bei jeder Installation ein individuelles Zertifikat generiert wird. Eine solche Lösung hielten alle anwesenden Fachleute generell für akzeptabel - wenn sie denn korrekt implementiert ist. Sichergestellt werden muss dabei, dass in jedem Fall auch ein neuer privater Schlüssel erzeugt wird.

Das TLS-Zertifikat ist für die bestehende Konstruktion des BeA notwendig. Die Nutzung läuft über eine Webanwendung, die mit einem lokalen HTTPS-Server auf Port 9998 kommuniziert. Bei einer solchen Konstruktion ist es notwendig, dass der lokale HTTPS-Server Zugriff auf den privaten Schlüssel hat. Ein Anwalt äußerte Bedenken. Die manuelle Installation eines Sicherheitszertifikats sei in Kanzleien, in denen eine Sicherheitspolicy für das Netzwerk festgelegt wird, nicht einfach machbar.

Theoretisch gäbe es auch die Möglichkeit, komplett auf HTTPS und ein Zertifikat zu verzichten. Da die Verbindung sowieso nur auf dem eigenen Rechner stattfindet, ist eine Verschlüsselung nicht notwendig.

Ein Standard des World Wide Web Consortium (W3C) sieht vor, dass solche Localhost-Verbindungen auch über HTTP als sichere Verbindungen angesehen werden. Doch bisher unterstützen diesen Standard nur aktuelle Versionen von Chrome und Firefox.

Exploit mittels Java-Deserialisierung 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Spiele-Angebote
  1. 25,49€
  2. 26,95€
  3. 9,95€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
Landwirtschafts-Simulator auf dem C64
Auf zum Pixelernten!

In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
Ein Test von Tobias Költzsch

  1. Giants Software Ländliche Mods auf Playstation und Xbox

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /