BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

Ein Bericht von Hanno Böck veröffentlicht am
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

Das besondere elektronische Anwaltspostfach, kurz BeA, hat bekanntlich mit zahlreichen Sicherheitsproblemen zu kämpfen. Es wurde Ende 2017 aufgrund von bekanntgewordenen Problemen mit eingebetteten TLS-Zertifikaten kurzfristig abgeschaltet und ist seitdem offline. Wie es weitergeht, hat die Bundesrechtsanwaltskammer (Brak) auf einem sogenannten BeAthon in Berlin diskutiert.

Die Herstellerfirma Atos beteiligte sich allerdings nicht an der Diskussion - sie sagte die Teilnahme kurz vor Beginn ab. Auch das Unternehmen Governikus, das maßgeblich an der Entwicklung von BeA beteiligt war, wurde von Atos angewiesen, nicht teilzunehmen. "Atos hat dann mit uns per Pressemitteilung kommuniziert", kommentierte das einer der Anwesenden.

Kurz vor der Veranstaltung gab Atos nämlich eine Pressemitteilung heraus, in der das Unternehmen erklärte, es habe der Brak nun eine neue Version von BeA bereitgestellt. Mit dieser sei das Problem mit dem TLS-Zertifikat gelöst. Auf die zahlreichen anderen Probleme ging Atos allerdings nicht ein.

BeA soll nach Sicherheitsgutachten in Betrieb gehen

Die Bundesrechtsanwaltskammer plant nach wie vor, das BeA grundsätzlich in seiner bisherigen Form wieder in Betrieb zu nehmen. Ein Datum dafür wollte sie aber explizit nicht nennen. Vorher sollen alle aufgeworfenen Sicherheitsfragen geklärt werden. Die Firma Secunet wurde beauftragt, die Sicherheit des Systems zu prüfen. Vertreter des Unternehmens nahmen am BeAthon teil, sie hielten sich aber überwiegend aus der Diskussion heraus.

Stellenmarkt
  1. Senior Consultant / Auditor (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Softwareentwickler C# / DevOps (m/w/d)
    VIVAVIS AG, Bochum, Koblenz, Ettlingen (Home-Office möglich)
Detailsuche

Diskussionen darüber, ob das BeA ganz grundsätzlich neugestaltet werden soll, versuchte man aus der Veranstaltung herauszuhalten. Der Deutsche EDV-Gerichtstag plant für März ein Symposium, auf dem ganz generell über die zukünftige Ausrichtung und ein mögliches BeA Plus diskutiert werden soll.

Ein Zertifikat für jede Installation

Als Lösung für das Problem mit dem TLS-Zertifikat schlägt Atos nun vor, dass bei jeder Installation ein individuelles Zertifikat generiert wird. Eine solche Lösung hielten alle anwesenden Fachleute generell für akzeptabel - wenn sie denn korrekt implementiert ist. Sichergestellt werden muss dabei, dass in jedem Fall auch ein neuer privater Schlüssel erzeugt wird.

Das TLS-Zertifikat ist für die bestehende Konstruktion des BeA notwendig. Die Nutzung läuft über eine Webanwendung, die mit einem lokalen HTTPS-Server auf Port 9998 kommuniziert. Bei einer solchen Konstruktion ist es notwendig, dass der lokale HTTPS-Server Zugriff auf den privaten Schlüssel hat. Ein Anwalt äußerte Bedenken. Die manuelle Installation eines Sicherheitszertifikats sei in Kanzleien, in denen eine Sicherheitspolicy für das Netzwerk festgelegt wird, nicht einfach machbar.

Theoretisch gäbe es auch die Möglichkeit, komplett auf HTTPS und ein Zertifikat zu verzichten. Da die Verbindung sowieso nur auf dem eigenen Rechner stattfindet, ist eine Verschlüsselung nicht notwendig.

Ein Standard des World Wide Web Consortium (W3C) sieht vor, dass solche Localhost-Verbindungen auch über HTTP als sichere Verbindungen angesehen werden. Doch bisher unterstützen diesen Standard nur aktuelle Versionen von Chrome und Firefox.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Exploit mittels Java-Deserialisierung 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

ldlx 29. Jan 2018

"doppelte End-to-End Verschlüsselung" - man könnte meinen, dass es jetzt auch "doppelt...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /