Bundesrechtsanwaltskammer: Anwälte sollen BeA sofort deinstallieren

Die Software für das Besondere elektronische Anwaltspostfach (BeA) hat eine weitere gravierende Sicherheitslücke, die Bundesrechtsanwaltskammer empfielt daher nun allen Anwälten, die BeA-Software zu deaktivieren. Das wurde heute im Rahmen des sogenannten BeAthon bekannt, einer Veranstaltung, zu der die Bundesrechtsanwaltskammer externe Sicherheitsexperten und Vertreter von diversen Rechtsanwaltsorganisationen eingeladen hatte. Die Lücke ist völlig unabhängig von dem Problem, das kurz vor Weihnachten zur Abschaltung des Anwaltspostfachs geführt hat.

Markus Drenger vom Chaos Computer Club Darmstadt erläuterte auf dem BeAthon das Problem. Demnach ist die BeA-Software von einer sogenannten Java-Deserialisierungslücke betroffen. Die Software öffnet lokal auf dem Rechner einen HTTPS-Server, zu dem auch Webseiten über Websockets eine Verbindung aufbauen können.

Java-Deserialisierungslücke ermöglicht Codeausführung

Dieser lokale HTTPS-Server verarbeitet empfangene Objekte mit der Java-Bibliothek Jackson, die von dieser Sicherheitslücke betroffen ist. Durch eine trickreiche Konstruktion einer Anfrage ist es möglich, die Software dazu zu bringen, Code auszuführen. Damit kann ein Angreifer dann nach Belieben Software auf dem Rechner des Anwalts starten und beispielsweise vorhandene Daten kopieren oder verändern.

Die Bundesrechtsanwaltskammer empfiehlt nun selbst allen Rechtsanwälten, die Software schnellstmöglich zu deinstallieren oder aus der Autostart-Funktion von Windows zu entfernen. Markus Drenger hatte nach eigenen Angaben die Rechtsanwaltskammer bereits am 20. Dezember über die Sicherheitslücke informiert.

Rechtsanwaltskammer wusste bisher nicht, wie schwerwiegend diese Lücke ist

Ein Vertreter des Vorstandes der Bundesrechtsanwaltskammer war über Drengers Darstellung überrascht. Demnach hatte Atos die Kammer nicht darüber informiert, wie schwerwiegend diese Lücke ist.

Zunächst gab es Unklarheit darüber, ob die Lücke nach wie vor aktiv ist. Die Rechtsanwaltskammer hatte noch während des BeAthon den Hersteller Atos kontaktiert. Von Atos war kein Vertreter vor Ort, die Firma hatte kurzfristig ihre Teilnahme abgesagt.

Laut Atos startet der BeA-Client überhaupt nicht, da zur Zeit das BeA-Serversystem nicht aktiv ist. Damit wäre die genannte Lücke kein Problem. Markus Drenger konnte sich aber auf einem Testsystem nach wie vor mit dem lokalen Server verbinden. Die Rechtsanwaltskammer entschied sich, auf Nummer sicher zu gehen, und warnt nun ihre Mitglieder offiziell vor ihrer eigenen Software.

Einen ausführlichen Bericht über den BeAthon und über die anderen dort diskutierten Sicherheitsprobleme wird Golem.de am Montag veröffentlichen.