• IT-Karriere:
  • Services:

Bundesrechtsanwaltskammer: Anwälte sollen BeA sofort deinstallieren

Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte diese so schnell wie möglich entfernen. Der BeA-Client ist von einer Java-Deserialisierungslücke betroffen, über die bösartige Webseiten Code ausführen und einen Rechner übernehmen können.

Artikel veröffentlicht am , Hanno Böck
Die BeA-Software kommt nicht zur Ruhe - jetzt empfiehlt die Bundesrechtsanwaltskammer, die bisherige Version erstmal zu deinstallieren.
Die BeA-Software kommt nicht zur Ruhe - jetzt empfiehlt die Bundesrechtsanwaltskammer, die bisherige Version erstmal zu deinstallieren. (Bild: BRAK / Collage: Hanno Böck)

Die Software für das Besondere elektronische Anwaltspostfach (BeA) hat eine weitere gravierende Sicherheitslücke, die Bundesrechtsanwaltskammer empfielt daher nun allen Anwälten, die BeA-Software zu deaktivieren. Das wurde heute im Rahmen des sogenannten BeAthon bekannt, einer Veranstaltung, zu der die Bundesrechtsanwaltskammer externe Sicherheitsexperten und Vertreter von diversen Rechtsanwaltsorganisationen eingeladen hatte. Die Lücke ist völlig unabhängig von dem Problem, das kurz vor Weihnachten zur Abschaltung des Anwaltspostfachs geführt hat.

Stellenmarkt
  1. Alkacon Software GmbH & Co. KG - The OpenCms Experts, Köln
  2. Deutsche Rentenversicherung Bund, Berlin

Markus Drenger vom Chaos Computer Club Darmstadt erläuterte auf dem BeAthon das Problem. Demnach ist die BeA-Software von einer sogenannten Java-Deserialisierungslücke betroffen. Die Software öffnet lokal auf dem Rechner einen HTTPS-Server, zu dem auch Webseiten über Websockets eine Verbindung aufbauen können.

Java-Deserialisierungslücke ermöglicht Codeausführung

Dieser lokale HTTPS-Server verarbeitet empfangene Objekte mit der Java-Bibliothek Jackson, die von dieser Sicherheitslücke betroffen ist. Durch eine trickreiche Konstruktion einer Anfrage ist es möglich, die Software dazu zu bringen, Code auszuführen. Damit kann ein Angreifer dann nach Belieben Software auf dem Rechner des Anwalts starten und beispielsweise vorhandene Daten kopieren oder verändern.

Die Bundesrechtsanwaltskammer empfiehlt nun selbst allen Rechtsanwälten, die Software schnellstmöglich zu deinstallieren oder aus der Autostart-Funktion von Windows zu entfernen. Markus Drenger hatte nach eigenen Angaben die Rechtsanwaltskammer bereits am 20. Dezember über die Sicherheitslücke informiert.

Rechtsanwaltskammer wusste bisher nicht, wie schwerwiegend diese Lücke ist

Ein Vertreter des Vorstandes der Bundesrechtsanwaltskammer war über Drengers Darstellung überrascht. Demnach hatte Atos die Kammer nicht darüber informiert, wie schwerwiegend diese Lücke ist.

Zunächst gab es Unklarheit darüber, ob die Lücke nach wie vor aktiv ist. Die Rechtsanwaltskammer hatte noch während des BeAthon den Hersteller Atos kontaktiert. Von Atos war kein Vertreter vor Ort, die Firma hatte kurzfristig ihre Teilnahme abgesagt.

Laut Atos startet der BeA-Client überhaupt nicht, da zur Zeit das BeA-Serversystem nicht aktiv ist. Damit wäre die genannte Lücke kein Problem. Markus Drenger konnte sich aber auf einem Testsystem nach wie vor mit dem lokalen Server verbinden. Die Rechtsanwaltskammer entschied sich, auf Nummer sicher zu gehen, und warnt nun ihre Mitglieder offiziell vor ihrer eigenen Software.

Einen ausführlichen Bericht über den BeAthon und über die anderen dort diskutierten Sicherheitsprobleme wird Golem.de am Montag veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,65€
  2. 3,58€
  3. (-40%) 32,99€
  4. 4,32€

LinkZwoDreiVier 05. Feb 2018

Hallo, der Governikus Communicater, hat ein "Sicherheitsupdate" bekommen. Da die Firma...

M.P. 29. Jan 2018

Die Süddeutsche titelte schon vor 6 Monaten Elektronische Gesundheitskarte offenbar vor...

bombinho 29. Jan 2018

Das faengt doch schon mit simplen Dingen an, dass zum Beispiel standardmaessig...

Anonymer Nutzer 28. Jan 2018

"not inventet here" ist kein prinzip sondern ein syndrom.

bombinho 28. Jan 2018

saemtliche anwaltliche Kommunikation ueber einen Onlinekanal zu buendeln und zum Schutz...


Folgen Sie uns
       


Looking Glass Holo-Display angesehen (CES 2020)

Der Looking Glass 8K ist ein Monitor, der mittels Lichtfeldtechnologie 3D-Inhalte als Hologramm anzeigen kann. Golem.de hat sich das Display auf der CES 2020 genauer angeschaut.

Looking Glass Holo-Display angesehen (CES 2020) Video aufrufen
Programmieren lernen: Informatik-Apps für Kinder sind oft zu komplex
Programmieren lernen
Informatik-Apps für Kinder sind oft zu komplex

Der Informatikunterricht an deutschen Schulen ist in vielen Bereichen mangelhaft. Apps versprechen, Kinder beim Spielen einfach an das Thema heranzuführen. Das können sie aber bislang kaum einhalten.
Von Tarek Barkouni

  1. Kano-PC Kano und Microsoft bringen Lern-Tablet mit Windows 10

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

    •  /