Abo
  • Services:

Bundesrechtsanwaltskammer: Anwälte sollen BeA sofort deinstallieren

Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte diese so schnell wie möglich entfernen. Der BeA-Client ist von einer Java-Deserialisierungslücke betroffen, über die bösartige Webseiten Code ausführen und einen Rechner übernehmen können.

Artikel veröffentlicht am , Hanno Böck
Die BeA-Software kommt nicht zur Ruhe - jetzt empfiehlt die Bundesrechtsanwaltskammer, die bisherige Version erstmal zu deinstallieren.
Die BeA-Software kommt nicht zur Ruhe - jetzt empfiehlt die Bundesrechtsanwaltskammer, die bisherige Version erstmal zu deinstallieren. (Bild: BRAK / Collage: Hanno Böck)

Die Software für das Besondere elektronische Anwaltspostfach (BeA) hat eine weitere gravierende Sicherheitslücke, die Bundesrechtsanwaltskammer empfielt daher nun allen Anwälten, die BeA-Software zu deaktivieren. Das wurde heute im Rahmen des sogenannten BeAthon bekannt, einer Veranstaltung, zu der die Bundesrechtsanwaltskammer externe Sicherheitsexperten und Vertreter von diversen Rechtsanwaltsorganisationen eingeladen hatte. Die Lücke ist völlig unabhängig von dem Problem, das kurz vor Weihnachten zur Abschaltung des Anwaltspostfachs geführt hat.

Stellenmarkt
  1. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln
  2. Zentralinstitut für die kassenärztliche Versorgung, Berlin

Markus Drenger vom Chaos Computer Club Darmstadt erläuterte auf dem BeAthon das Problem. Demnach ist die BeA-Software von einer sogenannten Java-Deserialisierungslücke betroffen. Die Software öffnet lokal auf dem Rechner einen HTTPS-Server, zu dem auch Webseiten über Websockets eine Verbindung aufbauen können.

Java-Deserialisierungslücke ermöglicht Codeausführung

Dieser lokale HTTPS-Server verarbeitet empfangene Objekte mit der Java-Bibliothek Jackson, die von dieser Sicherheitslücke betroffen ist. Durch eine trickreiche Konstruktion einer Anfrage ist es möglich, die Software dazu zu bringen, Code auszuführen. Damit kann ein Angreifer dann nach Belieben Software auf dem Rechner des Anwalts starten und beispielsweise vorhandene Daten kopieren oder verändern.

Die Bundesrechtsanwaltskammer empfiehlt nun selbst allen Rechtsanwälten, die Software schnellstmöglich zu deinstallieren oder aus der Autostart-Funktion von Windows zu entfernen. Markus Drenger hatte nach eigenen Angaben die Rechtsanwaltskammer bereits am 20. Dezember über die Sicherheitslücke informiert.

Rechtsanwaltskammer wusste bisher nicht, wie schwerwiegend diese Lücke ist

Ein Vertreter des Vorstandes der Bundesrechtsanwaltskammer war über Drengers Darstellung überrascht. Demnach hatte Atos die Kammer nicht darüber informiert, wie schwerwiegend diese Lücke ist.

Zunächst gab es Unklarheit darüber, ob die Lücke nach wie vor aktiv ist. Die Rechtsanwaltskammer hatte noch während des BeAthon den Hersteller Atos kontaktiert. Von Atos war kein Vertreter vor Ort, die Firma hatte kurzfristig ihre Teilnahme abgesagt.

Laut Atos startet der BeA-Client überhaupt nicht, da zur Zeit das BeA-Serversystem nicht aktiv ist. Damit wäre die genannte Lücke kein Problem. Markus Drenger konnte sich aber auf einem Testsystem nach wie vor mit dem lokalen Server verbinden. Die Rechtsanwaltskammer entschied sich, auf Nummer sicher zu gehen, und warnt nun ihre Mitglieder offiziell vor ihrer eigenen Software.

Einen ausführlichen Bericht über den BeAthon und über die anderen dort diskutierten Sicherheitsprobleme wird Golem.de am Montag veröffentlichen.

Zu den Kommentaren springen
Meistgelesen
  1. Faltbares Smartphone
    Samsung sagt Start des Galaxy Fold ab
  2. SpaceX
    Dragon-Raumschiff bei Test explodiert
  3. Wissenschaft
    Kein Foto von einem schwarzen Loch
  4. Joe Armstrong
    Der Erlang-Erfinder ist gestorben
  5. Tchap
    Forscher gelingt Anmeldung im Regierungschat Frankreichs
Anzeige
Top-Angebote
  1. 59€ (Vergleichspreis 70,98€)
  2. 49€ für Prime-Mitglieder (Vergleichspreis 64,98€)
  3. 59,99€ (Vergleichspreis ca. 90€)
Kommentarübersicht
Governukus Communicater - Betroffen?
LinkZwoDreiVier 05. Feb 2018

Hallo, der Governikus Communicater, hat ein "Sicherheitsupdate" bekommen. Da die Firma...

Re: Elektronische Gesundheitskarte, Atos mit dabei
M.P. 29. Jan 2018

Die Süddeutsche titelte schon vor 6 Monaten Elektronische Gesundheitskarte offenbar vor...

Re: java is bei uns rausgeflogen lange vor flash
bombinho 29. Jan 2018

Das faengt doch schon mit simplen Dingen an, dass zum Beispiel standardmaessig...

Re: Wieso kein WOT auf Basis von GnuPG oder S...
ML82 28. Jan 2018

"not inventet here" ist kein prinzip sondern ein syndrom.

Wer hatte ueberhaupt die Idee, ...
bombinho 28. Jan 2018

saemtliche anwaltliche Kommunikation ueber einen Onlinekanal zu buendeln und zum Schutz...

Folgen Sie uns
       
Dell XPS 13 (9380) - Test

Das aktuelle XPS 13 entspricht vom Gehäuse her dem Vorgänger, allerdings sitzt die Webcam nun oberhalb des Displays und vor dem matten Panel befindet sich keine spiegelnde Scheibe mehr. Zudem fallen CPU-Geschwindigkeit und Akkulaufzeit höher aus.

Dell XPS 13 (9380) - Test Video aufrufen
AdBlocker
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

    IT-Jobs
    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet
    Auto
    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /