• IT-Karriere:
  • Services:

Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.

Eine Analyse von Hanno Böck veröffentlicht am
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel.
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel. (Bild: Screenshot / BRAK)

Die Bundesrechtsanwaltskammer (Brak) hat ein von der Firma Secunet erstelltes Gutachten zur Sicherheit des besonderen elektronischen Anwaltspostfaches (BeA) auf ihrer Webseite veröffentlicht. Geht es nach der Brak, dann soll es jetzt ganz schnell gehen: Bereits im September soll das Anwaltspostfach wieder starten - samt Verpflichtung für Anwälte, dieses zu nutzen. Angesichts des Gutachtens muss man allerdings große Zweifel haben, ob dieser Zeitplan einzuhalten ist.

Inhalt:
  1. Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht
  2. Ungelöstes Problem mit Javascript-Code vom Server
  3. Verschlüsselung wurde nicht detailiert untersucht

Das besondere elektronische Anwaltspostfach - kurz BeA - ist ein von der Bundesrechtsanwaltskammer betriebenes Kommunikationssystem, das Nachrichten zwischen Anwälten und Gerichten sicher übermitteln soll. Geplant war eigentlich seit Anfang dieses Jahres eine Nutzungspflicht für Rechtsanwälte, doch das BeA ist nun schon ein halbes Jahr offline. Grund dafür ist eine ganze Reihe von Sicherheitslücken.

Aufgrund dieser Probleme hat die Bundesrechtsanwaltskammer (Brak) die Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA vor einer Wiederinbetriebnahme zu untersuchen. Anders als früher sollte nun auch mehr Transparenz herrschen: Mehrfach wurde versprochen, die Resultate dieser Untersuchung zu veröffentlichen.

Eine unabhängige Einschätzung ist mangels Details kaum möglich

Doch das ist nur teilweise geschehen. Das jetzt veröffentlichte Gutachten ist nur eine sehr oberflächliche Zusammenfassung der Funde von Secunet. Die eigentlichen Details wurden offenbar direkt von Secunet an die Entwickler des BeA - die Firma Atos - kommuniziert und sollen wohl nicht öffentlich gemacht werden.

Stellenmarkt
  1. Kunststoff Christel GmbH & Co. KG, Bad Dürrheim im Schwarzwald
  2. Allianz Deutschland AG, Stuttgart

"Es ist möglich, dass einzelne identifizierte Schwachstellen von Dritten nachvollzogen und ausgenutzt werden können, auch wenn sie bereits behoben wurden, z. B. bei nicht erfolgter Deinstallation älterer Versionen der BeA-Client-Security", schreibt Secunet dazu im Gutachten. "Außerdem könnten durch die Darstellung von detaillierten technischen Informationen Rechte Dritter verletzt werden, z. B. durch Angabe von Quellcode, oder schützenswerte Informationen aufgedeckt werden, wie z. B. IP-Adressen. Aus diesem Grund werden die Schwachstellen in diesem zur Veröffentlichung vorgesehenen Gutachten ohne Angabe von detaillierten technischen Informationen dargestellt."

Die Nichtveröffentlichung wird also damit begründet, dass dadurch Nutzer des BeA gefährdet und schützenswerte Informationen aufgedeckt werden. Ersteres klingt nach etwas, das in Fachkreisen als "Security by Obscurity" bezeichnet wird: Man versucht die Ausnutzung von Sicherheitslücken zu verhindern, indem man Informationen darüber zurückhält. Es gilt allgemein als keine gute Idee. Auch die Begründung "schützenswerte Informationen" scheint eher fragwürdig.

In der Konsequenz ist es an vielen Stellen für Fachleute praktisch unmöglich nachzuvollziehen, wie gravierend die im Gutachten beschriebenen Schwachstellen sind. Ein Beispiel: An einer Stelle ist davon die Rede, dass bei Verschlüsselungsoperationen unsichere Padding-Algorithmen verwendet werden. Dabei wird allerdings weder erläutert, an welcher Stelle diese Verschlüsselung verwendet wird, noch, um welche Algorithmen es sich handelt.

Es gibt eine ganze Reihe von Padding-basierten Angriffen in der Kryptographie, die aber sehr unterschiedlich funktionieren. Eine von Golem.de im April entdeckte Lücke im zum BeA gehörenden Bundesrechtsanwaltsverzeichnis war die Möglichkeit eines sogenannten Padding-Oracle-Angriffs - der hätte dazu führen können, dass beliebiger Code auf dem entsprechenden Server ausgeführt wird und damit beispielsweise Inhalte des Anwaltsverzeichnisses manipuliert werden.

Ob die von Secunet gefundenen Probleme ähnlich gravierend sind, lässt sich kaum beurteilen, da keinerlei Details geliefert werden. Ähnliches findet sich an vielen Stellen im Gutachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ungelöstes Problem mit Javascript-Code vom Server 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 19,99
  2. (-80%) 9,99€
  3. 2,49€

intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hannob (golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.


Folgen Sie uns
       


Apple iPad 7 - Fazit

Apples neues iPad 7 richtet sich an Nutzer im Einsteigerbereich. Im Test von Golem.de schneidet das Tablet aufgrund seines Preis-Leistungs-Verhältnisses sehr gut ab.

Apple iPad 7 - Fazit Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

    •  /