Abo
  • Services:

Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.

Eine Analyse von Hanno Böck veröffentlicht am
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel.
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel. (Bild: Screenshot / BRAK)

Die Bundesrechtsanwaltskammer (Brak) hat ein von der Firma Secunet erstelltes Gutachten zur Sicherheit des besonderen elektronischen Anwaltspostfaches (BeA) auf ihrer Webseite veröffentlicht. Geht es nach der Brak, dann soll es jetzt ganz schnell gehen: Bereits im September soll das Anwaltspostfach wieder starten - samt Verpflichtung für Anwälte, dieses zu nutzen. Angesichts des Gutachtens muss man allerdings große Zweifel haben, ob dieser Zeitplan einzuhalten ist.

Inhalt:
  1. Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht
  2. Ungelöstes Problem mit Javascript-Code vom Server
  3. Verschlüsselung wurde nicht detailiert untersucht

Das besondere elektronische Anwaltspostfach - kurz BeA - ist ein von der Bundesrechtsanwaltskammer betriebenes Kommunikationssystem, das Nachrichten zwischen Anwälten und Gerichten sicher übermitteln soll. Geplant war eigentlich seit Anfang dieses Jahres eine Nutzungspflicht für Rechtsanwälte, doch das BeA ist nun schon ein halbes Jahr offline. Grund dafür ist eine ganze Reihe von Sicherheitslücken.

Aufgrund dieser Probleme hat die Bundesrechtsanwaltskammer (Brak) die Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA vor einer Wiederinbetriebnahme zu untersuchen. Anders als früher sollte nun auch mehr Transparenz herrschen: Mehrfach wurde versprochen, die Resultate dieser Untersuchung zu veröffentlichen.

Eine unabhängige Einschätzung ist mangels Details kaum möglich

Doch das ist nur teilweise geschehen. Das jetzt veröffentlichte Gutachten ist nur eine sehr oberflächliche Zusammenfassung der Funde von Secunet. Die eigentlichen Details wurden offenbar direkt von Secunet an die Entwickler des BeA - die Firma Atos - kommuniziert und sollen wohl nicht öffentlich gemacht werden.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg
  2. über duerenhoff GmbH, Mainz

"Es ist möglich, dass einzelne identifizierte Schwachstellen von Dritten nachvollzogen und ausgenutzt werden können, auch wenn sie bereits behoben wurden, z. B. bei nicht erfolgter Deinstallation älterer Versionen der BeA-Client-Security", schreibt Secunet dazu im Gutachten. "Außerdem könnten durch die Darstellung von detaillierten technischen Informationen Rechte Dritter verletzt werden, z. B. durch Angabe von Quellcode, oder schützenswerte Informationen aufgedeckt werden, wie z. B. IP-Adressen. Aus diesem Grund werden die Schwachstellen in diesem zur Veröffentlichung vorgesehenen Gutachten ohne Angabe von detaillierten technischen Informationen dargestellt."

Die Nichtveröffentlichung wird also damit begründet, dass dadurch Nutzer des BeA gefährdet und schützenswerte Informationen aufgedeckt werden. Ersteres klingt nach etwas, das in Fachkreisen als "Security by Obscurity" bezeichnet wird: Man versucht die Ausnutzung von Sicherheitslücken zu verhindern, indem man Informationen darüber zurückhält. Es gilt allgemein als keine gute Idee. Auch die Begründung "schützenswerte Informationen" scheint eher fragwürdig.

In der Konsequenz ist es an vielen Stellen für Fachleute praktisch unmöglich nachzuvollziehen, wie gravierend die im Gutachten beschriebenen Schwachstellen sind. Ein Beispiel: An einer Stelle ist davon die Rede, dass bei Verschlüsselungsoperationen unsichere Padding-Algorithmen verwendet werden. Dabei wird allerdings weder erläutert, an welcher Stelle diese Verschlüsselung verwendet wird, noch, um welche Algorithmen es sich handelt.

Es gibt eine ganze Reihe von Padding-basierten Angriffen in der Kryptographie, die aber sehr unterschiedlich funktionieren. Eine von Golem.de im April entdeckte Lücke im zum BeA gehörenden Bundesrechtsanwaltsverzeichnis war die Möglichkeit eines sogenannten Padding-Oracle-Angriffs - der hätte dazu führen können, dass beliebiger Code auf dem entsprechenden Server ausgeführt wird und damit beispielsweise Inhalte des Anwaltsverzeichnisses manipuliert werden.

Ob die von Secunet gefundenen Probleme ähnlich gravierend sind, lässt sich kaum beurteilen, da keinerlei Details geliefert werden. Ähnliches findet sich an vielen Stellen im Gutachten.

Ungelöstes Problem mit Javascript-Code vom Server 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 23,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 14,99€ + 1,99€ Versand oder Abholung im Markt

intnotnull12 24. Jun 2018 / Themenstart

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018 / Themenstart

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018 / Themenstart

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hannob (golem.de) 22. Jun 2018 / Themenstart

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.

Kommentieren


Folgen Sie uns
       


Alt gegen neu - Model M im Test

Das US-Unternehmen Unicomp bietet Tastaturen mit Buckling-Spring-Schalter an - so wie sie einst bei IBMs Model-M-Modellen verwendet wurden. Die Kunststoffteile sind zwar nicht so hochwertig wie die des Originals, die neuen Model Ms sind aber dennoch sehr gute Tastaturen.

Alt gegen neu - Model M im Test Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

    •  /