Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.

Eine Analyse von veröffentlicht am
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel.
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel. (Bild: Screenshot / BRAK)

Die Bundesrechtsanwaltskammer (Brak) hat ein von der Firma Secunet erstelltes Gutachten zur Sicherheit des besonderen elektronischen Anwaltspostfaches (BeA) auf ihrer Webseite veröffentlicht. Geht es nach der Brak, dann soll es jetzt ganz schnell gehen: Bereits im September soll das Anwaltspostfach wieder starten - samt Verpflichtung für Anwälte, dieses zu nutzen. Angesichts des Gutachtens muss man allerdings große Zweifel haben, ob dieser Zeitplan einzuhalten ist.

Inhalt:
  1. Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht
  2. Ungelöstes Problem mit Javascript-Code vom Server
  3. Verschlüsselung wurde nicht detailiert untersucht

Das besondere elektronische Anwaltspostfach - kurz BeA - ist ein von der Bundesrechtsanwaltskammer betriebenes Kommunikationssystem, das Nachrichten zwischen Anwälten und Gerichten sicher übermitteln soll. Geplant war eigentlich seit Anfang dieses Jahres eine Nutzungspflicht für Rechtsanwälte, doch das BeA ist nun schon ein halbes Jahr offline. Grund dafür ist eine ganze Reihe von Sicherheitslücken.

Aufgrund dieser Probleme hat die Bundesrechtsanwaltskammer (Brak) die Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA vor einer Wiederinbetriebnahme zu untersuchen. Anders als früher sollte nun auch mehr Transparenz herrschen: Mehrfach wurde versprochen, die Resultate dieser Untersuchung zu veröffentlichen.

Eine unabhängige Einschätzung ist mangels Details kaum möglich

Doch das ist nur teilweise geschehen. Das jetzt veröffentlichte Gutachten ist nur eine sehr oberflächliche Zusammenfassung der Funde von Secunet. Die eigentlichen Details wurden offenbar direkt von Secunet an die Entwickler des BeA - die Firma Atos - kommuniziert und sollen wohl nicht öffentlich gemacht werden.

Stellenmarkt
  1. Full Stack Developer (m/w/d)
    Allianz Technology SE, Stuttgart
  2. SAP Application Engineer (m/w/d)
    VTG Aktiengesellschaft, Hamburg
Detailsuche

"Es ist möglich, dass einzelne identifizierte Schwachstellen von Dritten nachvollzogen und ausgenutzt werden können, auch wenn sie bereits behoben wurden, z. B. bei nicht erfolgter Deinstallation älterer Versionen der BeA-Client-Security", schreibt Secunet dazu im Gutachten. "Außerdem könnten durch die Darstellung von detaillierten technischen Informationen Rechte Dritter verletzt werden, z. B. durch Angabe von Quellcode, oder schützenswerte Informationen aufgedeckt werden, wie z. B. IP-Adressen. Aus diesem Grund werden die Schwachstellen in diesem zur Veröffentlichung vorgesehenen Gutachten ohne Angabe von detaillierten technischen Informationen dargestellt."

Die Nichtveröffentlichung wird also damit begründet, dass dadurch Nutzer des BeA gefährdet und schützenswerte Informationen aufgedeckt werden. Ersteres klingt nach etwas, das in Fachkreisen als "Security by Obscurity" bezeichnet wird: Man versucht die Ausnutzung von Sicherheitslücken zu verhindern, indem man Informationen darüber zurückhält. Es gilt allgemein als keine gute Idee. Auch die Begründung "schützenswerte Informationen" scheint eher fragwürdig.

In der Konsequenz ist es an vielen Stellen für Fachleute praktisch unmöglich nachzuvollziehen, wie gravierend die im Gutachten beschriebenen Schwachstellen sind. Ein Beispiel: An einer Stelle ist davon die Rede, dass bei Verschlüsselungsoperationen unsichere Padding-Algorithmen verwendet werden. Dabei wird allerdings weder erläutert, an welcher Stelle diese Verschlüsselung verwendet wird, noch, um welche Algorithmen es sich handelt.

Es gibt eine ganze Reihe von Padding-basierten Angriffen in der Kryptographie, die aber sehr unterschiedlich funktionieren. Eine von Golem.de im April entdeckte Lücke im zum BeA gehörenden Bundesrechtsanwaltsverzeichnis war die Möglichkeit eines sogenannten Padding-Oracle-Angriffs - der hätte dazu führen können, dass beliebiger Code auf dem entsprechenden Server ausgeführt wird und damit beispielsweise Inhalte des Anwaltsverzeichnisses manipuliert werden.

Ob die von Secunet gefundenen Probleme ähnlich gravierend sind, lässt sich kaum beurteilen, da keinerlei Details geliefert werden. Ähnliches findet sich an vielen Stellen im Gutachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ungelöstes Problem mit Javascript-Code vom Server 
  1. 1
  2. 2
  3. 3
  4.  


intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. EU Chips Act: Voll daneben ist auch vorbei
    EU Chips Act
    Voll daneben ist auch vorbei

    Im Dezember könnte sich die EU auf einen Chips Act zur Förderung der Halbleiterindustrie einigen, der bisher komplett am Ziel vorbei plant. Worauf sich die Branche und ihre Kunden gefasst machen müssen.
    Eine Analyse von Gerd Mischler

  2. Anniversary Celebration angespielt: Atari hat mal wieder etwas richtig Tolles gemacht
    Anniversary Celebration angespielt
    Atari hat mal wieder etwas richtig Tolles gemacht

    Der Spielehersteller Atari hat die wunderbare Sammlung Anniversary Celebration veröffentlicht - für alle Plattformen.
    Von Peter Steinlechner

  3. Nordamerika: Tesla gibt Autopilot-Betaversion für alle Fahrer frei
    Nordamerika
    Tesla gibt Autopilot-Betaversion für alle Fahrer frei

    Die Zugriffsbeschränkung für den Full-Self-Driving-Modus des Autopiloten von Tesla gilt nicht mehr. Alle Kunden in Nordamerika können ihn nun nutzen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, Media Markt & Saturn • Microsoft Week • Gaming-Monitore MSI, Acer & Co. bis zu -36% • Samsung SSDs intern/extern bis zu -60% • Tiefstpreise: Microsoft Xbox/PC-Controller 34,99€, LG OLED TV (2022) 65" 1.199€ [Werbung]
    •  /