Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.

Eine Analyse von veröffentlicht am
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel.
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel. (Bild: Screenshot / BRAK)

Die Bundesrechtsanwaltskammer (Brak) hat ein von der Firma Secunet erstelltes Gutachten zur Sicherheit des besonderen elektronischen Anwaltspostfaches (BeA) auf ihrer Webseite veröffentlicht. Geht es nach der Brak, dann soll es jetzt ganz schnell gehen: Bereits im September soll das Anwaltspostfach wieder starten - samt Verpflichtung für Anwälte, dieses zu nutzen. Angesichts des Gutachtens muss man allerdings große Zweifel haben, ob dieser Zeitplan einzuhalten ist.

Inhalt:
  1. Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht
  2. Ungelöstes Problem mit Javascript-Code vom Server
  3. Verschlüsselung wurde nicht detailiert untersucht

Das besondere elektronische Anwaltspostfach - kurz BeA - ist ein von der Bundesrechtsanwaltskammer betriebenes Kommunikationssystem, das Nachrichten zwischen Anwälten und Gerichten sicher übermitteln soll. Geplant war eigentlich seit Anfang dieses Jahres eine Nutzungspflicht für Rechtsanwälte, doch das BeA ist nun schon ein halbes Jahr offline. Grund dafür ist eine ganze Reihe von Sicherheitslücken.

Aufgrund dieser Probleme hat die Bundesrechtsanwaltskammer (Brak) die Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA vor einer Wiederinbetriebnahme zu untersuchen. Anders als früher sollte nun auch mehr Transparenz herrschen: Mehrfach wurde versprochen, die Resultate dieser Untersuchung zu veröffentlichen.

Eine unabhängige Einschätzung ist mangels Details kaum möglich

Doch das ist nur teilweise geschehen. Das jetzt veröffentlichte Gutachten ist nur eine sehr oberflächliche Zusammenfassung der Funde von Secunet. Die eigentlichen Details wurden offenbar direkt von Secunet an die Entwickler des BeA - die Firma Atos - kommuniziert und sollen wohl nicht öffentlich gemacht werden.

"Es ist möglich, dass einzelne identifizierte Schwachstellen von Dritten nachvollzogen und ausgenutzt werden können, auch wenn sie bereits behoben wurden, z. B. bei nicht erfolgter Deinstallation älterer Versionen der BeA-Client-Security", schreibt Secunet dazu im Gutachten. "Außerdem könnten durch die Darstellung von detaillierten technischen Informationen Rechte Dritter verletzt werden, z. B. durch Angabe von Quellcode, oder schützenswerte Informationen aufgedeckt werden, wie z. B. IP-Adressen. Aus diesem Grund werden die Schwachstellen in diesem zur Veröffentlichung vorgesehenen Gutachten ohne Angabe von detaillierten technischen Informationen dargestellt."

Die Nichtveröffentlichung wird also damit begründet, dass dadurch Nutzer des BeA gefährdet und schützenswerte Informationen aufgedeckt werden. Ersteres klingt nach etwas, das in Fachkreisen als "Security by Obscurity" bezeichnet wird: Man versucht die Ausnutzung von Sicherheitslücken zu verhindern, indem man Informationen darüber zurückhält. Es gilt allgemein als keine gute Idee. Auch die Begründung "schützenswerte Informationen" scheint eher fragwürdig.

In der Konsequenz ist es an vielen Stellen für Fachleute praktisch unmöglich nachzuvollziehen, wie gravierend die im Gutachten beschriebenen Schwachstellen sind. Ein Beispiel: An einer Stelle ist davon die Rede, dass bei Verschlüsselungsoperationen unsichere Padding-Algorithmen verwendet werden. Dabei wird allerdings weder erläutert, an welcher Stelle diese Verschlüsselung verwendet wird, noch, um welche Algorithmen es sich handelt.

Es gibt eine ganze Reihe von Padding-basierten Angriffen in der Kryptographie, die aber sehr unterschiedlich funktionieren. Eine von Golem.de im April entdeckte Lücke im zum BeA gehörenden Bundesrechtsanwaltsverzeichnis war die Möglichkeit eines sogenannten Padding-Oracle-Angriffs - der hätte dazu führen können, dass beliebiger Code auf dem entsprechenden Server ausgeführt wird und damit beispielsweise Inhalte des Anwaltsverzeichnisses manipuliert werden.

Ob die von Secunet gefundenen Probleme ähnlich gravierend sind, lässt sich kaum beurteilen, da keinerlei Details geliefert werden. Ähnliches findet sich an vielen Stellen im Gutachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ungelöstes Problem mit Javascript-Code vom Server 
  1. 1
  2. 2
  3. 3
  4.  


intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.



Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /