• IT-Karriere:
  • Services:

Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.

Eine Analyse von Hanno Böck veröffentlicht am
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel.
Wenn es nach der Bundesrechtsanwaltskammer geht, kommt das BeA bald und ist sicher. Wir haben da noch Zweifel. (Bild: Screenshot / BRAK)

Die Bundesrechtsanwaltskammer (Brak) hat ein von der Firma Secunet erstelltes Gutachten zur Sicherheit des besonderen elektronischen Anwaltspostfaches (BeA) auf ihrer Webseite veröffentlicht. Geht es nach der Brak, dann soll es jetzt ganz schnell gehen: Bereits im September soll das Anwaltspostfach wieder starten - samt Verpflichtung für Anwälte, dieses zu nutzen. Angesichts des Gutachtens muss man allerdings große Zweifel haben, ob dieser Zeitplan einzuhalten ist.

Inhalt:
  1. Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht
  2. Ungelöstes Problem mit Javascript-Code vom Server
  3. Verschlüsselung wurde nicht detailiert untersucht

Das besondere elektronische Anwaltspostfach - kurz BeA - ist ein von der Bundesrechtsanwaltskammer betriebenes Kommunikationssystem, das Nachrichten zwischen Anwälten und Gerichten sicher übermitteln soll. Geplant war eigentlich seit Anfang dieses Jahres eine Nutzungspflicht für Rechtsanwälte, doch das BeA ist nun schon ein halbes Jahr offline. Grund dafür ist eine ganze Reihe von Sicherheitslücken.

Aufgrund dieser Probleme hat die Bundesrechtsanwaltskammer (Brak) die Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA vor einer Wiederinbetriebnahme zu untersuchen. Anders als früher sollte nun auch mehr Transparenz herrschen: Mehrfach wurde versprochen, die Resultate dieser Untersuchung zu veröffentlichen.

Eine unabhängige Einschätzung ist mangels Details kaum möglich

Doch das ist nur teilweise geschehen. Das jetzt veröffentlichte Gutachten ist nur eine sehr oberflächliche Zusammenfassung der Funde von Secunet. Die eigentlichen Details wurden offenbar direkt von Secunet an die Entwickler des BeA - die Firma Atos - kommuniziert und sollen wohl nicht öffentlich gemacht werden.

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler bei Köln
  2. Team GmbH, Paderborn

"Es ist möglich, dass einzelne identifizierte Schwachstellen von Dritten nachvollzogen und ausgenutzt werden können, auch wenn sie bereits behoben wurden, z. B. bei nicht erfolgter Deinstallation älterer Versionen der BeA-Client-Security", schreibt Secunet dazu im Gutachten. "Außerdem könnten durch die Darstellung von detaillierten technischen Informationen Rechte Dritter verletzt werden, z. B. durch Angabe von Quellcode, oder schützenswerte Informationen aufgedeckt werden, wie z. B. IP-Adressen. Aus diesem Grund werden die Schwachstellen in diesem zur Veröffentlichung vorgesehenen Gutachten ohne Angabe von detaillierten technischen Informationen dargestellt."

Die Nichtveröffentlichung wird also damit begründet, dass dadurch Nutzer des BeA gefährdet und schützenswerte Informationen aufgedeckt werden. Ersteres klingt nach etwas, das in Fachkreisen als "Security by Obscurity" bezeichnet wird: Man versucht die Ausnutzung von Sicherheitslücken zu verhindern, indem man Informationen darüber zurückhält. Es gilt allgemein als keine gute Idee. Auch die Begründung "schützenswerte Informationen" scheint eher fragwürdig.

In der Konsequenz ist es an vielen Stellen für Fachleute praktisch unmöglich nachzuvollziehen, wie gravierend die im Gutachten beschriebenen Schwachstellen sind. Ein Beispiel: An einer Stelle ist davon die Rede, dass bei Verschlüsselungsoperationen unsichere Padding-Algorithmen verwendet werden. Dabei wird allerdings weder erläutert, an welcher Stelle diese Verschlüsselung verwendet wird, noch, um welche Algorithmen es sich handelt.

Es gibt eine ganze Reihe von Padding-basierten Angriffen in der Kryptographie, die aber sehr unterschiedlich funktionieren. Eine von Golem.de im April entdeckte Lücke im zum BeA gehörenden Bundesrechtsanwaltsverzeichnis war die Möglichkeit eines sogenannten Padding-Oracle-Angriffs - der hätte dazu führen können, dass beliebiger Code auf dem entsprechenden Server ausgeführt wird und damit beispielsweise Inhalte des Anwaltsverzeichnisses manipuliert werden.

Ob die von Secunet gefundenen Probleme ähnlich gravierend sind, lässt sich kaum beurteilen, da keinerlei Details geliefert werden. Ähnliches findet sich an vielen Stellen im Gutachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ungelöstes Problem mit Javascript-Code vom Server 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hannob (golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


    Coronakrise: Hardware-Industrie auf dem Weg der Besserung
    Coronakrise
    Hardware-Industrie auf dem Weg der Besserung

    Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
    Ein Bericht von Marc Sauter

    1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
    2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

      •  /