Original-URL des Artikels: https://www.golem.de/news/bundesrechtsanwaltskammer-bea-bleibt-vorerst-offline-1712-131863.html    Veröffentlicht: 27.12.2017 11:16    Kurz-URL: https://glm.io/131863

Bundesrechtsanwaltskammer

BeA bleibt vorerst offline

Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein.

Die Bundesrechtsanwaltskammer wird das besondere elektronische Anwaltspostfach (BeA) vorerst nicht wieder online nehmen. Das teilte die Kammer auf ihrer Webseite mit. Was das für Rechtsanwälte bedeutet, ist unklar - denn eigentlich sind diese verpflichtet, ab 1. Januar 2018 Nachrichten über das Anwaltspostfach zu empfangen.

Golem.de hatte am Samstag vor Heiligabend aufgedeckt, dass ein Zertifikat, das sich Nutzer des Systems installieren sollten, ein gravierendes Sicherheitsrisiko darstellt. Weil das Zertifikat die Ausstellung von Unterzertifikaten erlaubt und der private Schlüssel Teil der Software ist, kann ein Angreifer damit nach Belieben Man-in-the-Middle-Angriffe auf HTTPS-Verbindungen der Nutzer durchführen.



Erst sicheren Zugang gewährleisten

"Es handelt sich um ein Zugangs- beziehungsweise Verbindungsproblem, das der Technologieentwickler des BeA-Systems trotz intensiver Arbeiten bislang nicht gelöst hat", schreibt die Bundesrechtsanwaltskammer (Brak) dazu. Die Kammer "wird daher das BeA-System erst wieder bereitstellen, wenn der technologische Dienstleister die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat."

Weiterhin heißt es: "Allen Rechtsanwältinnen und Rechtsanwälten, die entsprechend der ursprünglichen Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installierten, rät die Brak dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen." Das hatte Golem.de bereits am Samstag empfohlen. Nach wie vor können betroffene Nutzer mittels unseres Online-Checks prüfen, ob sie das Zertifikat noch installiert haben.

Wir hatten die Bundesrechtsanwaltskammer bereits am Samstag um eine Stellungnahme gebeten. Bisher hat sich die Kammer nicht bei Golem.de gemeldet.  (hab)


Verwandte Artikel:
Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht   
(18.06.2018, https://glm.io/134984 )
BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet   
(13.04.2018, https://glm.io/133825 )
BeA: Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen   
(20.03.2018, https://glm.io/133399 )
Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator   
(14.05.2018, https://glm.io/134355 )
Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"   
(20.06.2018, https://glm.io/135053 )

© 1997–2019 Golem.de, https://www.golem.de/