Original-URL des Artikels: https://www.golem.de/news/anwaltspostfach-bea-geheimhaltung-von-nachrichten-ist-nicht-so-wichtig-1809-136488.html    Veröffentlicht: 10.09.2018 14:32    Kurz-URL: https://glm.io/136488

Anwaltspostfach BeA

Geheimhaltung von Nachrichten ist nicht so wichtig

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Seit einer Woche läuft es wieder, das besondere elektronische Anwaltspostfach (BeA). Doch ein schwerwiegendes Sicherheitsproblem, auf das in einem von der Bundesrechtsanwaltskammer (Brak) selbst in Auftrag gegebenen Gutachten hingewiesen wurde, besteht weiterhin. Die Brak hat uns inzwischen eine Erklärung zukommen lassen, warum sie der Ansicht ist, dass das BeA trotzdem sicher ist. Die dürfte einige Anwälte überraschen, denn sie bedeutet wohl, dass man in BeA-Nachrichten keine sensiblen Informationen übertragen darf.

Beim BeA werden Nachrichten verschlüsselt - und diese Verschlüsselung soll auch vor einem Innentäter schützen. So soll gewährleistet sein, dass Nachrichten auf dem BeA-Server immer nur verschlüsselt vorliegen. Auf den Servern findet eine sogenannte "Umschlüsselung" in einem Hardware-Sicherheitsmodul (HSM) statt, was auch viel Kritik hervorgerufen hat, doch außerhalb dieses Sicherheitsmoduls sollten die Nachrichten nur verschlüsselt vorliegen. Auch ein Innentäter sollte demnach die Nachrichten nicht mitlesen können, solange das HSM nicht angegriffen wurde.

Webanwendung kann mitlesen

Doch hier gibt es ein grundlegendes Problem: Das BeA ist als Webanwendung realisiert, nur die eigentliche Verschlüsselung und die Kommunikation mit einer persönlichen Chipkarte sind in der lokalen BeA-Software realisiert. Somit gibt es einen geradezu trivialen Angriff: Wer die Webanwendung manipuliert, kann dort geschriebene Nachrichten nach Belieben an andere Stellen schicken.

Dieses Problem hat auch die Firma Secunet erkannt, die im Auftrag der Brak die Sicherheit des BeA untersucht hat: "Ein Innentäter kann diesen Code mit der Absicht modifizieren, Nachrichten beim Versenden unverschlüsselt in eine beliebige Richtung zu versenden", schreibt Secunet dazu in einem Gutachten und klassifiziert diese Lücke als "Kategorie A", also als besonders schwerwiegend.

Lösen ließe sich dieses Problem nur, wenn man grundlegend die Architektur des BeA neu gestaltet. Doch die Brak wollte nach den vielen Pannen der vergangenen Monate einen schnellen Neustart - eine faktische Neuentwicklung fiel damit aus. Gleichzeitig hatte die Brak versichert, dass es keine Wiederinbetriebnahme des BeA geben wird, solange nicht alle Sicherheitslücken der Kategorie A behoben sind. Ein kaum auflösbarer Widerspruch.

Aus einer Lücke der Kategorie A wird eine der Kategorie B

Die Brak löste dieses Problem nun auf eine ganz besondere Art. Sie änderte einfach die Klassifizierung der Lücke - aus einem Problem der Kategorie A wurde nun eins der Kategorie B. Das wurde, wie aus einem auf der Webseite der Rechtsanwaltskammer Berlin veröffentlichten Bericht hervorgeht, auf einer Präsidentenkonferenz der Bundesrechtsanwaltskammer am 27. Juni so besprochen.

Die Brak begründet die Neuklassifizierung dieser Lücke nun damit, dass die Webanwendung auf die Anhänge der Nachrichten keinen Zugriff hat. Denn diese werden durch einen speziellen Auswahldialog hinzugefügt, dessen Fenster von der BeA-Software selbst geöffnet wird. Eine Webanwendung kann dieses Fenster so nicht nachbilden.

"Schutzbedarf des Nachrichtentextes deutlich geringer"

"Nur der begleitende Nachrichtentext, welcher für Hinweise an den Empfänger genutzt werden kann, wird im Klartext mittelbar in die JavaScript-Komponente übermittelt bzw. mit ihrer Hilfe erzeugt", schreibt Brak-Pressesprecherin Stephanie Beyrich dazu. "Die relevanten Schriftsätze gegebenenfalls nebst Anlagen werden im Gegensatz dazu als Anhänge zur Nachricht im beA beigefügt. Der Schutzbedarf des begleitenden Nachrichtentextes ist hinsichtlich Vertraulichkeit aus fachlicher Sicht als deutlich geringer als der Schutzbedarf der Anhänge einzustufen. Denn die dem Mandatsgeheimnis unterliegenden Inhalte sind in den verschlüsselten Anhängen enthalten."

Keine sensiblen Informationen im Betreff und im Nachrichtentext

Im Klartext: Die Brak geht davon aus, dass sämtliche sensiblen Informationen im BeA nur in Nachrichtenanhängen verschickt werden dürfen. Weder der Inhalt der Nachricht noch deren Betreff dürfen demnach Informationen enthalten, die potenziell dem Mandatsgeheimnis unterliegen. Das dürfte den wenigsten Anwälten bisher klar sein. Selbst simple Aussagen wie etwa die, dass eine Person eine andere verklagt, können bereits schützenswerte Informationen sein.

Secunet hat laut Brak geprüft, dass die Webanwendung an keiner Stelle Zugriff auf die unverschlüsselten Nachrichtenanhänge hat. Doch selbst wenn man dieser fragwürdigen Begründung folgt, ergibt sich ein weiteres Problem. Auch wenn die Webanwendung die Nachrichtenanhänge nicht direkt auslesen kann, so kann sie doch kontrollieren, an wen diese geschickt werden.

Ein Innentäter könnte die Webanwendung also so manipulieren, dass manchen Nachrichten einfach noch ein weiterer Empfänger hinzugefügt wird, ohne dass dies in der Oberfläche sichtbar ist. Im Dateiauswahldialog, der von der BeA-Anwendung geöffnet wird, ist der Empfänger nicht zu sehen. Wir haben die Brak zu diesem Problem um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten.

Ein Innentäter hat also in jedem Fall die Möglichkeit, die Inhalte von Nachrichten mitzulesen. Auf die Anhänge kann er vermutlich über Umwege ebenfalls zugreifen.

Uralt-Verschlüsselung macht BeA verwundbar für Efail

Ein weiteres Problem, das wir in unserem Bericht vergangene Woche bereits angesprochen hatten, hat die Brak uns inzwischen bestätigt: Die BeA-Anwendung verwendet XML-Verschlüsselung mit dem CBC-Verfahren und ohne Authentifizierung. Diese Konstruktion ist Teil des sogenannten OSCI-Standards, der aus dem Jahr 2002 stammt.

Diese Uralt-Verschlüsselung ist ebenfalls ein Problem. Denn damit ist das BeA anfällig für die Efail-Sicherheitslücke, die im Frühjahr dieses Jahres publiziert wurde und die Mailverschlüsselungsverfahren S/MIME und PGP angreifbar macht. Die genauen Details hängen von den verwendeten Dateiformaten ab, aber hier ist es für einen Innentäter vermutlich möglich, eine Nachricht so zu manipulieren, dass sie den verschlüsselten Inhalt an Dritte weiterschickt.

Bei Secunet hatte man dieses Problem offenbar überhaupt nicht auf dem Schirm, zumindest ist im Gutachten davon nichts zu lesen. Theoretisch könnte man OSCI auch mit dem sichereren GCM-Verfahren nutzen. "Die Umstellung des beA auf den GCM-Modus an der OSCI-Schnittstelle erfolgt in einem geordneten Verfahren im EGVP-Verbund unter Steuerung des EGVP-Projektbüros und ist aktuell noch nicht vollzogen", schreibt uns die Brak dazu.  (hab)


Verwandte Artikel:
BeA: Das Anwaltspostfach kommt mit Sicherheitslücken   
(03.09.2018, https://glm.io/136346 )
Ende-zu-Ende-Verschlüsselung: Klage gegen Anwaltspostfach eingereicht   
(18.06.2018, https://glm.io/134984 )
Bundesrechtsanwaltskammer: Sicherheitsgutachten zum Anwaltspostfach enttäuscht   
(22.06.2018, https://glm.io/135104 )
Verschlüsselung: NSA-Chiffre Speck fliegt aus dem Linux-Kernel   
(05.09.2018, https://glm.io/136402 )
BeA: Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen   
(20.03.2018, https://glm.io/133399 )

© 1997–2019 Golem.de, https://www.golem.de/