Besonderes elektronisches Anwaltspostfach

Vor dem Anwaltsgerichtshof in Berlin fand heute die erste Verhandlung zu einer Klage statt, bei der Rechtsanwälte eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen wollen. Das Gericht sieht aber noch viel Klärungsbedarf.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Golem.de-Wochenrückblick Ein Loch im Sojus-Raumschiff wird gestopft und der Schuldige gesucht. Löcher im Anwaltspostfach bleiben dagegen offen. Und Daimler schließt mit seinem neuen E-Auto nicht ganz die Lücke zur Konkurrenz.

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.
Von Hanno Böck

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.
Eine Analyse von Hanno Böck

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusiv-Meldung von Hanno Böck

Aus einem Schreiben der Bundesrechtsanwaltskammer geht hervor, dass bei einem Sicherheitsaudit des BeA-Systems noch mehr Sicherheitslücken gefunden wurden. Die Sicherheitsüberprüfung soll Mitte Mai abgeschlossen sein und dann auch veröffentlicht werden.

Wenn ein Anwalt per Elektronischem Gerichts- und Verwaltungspostfach (EGVP) eine Klage einreicht, reicht eine automatische Empfangsbestätigung aus, auch wenn die Daten aus technischen Gründen nicht ankommen. Die Bundesrechtsanwaltskammer empfiehlt aber trotzdem das Ausdrucken von Fehlermeldungen.

Das besondere elektronische Anwaltspostfach (BeA) lässt weiter auf sich warten. Jetzt fordern Anwälte, dass das System nur mit einer Ende-zu-Ende-Verschlüsselung online gehen darf - und wollen das auch einklagen.
Von Hanno Böck

Im Digitalisierungskapital des Koalitionsvertrags ist 100-mal von "werden" und 76-mal von "wollen" die Rede. Im Vergleich zu 2013 haben Union und SPD aus einigen Fehlern gelernt.
Eine Analyse von Friedhelm Greis

Golem.de-Wochenrückblick Während Deutsche Telekom und Bundesnetzagentur weiter um Stream On streiten, sind wir auf der Spielwarenmesse unterwegs - und spielen in der Redaktion mit Spyware.

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.
Ein Bericht von Hanno Böck

Wer die Software für das Besondere elektronische Anwaltspostfach installiert hat, sollte diese so schnell wie möglich entfernen. Der BeA-Client ist von einer Java-Deserialisierungslücke betroffen, über die bösartige Webseiten Code ausführen und einen Rechner übernehmen können.

Beim besonderen elektronischen Anwaltspostfach wird angeblich eine Ende-zu-Ende-Verschlüsselung eingesetzt - dabei sind die privaten Schlüssel nicht in der Hand der Nutzer, sondern in einem Hardware Security Module gespeichert. Wir erklären, wie es besser gehen würde.
Von Hanno Böck

Die Bundesrechtsanwaltskammer will im Rahmen einer Veranstaltung namens BeAthon die Sicherheitsprobleme des Besonderen elektronischen Anwaltspostfachs diskutieren. Doch der Hersteller Atos will nicht teilnehmen.

Ursprünglich sollte das Elektronische Gerichts- und Verwaltungspostfach (EGVP) Mitte Februar abgeschaltet werden. Das Debakel um das Besondere elektronische Anwaltspostfach (BeA) zwingt jedoch zum Umdenken.

Anwälten, die das besondere elektronische Anwaltspostfach BeA nicht nutzen wollen, will der Kanzleizulieferer Soldan einen besonderen Service bieten: Sie sollen sich nicht selbst um Einrichtung und Abholung kümmern, sondern die Nachrichten ausgedruckt und per Briefpost zugestellt bekommen. Das ist kurios - und mit Risiken verbunden.
Von Hauke Gierow

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.
Von Hanno Böck

Der Client für das Elektronische Gerichts- und Verwaltungspostfach hat ausgedient. Die Software kann nur noch kurze Zeit verwendet werden. Grund ist teilweise das besondere elektronische Anwaltspostfach, das kürzlich mit Sicherheitslücken aufgefallen ist.

Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein.
Von Hanno Böck

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
Von Hanno Böck

Das Elektronische Gerichts- und Verwaltungspostfach (EGVP) arbeitet demnächst mit einer gekapselten Version von Java. Damit löst das Oberverwaltungsgericht Münster für Anwälte, Bundes- und Landesgerichte einige Probleme, denn bisher kümmerte sich das OVG nur unzureichend um die Sicherheit seiner Nutzer.

Oracle hat das Critical Patch Update für Januar 2009 freigegeben. Darin sind 41 Patches enthalten, die Sicherheitsprobleme in der Oracle-Palette beheben.

Oracles Patchpaket für den Oktober 2008 enthält 36 Updates. Betroffen sind Produkte quer durch das Angebot von Oracle. Auch ein Patch für einen kritischen Fehler im Weblogic-Server ist enthalten.

Oracle hat eine Sicherheitswarnung herausgegeben, nachdem eine schwere Sicherheitslücke im Applikationsserver Weblogic entdeckt wurde. Dafür ist bereits ein Exploit erhältlich. Anwender sollten daher so schnell wie möglich die von Oracle empfohlenen Maßnahmen umsetzen.

Insgesamt 45 Sicherheitslücken beseitigt Oracle mit seinem Patchpaket für den Juli 2008. Die betreffen verschiedene Produkte, darunter natürlich die Oracle-Datenbanken.

Gemeinsam mit anderen Unternehmen hat IBM das Open-Ajax-Projekt angekündigt, um ein einheitliches Framework für die Entwicklung von Ajax-Applikationen anzubieten. Dieses soll in Eclipse integriert werden. Ganz allgemein soll aber auch Ajax selbst vorangebracht und dessen Popularität gesteigert werden.

BEA Systems kauft den Eclipse-Spezialisten M7, um die eigene Marktposition im Bereich Entwicklungstools auszubauen und die als "Blended" bezeichnete Strategie umzusetzen. Durch die Übernahme sollen Entwicklerwerkzeuge von BEA schneller auf das Eclipse-Framework migriert werden.

BEA Systems kauft mit Plumtree Software einen Anbieter von Software für Unternehmensportale. Als Kaufpreis wurden 200 Millionen US-Dollar vereinbart.

Microsoft und BEA Systems wollen ihre Software stärker miteinander harmonieren lassen und haben deshalb ihre Zusage wiederholt, gemeinsame Web-Services in ihren Produkten anzubieten.

BEA Systems hat jetzt die Beta-Version von BEA WebLogic Server 9.0 (Codename: Diablo) vorgestellt. Ausgestattet mit neuen Funktionen soll Diablo das Kernelement der kommenden WebLogic Platform 9.0 werden.

BEA Systems baut sein Open-Source-Engagement aus: Neben dem von BEA gegründeten Projekt Apache Beehive, dessen Code jetzt verfügbar ist, hat man mit Apache XMLBeans ein weiteres Inkubator-Projekt unter dem Dach der Apache Software Foundation gestartet.

Die Eclipse Foundation hat zusammen mit Instantiations und BEA Systems ein neues Projekt namens "Pollinate" ins Leben gerufen. Dieses soll eine auf Eclipse basierende Entwicklungsumgebung für Apache Beehive entwickeln.

Palm und BEA wollen gemeinsam mobile PDA-Webservices für Unternehmenskunden entwickeln. Dazu sollen der BEA WebLogic Server 7.0 und der BEA WebLogic Workshop als serverseitige Elemente eingesetzt werden.