Anwaltskammer rät Anwälten zur Deaktivierung ihrer Software
Das elektronische Anwaltspostfach beA hat in seiner bisherigen Version eine weitere gravierende Sicherheitslücke. Deshalb rät die Bundesrechtsanwaltskammer allen Anwälten, die Software sofort zu deinstallieren.
Von Hanno Böck | 27.01.2018
Rechtsanwälte, welche die Software für das besondere elektronische Anwaltspostfach (beA) installiert haben, sind einer schweren Sicherheitslücke ausgesetzt. Deshalb empfiehlt die Bundesrechtsanwaltskammer (Brak) ihren Mitgliedern nun selbst, diese umgehend zu deaktivieren. Das ist eines der Resultate einer Diskussionsveranstaltung namens beAthon, zu der die Kammer IT-Sicherheitsexperten und Vertreter von Anwaltsorganisationen am Freitag eingeladen hatte.
Die jetzt bekannt gewordene Sicherheitslücke ist unabhängig von einer anderen Lücke, die im Dezember zur vorläufigen Abschaltung des Systems geführt hat. Das geschah kurz bevor die Nutzung des Postfachs für alle Anwälte in Deutschland verpflichtend werden sollte. Damals hatte Markus Drenger vom Chaos Computer Club Darmstadt bereits Schwachstellen an die Brak gemeldet.
Die hatte offenbar zunächst nicht realisiert, wie schwerwiegend das Problem ist. Ein Vertreter des Vorstandes zeigte sich verwundert darüber, dass der Hersteller der Software - die Firma Atos - das Gefahrenpotential der Kammer nicht mitgeteilt hatte. Atos selbst hatte kurzfristig seine Teilnahme am beAthon abgesagt.
Angreifer können Rechner kapern, auf denen beA installiert ist
In der Expertenrunde erläuterte Drenger nun, wie gefährlich die zweite Schwachstelle ist: Angreifer könnten die komplette Kontrolle über das System eines Anwalts übernehmen, der die Software auf seinem Rechner installiert hat. Sie könnten dort Schadsoftware installieren und nach Belieben darauf gespeicherte Daten extrahieren oder auch verändern. Das Problem ist damit noch schwerwiegender als das im Dezember entdeckte Problem mit einem HTTPS-Sicherheitszertifikat, das ein Mitlesen verschlüsselter Webverbindungen erlaubt hat.
Mittelfristig plant die Rechtsanwaltskammer, das beA-System - dessen Programmierung die Anwälte MiIllionen gekostet hat - wieder zu aktivieren. Der Hersteller Atos hat zwischenzeitlich der Brak eine Version bereitgestellt, in der das im Dezember entdeckte Problem mit einem Verschlüsselungszertifikat behoben sein soll. Die dafür vorgestellte Lösung wurde von allen anwesenden Experten beim beAthon als akzeptabel angesehen. Diese korrigierte Version ist aber bisher nicht ausgeliefert.
Bevor beA wieder online geht und die neue Version bereitgestellt wird, soll nun die Firma Secunet die Sicherheit des Systems prüfen. Nicht beantworten wollte der Brak-Vorstand die Frage, ob der Prüfbericht dieses Sicherheitschecks anschließend veröffentlicht wird.
Auch zur Frage, ob die Bundesrechtsanwaltskammer plant, den Quellcode des beA-Systems zu veröffentlichen, gab es keine klaren Aussagen. Der Vorstand der Rechtsanwaltskammer prüft demnach, ob eine Veröffentlichung des Codes möglich ist. Laut einer am Freitag von Atos verschickten Pressemitteilung liegen die Rechte des Quellcodes bei der Brak. Zahlreiche IT-Experten, darunter Organisationen wie der Chaos Computer Club, hatten die Veröffentlichung des Quellcodes im Vorfeld des beAthon gefordert.
Verschlüsselung könnte gebrochen werden
Eine weitere Diskussion drehte sich bei der Krisensitzung am Freitag um die Frage, ob das beA-System tatsächlich Ende-zu-Ende-verschlüsselt ist. Unter einer Ende-zu-Ende-Verschlüsselung versteht man ein System, bei dem der Betreiber der Server keine Möglichkeit hat, die Nachrichten mitzulesen. Krypto-Messenger wie Signal, aber auch populäre Systeme wie Whatsapp sind heutzutage standardmäßig Ende-zu-Ende-verschlüsselt.
Die Brak hatte lange Zeit behauptet, dass es sich auch bei beA um ein Ende-zu-Ende-verschlüsseltes System handelt. Doch das stimmt nicht. Die Nachrichten werden bei beA mit Schlüsseln verschlüsselt, die sich in einem speziellen Hardware Security Module (HSM) befinden. Dabei handelt es sich um ein Gerät, das so gebaut ist, dass Unberechtigte nicht an die Schlüssel gelangen können. Allerdings befindet sich dieses Hardwaremodul unter der Kontrolle des Betreibers - und die Sicherheit der ganzen Sache hängt davon ab, ob das System korrekt und fehlerfrei arbeitet.
Als zusätzlichen Unsicherheitsfaktor gibt es eine Gruppe von Schlüsselverwaltern, die - wenn sie zusammenarbeiten - die Schlüssel aus dem HSM extrahieren können. Das ist notwendig, falls einmal ein Modul ausfällt und die Schlüssel auf ein neues übertragen werden müssen. Wer diese Schlüsselverwalter sind, ist laut der Brak geheim.
Diskussion um ein zukünftiges beA Plus
Bisher hatte die Brak den Standpunkt vertreten, dass sich die Anforderungen des beA nicht ohne eine solche Konstruktion lösen lassen. Die Experten beim beAthon waren überwiegend anderer Meinung: Eine Lösung mit echter Ende-zu-Ende-Verschlüsselung wäre machbar. Sie würde allerdings eine grundlegende Neukonstruktion des gesamten Systems erfordern.
Diese Diskussion will die Brak im März auf einer Veranstaltung führen, auf der die Zukunft des beA-Systems und ein mögliches "beA Plus" als Nachfolger diskutiert werden. Vorerst verfolgt die Anwaltskammer jedenfalls den Plan, das bisherige System zu flicken und wieder in Betrieb zu nehmen.
Zum Autor
-> Hanno Böck schreibt regelmäßig für das Fachmagazin Golem.de über IT-Sicherheit und Kryptographie. Er wurde von der Bundesrechtsanwaltskammer als Journalist und als Experte zum beAthon eingeladen, weil er selbst an der Aufdeckung der Schwachstellen beteiligt war.
beA-Störung
-
13
- NORTHERN DINO
- ...ist hier unabkömmlich !
- Beiträge: 17711
- Registriert: 02.04.2006, 21:36
- Beruf: Dibbel-Ribbel i.R.
- Wohnort: Siehe Flagge
Zuletzt geändert von 13 am 29.01.2018, 16:11, insgesamt 1-mal geändert.
~ Grüßle ~
Veni, vidi, violini (Ich kam, ich sah, ich vergeigte)...
>>> Bitte keine Sachfragen per pN.
Nutze das Forum zum Vorteil aller! <<<
Veni, vidi, violini (Ich kam, ich sah, ich vergeigte)...
>>> Bitte keine Sachfragen per pN.
Nutze das Forum zum Vorteil aller! <<<
-
13
- NORTHERN DINO
- ...ist hier unabkömmlich !
- Beiträge: 17711
- Registriert: 02.04.2006, 21:36
- Beruf: Dibbel-Ribbel i.R.
- Wohnort: Siehe Flagge
Es ist wohl an der Zeit, die BRAK mal richtig ins Gebet zu nehmen.
~ Grüßle ~
Veni, vidi, violini (Ich kam, ich sah, ich vergeigte)...
>>> Bitte keine Sachfragen per pN.
Nutze das Forum zum Vorteil aller! <<<
Veni, vidi, violini (Ich kam, ich sah, ich vergeigte)...
>>> Bitte keine Sachfragen per pN.
Nutze das Forum zum Vorteil aller! <<<
-
Kaffeeschubse
- Kennt alle Akten auswendig
- Beiträge: 532
- Registriert: 06.03.2017, 10:42
- Beruf: Rechtsanwalts- und Notarfachangestellte
- Software: RA-Micro
Die BRAK wird sich in Schweigen hüllen, weiter abkassieren und die Firma Athos wird pleite gehen.13 hat geschrieben:Es ist wohl an der Zeit, die BRAK mal richtig ins Gebet zu nehmen.
Meine Arbeitsplatz ist sicher. Niemand will ihn.
-
portiabelmonte8
- Foren-Praktikant(in)
- Beiträge: 12
- Registriert: 20.10.2011, 11:11
- Beruf: RA-Fachangestellte
Verdient hätten sie es. Wird aber wohl nicht passieren, jedenfalls nicht wegen BeA. Der Jahresumsatz von Atos in 2016 war angeblich ungefähr 12.000.000.000 €. Das sitzen die auf einer Backe aus. Die Kammer dagegen...
-
skugga
- Teilzeittrollin
- Foreno-Inventar
- Beiträge: 2992
- Registriert: 04.04.2006, 22:32
- Beruf: ReFa
- Software: RA-Micro
- Wohnort: Jepp, durchaus.
Naja... die elektronische Gesundheitskarte haben sie auch (mit) verbockt...portiabelmonte8 hat geschrieben:Verdient hätten sie es. Wird aber wohl nicht passieren, jedenfalls nicht wegen BeA. Der Jahresumsatz von Atos in 2016 war angeblich ungefähr 12.000.000.000 €. Das sitzen die auf einer Backe aus. Die Kammer dagegen...
Milchreis schmeckt ganz vorzüglich, wenn man ihn kurz vor dem Verzehr durch ein saftiges Steak ersetzt.
-
AliceAzubiReFa
- Foren-Praktikant(in)
- Beiträge: 31
- Registriert: 01.08.2017, 15:04
- Beruf: Rechtsanwaltsfachangestellte
- Software: Andere
- Wohnort: Thüringen
Und jetzt wollen die auch nch die Kosten umlegen auf die Gebühren die die Anwälte monatlich zahlen 
Vielen Lieben Dank im vorraus 
<3
<3-
Tatjana H.
- Kennt alle Akten auswendig
- Beiträge: 955
- Registriert: 15.07.2015, 09:18
- Beruf: Rechtsanwaltsfachangestellte
- Software: ReNoStar
Mein Chef titscht hier schon ganz schön im Dreieck. Der hatte eh NUllBock auf das beA
Tatjana
etwaige Rechtschreibfehler sind beabsichtigt und gehören zu meinem großartigen Plan die Weltherrschaft an mich zu reißen 
Es ist unmöglich jemanden etwas beizubringen, von dem er glaubt, das er es schon weiß.
Manieren machen uns zu Menschen
Ich bin der Meister meines Los.
Ich bin der Captain meiner Seel.
Flauschig? Am Ar..... Ich würde dich mit einer Schaufel bürsten
Es ist unmöglich jemanden etwas beizubringen, von dem er glaubt, das er es schon weiß.
Manieren machen uns zu Menschen
Ich bin der Meister meines Los.
Ich bin der Captain meiner Seel.
Flauschig? Am Ar..... Ich würde dich mit einer Schaufel bürsten