CR-online.de Blog

Warnung vor dem besonderen elektronischen Anwaltspostfach (beA)

avatar  Matthias Bergt

Kaum hat das Bundesverfassungsgericht eine Verfassungsbeschwerde gegen das besondere elektronische Anwaltspostfach (beA) zurückgewiesen, wünscht man sich als Anwalt mit etwas IT-Sachverstand eine einstweilige Anordnung gegen das beA her: Denn um das beA weiter nutzen zu können, muss man „ein zusätzliches Zertifikat installieren“, für den „Kommunikationsaufbau zwischen Browser und beA-Anwendung“, wie die Bundesrechtsanwaltskammer (BRAK) gestern mitteilte. Was sie nicht mitteilte: Wer dieser Anweisung folgt, zerstört die IT-Sicherheit in der Kanzlei.

beA vom Netz

Zwar ist das beA zwischenzeitlich wegen „Wartungsarbeiten“ wegen „vereinzelter Verbindungsprobleme“ vom Netz. Doch obwohl ich die Kammer und den Hersteller gestern über die Problematik informiert habe, gibt es immer noch keine ehrliche Kommunikation, und die gefährliche Anleitung wird weiter verbreitet. Immerhin ist der Sondernewsletter, der zur Installation des Zertifikats auffordert, von der BRAK-Homepage verschwunden.

Das verlangt die BRAK von den Anwälten

Gestern informierte die BRAK mit einem Sondernewsletter:

„Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren. Dieses dient dem Kommunikationsaufbau zwischen Browser und beA-Anwendung. Gespeicherte Daten und Verschlüsselungsprozess sind hiervon nicht betroffen.

Eine Anleitung, wie Sie das Zertifikat installieren können, finden Sie HIER (PDF).

Wir bitten um Verständnis für diese Maßnahme, die für das sichere und reibungslose Funktionieren Ihres beA erforderlich ist.

Aktuelle Informationen sowie Antworten auf Fragen rund um das beA finden Sie auf den Webseiten http://bea.brak.de und http://www.brak.de.“

Wording und Vorgehen erinnern an eine Phishing-Attacke, sodass ich mich als erstes einmal überzeugt habe, dass die Aufforderung echt ist – ist sie leider.

Das ist das Problem (1)

Wer die Anleitung liest, stolpert über die Warnung, dass seriöse Unternehmen und Behörden so etwas nicht verlangen werden. Doch der Anwalt soll die Warnungen in den Wind schlagen.

Wer tut, wie ihm in der Anleitung geheißen, hat am Ende nicht nur ein Zertifikat für die Kommunikation zwischen Browser und beA-Anwendung installiert, sondern auch eine neue Zertifizierungsstelle zu seinem System hinzugefügt. Klingt erst mal nicht so schlimm – ist es aber.

Denn diese Zertifizierungsstelle kann, wie auch die Screenshots in der Anleitung zeigen, Zertifikate für jede beliebige Domain ausstellen, die dann vom Rechner des Anwalts als sicher eingestuft werden – ein “Sicherheitsrisiko”, wie es beschönigend im Screenshot heißt. Die Domain kann die verwendete Domain bealocalhost.de sein – oder https://www.google.com oder https://www.boetticher.com oder https://www.berliner-volksbank.de oder was auch immer. Mit diesem Zertifikat kann dann ein Angreifer eine falsche Identität vortäuschen.

Happy Birthday!

Das ist das Problem (2)

Als wäre das noch nicht Problem genug, ist der private Schlüssel dieser neuen Zertifizierungsstelle auch noch auszulesen – und damit öffentlich verfügbar. Das heißt, Hinz und Kunz und ihre kriminellen Kollegen haben alles in der Hand, was sie für einen Angriff auf alle deutschen Rechtsanwälte benötigen.

Frohe Ostern!

Das ist das Problem (3)

Da fällt dann gar nicht mehr ins Gewicht, dass wegen eines grundsätzlichen Designproblems auch noch weitere Angriffe auf das beA denkbar sind – bealocalhost.de ist eine öffentlich zugängliche, nicht mal über DNSSEC gesicherte Domain (nicht, dass Normaluser DNSSEC nutzen würden, aber von einem Anbieter sicherheitskritischer Dienste sollte man es erwarten). Braucht man nur ein wenig im DNS zu manipulieren.

Fröhliche Weihnachten!

Konsequenz

Wenn die BRAK das beA ohne eingehende Reparatur (die in der Kürze der Zeit eine echte Leistung wäre) wieder ans Netz nimmt – wer beantragt die einstweilige Anordnung?

Ach ja, und sollte jemand schon der Anleitung gefolgt sein – bitte die Zertifizierungsstelle sofort wieder löschen!

Dann funktioniert natürlich das beA nicht mehr – und ab 1. Januar ist die Nutzung für jeden Anwalt Pflicht.

Prost Neujahr!

Weitere Informationen

Golem.de: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre (mit Test, ob man verwundbar ist)

heise.de: beA: Schwere Panne beim “besonderen elektronischen Anwaltspostfach”

Mehr zum Autor: Matthias Bergt ist Partner bei von BOETTICHER Rechtsanwälte, Berlin, und berät Unternehmen in den Bereichen Gewerblicher Rechtsschutz, Wettbewerbsrecht und Informationstechnologierecht, insbesondere Datenschutz und techniklastige Rechtsfragen. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung (DSGVO), und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

2 Kommentare

  1. avatar RA Clemens C. Vogelsberg
    Veröffentlicht 27.12.2017 um 15:18 | Permalink

    Ihr Wunsch sei erfüllt: Ich habe heute Mittag bei dem BVerfG den Antrag auf Erlass einer einstweiligen Anordnung gestellt, die “passive Nutzungspflicht” für das beA auszusetzen, bis 1. das Sytem verlässlich zur Verfügung steht und 2. die BRAK nachgewiesen hat, dass die dem System zugrungeliegende Technik – insbesondere die Verschlüsselungstechnik – dem Stand der Technik im Jahr 2018 entspricht.

  2. avatar Patrick Ruppelt
    Veröffentlicht 28.12.2017 um 12:40 | Permalink

    Sehr geehrter Herr Bergt,

    danke für diesen tollen Artikel. Es hilft uns als IT Dienstleister und Datenschutzbeauftragte ungemein, wenn auch Fachkollegen unserer Anwaltskunden verständlich und sachkundig über das Desaster berichten, das uns die brak seit Wochen und Monaten beschert. So sind wenigstens nicht nur wir immer der ITler, der alles von beA schlecht redet 😉

    Systemvoraussetzungen, die für Mac User ein seit mindestens zwei Jahren nicht aktualisiertes OS X voraussetzen, ständig wechselnde Browseranforderungen (mal geht es nur in Safari, dann nur in Chrome, auf Windows aber nicht in Chrome sondern nur IE usw. …), nicht signierte und nicht zertifizierte Software, höchst problematische Anweisungen über das Installieren dubioser Zertifizierungsstellen und nicht zuletzt von der brak selbst ausgelieferte Smartcard-Leser mit nicht beA kompatibler Firmware…

    Die Menge der Fehler, die hier seitens bea/brak und auch ganz deutlich von ATOS gemacht wurden ist indiskutabel. Da hilft es auch wenig, wenn das gesamte ATOS beA Supportteam angeblich ausgewechselt wurde – wie man mir von dort vor einigen Monaten mitteilte. Die Basis stimmt einfach nicht und es muss bei der brak endlich jemand verstehen, was für eine Tragweite deren inkompetenter Aktionismus hat.

    Ich kann Ihnen in jedem einzelnen Wort nur meine große Zustimmung ausdrücken. Danke!

    Lieben Gruß aus München
    Patrick Ruppelt

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.