CR-online.de Blog

Das aktuelle Sicherheitsproblem des beA erklärt für Juristen

avatar  Matthias Bergt

Seit dem 22. Dezember 2017 ist das besondere elektronische Anwaltspostfach beA offline. Der Grund sind schwere Sicherheitsprobleme: Die Nutzer mussten sich zur weiteren Nutzung des beA eine neue Zertifizierungsstelle installieren. Dieser Text erklärt die technischen Hintergründe des Zertifizierungsstellen-Problems für Nicht-Techniker.

Internet und Vertrauen

Das Internet wurde entwickelt, als sich alle Nutzer gegenseitig vertrauen konnten. Dieses blinde Vertrauen ist heute natürlich unangemessen. Das Internet ist schließlich ein (fast) anarchisches System, in dem jeder nahezu alles machen und sich jede Identität zulegen kann. Daher gibt es im Internet auch eine Art virtueller Notare – Zertifizierungsstellen. Sie sorgen dafür, dass, wer sich als Lisa Müller ausgibt, tatsächlich auch Lisa Müller ist. Das ist vielleicht bei Lisa Müller nicht so wichtig, zum Beispiel bei der Deutschen Bank aber schon. Zumindest dann, wenn Sie beim Online-Banking nicht einmal auf einer Fake-Deutsche-Bank-Seite der kaukasischen Mafia landen möchten.

Weihnachtsgeschenk für die Mafia

Die Bundesrechtsanwaltskammer hat mit der beA-Software ein sehr großzügiges Weihnachtsgeschenk gemacht. Zumindest für die kaukasische Mafia. Denn die BRAK hat Zulassungen für virtuelle Notare verteilt: Jeder, der wollte, konnte sich am 22. Dezember 2017 eine Zulassung bei der BRAK abholen – technisch: ein Stammzertifikat einer Zertifizierungsstelle mitsamt privatem Schlüssel. Und damit diese Notarzulassungen nicht vollkommen wertlos sind, hat sie gleich noch beschlossen: Wer Anwalt ist und das beA nutzt, muss die von der BRAK ausgegebenen Notarzulassungen akzeptieren. Sprich: Das Stammzertifikat der Zertifizierungsstelle als vertrauenswürdig auf seinem Computer installieren.

Es muss ja nicht gleich die Mafia sein. Nehmen wir einen Kleinkriminellen. Der hat zufällig mitbekommen, dass die Kammer gerade Weihnachtsgeschenke verteilt und sich auch eine Notarzulassung geholt. Deutsche Bank auf seinen Ausweis zu schreiben, wäre jetzt vielleicht etwas vermessen, aber Heizungszählerableser, warum nicht? Ist schließlich gerade die Jahreszeit dafür. Also flugs einen entsprechenden Ausweis gebastelt, mit dem geschenkten beA-Notarsiegel signiert und ab geht es durch die Straßen. Und in so einem Büro lässt sich dann auch mal die Heizung manipulieren (Sauna für alle Angestellten!), in einem anderen die Post lesen und in einem dritten der Geldbeutel mitnehmen. Auf Ihrem Computer geht das, weil Sie für das beA die neue Zertifizierungsstelle installieren mussten.

Der Angriff auf Ihren Rechner

In der Internet-Realität geht es natürlich nicht um Ihr Büro, zu der Sie als beA-Nutzer den Kriminellen Zutritt erlaubt hätten. Sondern Ihr Browser auf dem Rechner, auf dem Sie das beA nutzen. Ein Rechner, auf dem Sie Mandanten-E-Mails lesen, Schriftsätze schreiben, vielleicht auch mal Online-Banking machen, sich in Datenbanken einloggen und ja, auch das ist mittlerweile üblich, Ihre Heizungsanlage oder Alarmanlage fernsteuern. Und auf alles, was Sie im Browser machen, hat unser Kleinkrimineller potentiell Zugriff, den vom beA großzügig verteilten Notarzulassungen sei Dank. Außerdem kann er mit ein paar Tricks oft genug auch noch Ihren gesamten Rechner übernehmen – dann können Sie als Anwalt froh sein, wenn „nur“ alle Ihre Daten unrettbar zerstört sind. (Sie haben ja zu Hause ein aktuelles Backup auf einer verschlüsselten Festplatte?!)

Unrealistisch? Sie haben noch nie von jemandem gehört, dessen Konto beim Online-Banking etwas leichter gemacht wurde als vom Inhaber geplant? Dessen E-Mail-Postfach plötzlich nur noch Datenmüll und einen Erpresserbrief enthielt? Auf dessen Computer plötzlich komische Dinge vor sich gehen?

Die BRAK hat mit ihrem Weihnachtsgeschenk jedenfalls dazu beigetragen, das Internet etwas unsicherer zu machen. Denn ob wirklich alle Anwälte die neue Zertifizierungsstelle schnell wieder von ihrem Rechner deinstalliert haben – das findet allenfalls die kaukasische Mafia raus.

 


Hintergrund: Warum das beA nicht schnell repariert werden kann

Wer das beA nutzt, baut keine direkte Verbindung zu den beA-Servern auf, sondern ein Teil der Kommunikation läuft über eine lokale Software – die beA Client Security. Dabei handelt es sich technisch um einen WWW-Server. Damit im Browser das grüne Schloss in der Adresszeile erscheint, ist die Verbindung verschlüsselt, wofür man ein offizielles Zertifikat einer Zertifizierungsstelle benötigt. Ein solches Zertifikat muss die Zertifizierungsstelle allerdings widerrufen, wenn der private Schlüssel zum Zertifikat bekanntgeworden ist, also das Zertifikat kompromittiert ist.

Fehler des Software-Designs:
Genau das ist wegen der System-Architektur beim beA denklogisch immer der Fall: Der lokale WWW-Server in der beA Client Security muss technisch notwendig immer den privaten Schlüssel zu seinem öffentlichen Zertifikat haben. Dementsprechend hat die Zertifizierungsstelle das beA-Zertifikat auch gesperrt, als Markus Drenger vom Chaos Computer Club Darmstadt sie – wie auch die BRAK – auf das Problem hingewiesen hat. Da es sich um einen Fehler des Software-Designs handelt, muss das beA-System grundlegend umprogrammiert werden.

Schwere Gefährdung von Anwalts-Rechnern:
Offenbar um diesen Design-Fehler zu vertuschen und den beA-Betrieb aufrechterhalten zu können, hat der Hersteller als Ersatz auf ein selbst signiertes Zertifikat gesetzt, das nicht von einer offiziellen Zertifizierungsstelle stammt – und dabei nicht nur ein Zertifikat für den lokalen WWW-Server ausgestellt, sondern eine komplette Zertifizierungsstelle. Diese Zertifizierungsstelle mussten alle beA-Nutzer installieren. Dadurch wurden die Anwalts-Rechner schwer gefährdet, weil sich nun jedermann als Google, Volksbank oder wer auch immer ausgeben und den Computer angreifen konnte.

Außerdem hat das beA eine ganze Reihe weiterer Baustellen:
Verschlüsselung im Browser ist insgesamt problematisch, weil Sicherheitslücken oder ein bösartiger Betreiber dem Nutzer einfach unerwünschte Funktionen unterschieben können. Die beA Client Security bringt hoffnungslos veraltete Software-Bestandteile mit. Im Hardware-Security-Modul liegen die privaten Schlüssel aller Anwälte, und wie sie dorthin und auf die beA-Karte kommen, ist unklar. Da ist die Frage, ob denn die Lizenzbedingungen der eingesetzten Open-Source-Software eingehalten wurden, noch das geringste Problem.

 


 

Mehr zum Autor: Matthias Bergt ist Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) sowie Parallelnormen des BDSG in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG), das Dienstvertragsrecht und die Abgrenzung der Vertragstypen in Schuster/Grützmacher (Hrsg.): IT-Recht Kommentar und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.