Posse um Anwaltspostfach Und plötzlich doch ein Dankeschön

Ein Hacker hat eine Schwachstelle in einem Kommunikationssystem entdeckt, über das ab dem 1. Januar alle Anwälte erreichbar sein sollten. Dafür wurde ihm nun gedankt - nach einem Rundschreiben, das anders klang.

Website zum beA
BRAK

Website zum beA

Von und


Noch am Freitagmittag, gut eine Woche, nachdem sich der IT-Experte auch in der Welt der Anwälte einen Namen machte, fühlte sich Markus Drenger ungerecht behandelt. "Ich habe lediglich auf Sicherheitsprobleme aufmerksam gemacht und sie gemeldet", sagte der Hacker des Darmstädter Ablegers des Chaos Computer Clubs (CCC) im Gespräch mit dem SPIEGEL. Ihn ärgerte eine Passage in einem Rundschreiben der Bundesrechtsanwaltskammer (Brak), die klang, als sei er ein Übeltäter, kein Helfer.

Online und auf dem CCC-Jahrestreffen in Leipzig war Drenger am Vortag noch beklatscht worden, denn er hatte vergangene Woche in einem Kommunikationssystem für Anwälte eine ernsthafte Schwachstelle entdeckt. Ein privater Schlüssel, der zu einem Zertifikat des Systems gehörte, war gar nicht privat - ein Sicherheitsrisiko für das sogenannte beA, dessen Entwicklung und Inbetriebnahme viele Millionen Euro gekostet hat.

Fotostrecke

11  Bilder
Der 34C3 in Bildern: Willkommen im Hacker-Wunderland

Die Abkürzung beA steht für "besonderes elektronisches Anwaltspostfach". Das System ermöglicht es Anwälten, zum Beispiel mit Berufskollegen, Gerichten oder Behörden zu kommunizieren. Das System, das Anwälte seit gut einem Jahr schon freiwillig nutzen konnten, sollte eigentlich in wenigen Tagen durchstarten, denn ab dem 1. Januar müssen alle Anwälte in Deutschland per beA erreichbar sein; man spricht von einer Pflicht zur "passiven Nutzung".

Praktisch wird sich diese Pflicht nicht erfüllen lassen: Zum Jahresanfang wird kein einziger Anwalt (mehr) per beA kommunzieren können. Das System ist seit kurz vor Weihnachten außer Betrieb, wohl als Folge unter anderem jenes Schlüssel-Problems, das Drenger entdeckte, sowie einer weiteren peinlichen Panne (mehr dazu lesen Sie hier). Die Brak sagte dem SPIEGEL am Mittwoch, man müsse derzeit davon ausgehen, dass die beA-Plattform noch länger ausfällt.

Ärger um eine Formulierung

Das Brak-Rundschreiben, das Markus Drenger ärgert, ist bereits am 27. Dezember verschickt worden, im Namen des Kammer-Vizepräsidenten Martin Abend - und an einen "sehr großen Verteiler", wie Drenger betonte.

"Am Donnerstag, 21. Dezember 2017, zeigte eine nicht zur Rechtsanwaltschaft zugelassene Person an, dass sie [...] ein Zertifikat kompromittiert habe", hieß es in dem Schreiben. "Daraufhin sperrte die Zertifizierungsstelle dieses Zertifikat."

So formuliert, las sich die Passage, als sei das Zertifikat erst durch Drengers Zutun zum Risiko geworden. Ich habe gar nichts kompromittiert", sagte der Hacker dazu. "Das waren die Brak und der beA-Hersteller Atos schon selber, indem die das Zertifikat zusammen mit dem privaten Schlüssel ins Netz gestellt haben."

Diese Haltung teilt auch ein Sprecher der Deutschen Telekom, deren Dienstleister T-Systems von Drenger auf das Zertifikatsproblem aufmerksam gemacht worden war: "Der private Schlüssel wurde durch dessen Veröffentlichung kompromittiert", stellt die Telekom klar. "Die Veröffentlichung erfolgte durch Integration des privaten Schlüssels in ein Softwarepaket, das als Download auf der Webseite zum beA-Postfach bereit stand."

"Zurecht gemeldet"

Auf eine SPIEGEL-Nachfrage bei der Brak, wie der Satz im Schreiben gemeint war, heißt es Freitagnachmittag, die Formulierung sei "missverständlich": Markus Drenger habe "zurecht gemeldet, dass ein privater Schlüssel eines Software-Zertifikats, das für den Betrieb der beA-Plattform notwendig ist, öffentlich auf den Rechnern der Nutzer gespeichert sei".

Überhaupt, das stellt die Brak auf die Nachfrage ebenfalls klar, sei man Markus Drenger für seine Hinweise dankbar und sehen seine Aktivitäten "keinesfalls als gegen die Brak gerichtet". Ausdrücklich gelobt wird der Hacker dafür, "dass er zuerst die Brak und die zuständigen Stellen und nicht die Öffentlichkeit informiert hat".

Am Freitagnachmittag berichtet uns Markus Drenger schließlich auch, dass sich die Brak nun bei ihm gemeldet habe, mit freundlichen Tönen. Ein später, weil eigentlich naheliegender Schritt: Denn ohne Drengers Hinweis wäre beA vermutlich noch länger samt Schwachstelle in Betrieb geblieben.

Was passiert 2018?

Wie es mit dem Postfachsystem nächstes Jahr weitergeht, lässt sich bislang schwer vorhersagen. Die Kritik am beA aus der Anwaltsbranche jedenfalls wirkt dieser Tage lauter denn je. Ulrich Schellenberg, der Präsident des Deutschen Anwaltvereins, zum Beispiel fordert, das gesamte System "neu zu denken, um verlorengegangenes Vertrauen wiederherzustellen".

Aus dem Bundesjustizministerium heißt es derweil, man dringe darauf, dass die Fehler schnellstmöglich behoben werden, damit "beA mit einem sicheren Zugang den Rechtsanwälten so schnell wie möglich zur Verfügung steht." Ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagt, die Problematik mit den Zertifikaten scheine dem BSI "plausibel". Man stehe jetzt mit der Brak in Kontakt, sei zuvor aber nicht in die Entwicklung und Absicherung der Plattform einbezogen worden. Der Hersteller des Systems, die Firma Atos, hatte am Mittwoch mitgeteilt, sich nicht öffentlich zu der Debatte zu äußern.

Auf SPIEGEL-Nachfrage hat die Brak am Freitag noch bestätigt, dass es 2015 einen Sicherheitsaudit des beA-Systems durch eine dritte Firma gegeben hatte. "Es gab zu diesem Zeitpunkt bereits Überlegungen, die ursprüngliche Sicherheitsarchitektur bei der Anmeldung zur Plattform zu verändern", heißt es von der Brak zu diesem Thema. Das Audit habe diese geplanten Änderungen als sinnvoll bestätigt und sei insgesamt zu einem Prüfergebnis 'hohes Sicherheitsniveau' gekommen. Aber, so endet die Stellungnahme: "Diese daraufhin umgesetzte Anmeldung ist genau das von Herrn Drenger kritisierte Verfahren."

Mehr zum Thema beA


insgesamt 20 Beiträge
Alle Kommentare öffnen
Seite 1
muckusch, 29.12.2017
1. Verlorenes Vertrauen zurückgewinnen ...
... wie oft hörte und las ich diesen Satz schon? Nein, nicht in die Politik, nicht in die Banken, nicht in die Sicherheit von Internet, Mailverkehr, nicht in die Abhörsicherheit von selbst der Kanzlerin Handy, nicht in die Bundestagscomputer und in meine eigenen am wenigsten. Verloren gegangenes Vertrauen ist verloren, Herr Schellenberg.
Denalos 29.12.2017
2. Da stimmt doch was nicht
Die extrem höchst problematischen "Reparaturversuche" ab letztem Freitag mit den zurückgezogenen Zertifikaten lassen nicht die Vermutung aufkommen, dass die BRAK die ursprünglichen Informationen von Herrn Drenger überhaupt zur Kenntnis genommen hat, denn wenn sie das getan hätte, dann hätte man auch entsprechend reagiert. Die Art der Reaktion war aber eine aus bzw. in vollkommener Unkenntnis sowohl in der Sache als auch in der Thematik. Die öffentliche Verlautbarung des Rundschreibens vom 27.12. war auch nicht missverständlich formuliert sondern sehr eindeutig. Bei solchen Pressemitteilungen liest man doch 10 mal nach, ob das jemand falsch verstehen könnte. Ich finde es gut, dass Herr Drenger jetzt auch von der BRAK rehabilitiert wurde, andererseits war seine Reputation auch gar nicht angekratzt, denn alle wussten, was Sache ist. Die Forderung des BMJV nach zeitnaher Inbetriebnahme halte ich für ziemlich weltfremd, denn mittlerweile sind die ganzen anderen Kritikpunkte hochgekommen und werden massiv diskutiert, und viele dieser Kritikpunkte (vor allem auch die nicht vorhandene Ende zu Ende Verschlüsselung) sind nicht durch kleine Softwareupdates zu erledigen. Es würde mich sehr interessieren, wer das Sicherheits-Audit gemacht hat, denn die dafür höchst öffentlich geeignete Institution (das BSI) war's ja offensichtlich nicht. Jeder, der solche Audits macht, schmückt sich doch damit, die Tatsache, dass der Auditor nicht genannt wird, läßt wilde Spekulationen aufkommen.
genugistgenug 29.12.2017
3. genau missverständlich wie die Programmierfehler = Arroganz!
Dabei zeigt dieses 'mißverständlich' eindeutig wie 'qualifiziert' bisher 'gearbeitet' wurde. Die Programme sind alle mit der heißen Nadel gestrickt, ohne ausreichende UND qualifizierte Tests (kosten nur Geld und man sieht nichts davon). Dazu kommt noch Wunschdenken bei völliger (IT)Ahnungslosigkeit. und das Herrschaftswissen, dass zurückgehalten wird, statt ins Pflichtenheft einzufließen. Wobei ein zu fundiertes Pflichtenheft schlichtweg kopiert wird und als Vorlage dient. Natürlich spart man auch bei den Programmierern und macht lieber im Vertrieb dicke Spesen. Die Grundlage dass in der IT gar NICHTS sicher ist, hat zieht sich hier seit 1980 (Assembler, usw.) durch. Damals (wir waren alles IT Neulinge) hat ein Dozent groß schwadroniert wie sicher die Magnetbänder, usw. sind. Dazu hat er die PrüfBITs erklärt. Drei Tage später kam er in einen anderen Unterricht kochend reingestürmt und woillte wissen was wir gemacht haben - einige sichere Bänder waren zerstört. Zugriff hatten wir noch keinen bekommen, doch das wäre nur eine Frage der Zeit gewesen. Ergebnis: Die große amerikanische IT Firma schickte ihr mobiles Rechenzentrum, prüfte alles durch und wir führten unsere Logik vor. Wird ein BIT verändert, stimmt das PrüfBIT nicht, aber bei x Änderungen stimmt es wieder. Brachte uns (5 von 30) gute Kontakte in diese Branche. Damals war es noch testen und dann eine Lösung bauen.
benhadschiomar 29.12.2017
4. Wenn ich das richtig gelesen habe ...
... ist doch ein geheimer Schlüssel fälschlicherweise veröffentlicht worden. Warum muss man dann die Software ändern, eigentlcih müsste man doch nur neue Schlüssel und das Verzeichnis kreieren. Oder täusche ich mich? Oder steckt da mehr dahinter, als man uns sagt?
schumbitrus 29.12.2017
5. Es scheint, als seien grundsätzliche Fakten zur Verschlüsselung ..
Es scheint, als seien grundsätzliche Fakten zur Verschlüsselung bei ATOS unbekannt. Für den der Begriff asymmetrische Verschlüsselung kein Fremdwort ist und wer etwas einschlägigere Seiten liest, als SPON, der weiß, was für eine unfassbare Schlamperei hier stattgefunden hat. Und hier geht es darum, dass Anwaltspost vertraulich bleiben soll .. Alle Offiziellen hätten diesen Blödsinn mitgemacht und es bedurfte eines Querkopfes von extern, der die Schwachstelle offen legt. D.h. es gab ganz offensichtlich NIEMANDEN, der diesem Quatsch intern den Saft abgedreht hätte, bevor er Schaden hätte anrichten können. Lieber wollte man mit wehenden Fahnen in den Abgrund fahren .. Genau an der Stelle muss man doch sagen, dass solche Projekte OFFEN QUELLCODE produzieren müssen! Dann müssen sich Firmen wie ATOS von Anfang an kompetentes Personal suchen, weil sie genau wissen, dass jeder Straßen-Hacker deren Code in der Luft zerreißt, wenn er unsauber ist - und dann passieren solche Katastrophen nicht. Wann fängt also ENDLICH die Diskussion darüber an, dass OFFENER QUELLCODE UNSER ALLER FREUND IST?! Nicht jeder muss dann den Quallcode lesen und verstehen, aber jeder KANN ihn lesen. Und wer ihn versteht, der findet vielleicht auch die Fehler - und dann ist es nur noch eine Frage der Wahrscheinlichkeit, ob es eher ein böser oder ein guter Hacker ist, der die Fehler findet. Das Schöne daran ist aber, dass gemeinsam mit der Anstrengung, guten Code zu schreiben und der Anstrengung der guten Hacker, Fehler schneller aus dem Code entfernt sind, bevor böse Hacker (auch die von NSA, GCHQ und BND ..) die Fehler finden und daraus Kapital schlagen können. Man wünscht sich ja, dass es auch auf SPON eine solche Diskussion gäbe ..
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.