SPIEGEL ONLINE

SPIEGEL ONLINE

13. April 2018, 16:19 Uhr

Anwaltspostfach beA

Rechtsanwaltsregister musste abgeschaltet werden

Von Hanno Böck

Nach dem Rechtsanwaltspostfach beA muss nun auch das bundesweite Rechtsanwaltsregister abgeschaltet werden. Eine Sicherheitslücke hätte es erlaubt, die offizielle Datenbank der Rechtsanwälte zu manipulieren.

Die Bundesrechtsanwaltskammer hat am Freitag das offizielle deutsche Bundesrechtsanwaltsverzeichnis (BRAV) wegen einer Sicherheitslücke abgeschaltet. Das Rechtsanwaltsverzeichnis, das unter rechtsanwaltsregister.org erreichbar ist, läuft auf dem selben System wie das besondere elektronische Anwaltspostfach (beA), das seit Dezember wegen Sicherheitsproblemen offline ist.

Das Bundesrechtsanwaltsverzeichnis stellt online eine Suchfunktion zur Verfügung, über die man alle in Deutschland registrierten Anwälte finden kann. Es wurde im Dezember für kurze Zeit ebenfalls abgeschaltet, ist seit Januar aber wieder erreichbar. Die Rechtsanwaltskammer ging damals davon aus, dass es von den Sicherheitsproblemen des beA nicht betroffen sei. Das stellte sich jetzt als Irrtum heraus.

Angreifer hätte Nutzer der Anwaltssuche hacken können

Denn die Webseite des Anwaltsverzeichnisses nutzte eine veraltete Softwarekomponente namens Primefaces. Schon 2016 hatte die Sicherheitsfirma Minded Security darin eine Sicherheitslücke beschrieben. Seit Juni 2016 stand ein Update bereit. Doch offenbar hat die Firma Atos, der Betreiber des beAs und auch des Rechtsanwaltsregisters, dieses Update nicht installiert.

Nachdem der Autor dieses Textes dieses Problem an die Bundesrechtsanwaltskammer gemeldet hatte, entschied man sich dort, das Rechtsanwaltsregister vorläufig abzuschalten. Bei der Lücke handelte es sich um eine sogenannte Remote Code Execution - das bedeutet, ein Angreifer hätte aus der Ferne belieben Code auf dem Serversystem ausführen können.

Konkret hätte er damit die Datenbank der Anwälte verändern und somit die Suchergebnisse des Anwaltsregisters verfälschen können. Ebenso denkbar gewesen wäre, Schadcode über die Website an die Nutzer der Suche auszuliefern. Genau das ist einer ganzen Reihe von anderen Nutzern dieser Softwarekomponente im Januar passiert, wie man im Forum von Primefaces nachlesen kann.

Zwischenbericht über beA-Sicherheitslücken liegt vor

Das Anwaltspostfach beA selber ist seit Dezember aufgrund von Sicherheitsproblemen offline. Die Bundesrechtsanwaltskammer hat zwischenzeitlich die IT-Sicherheitsfirma Secunet beauftragt, die beA-Software auf mögliche weitere Sicherheitslücken zu prüfen.

Ein erster Zwischenbericht von Secunet liegt der Bundesrechtsanwaltskammer inzwischen vor und enthält offenbar Informationen über weitere Sicherheitslücken. Das geht aus einem Schreiben der Rechtsanwaltskammer hervor, das Ende März an die Präsidenten der lokalen Kammern ging. Es war eigentlich nicht für die Öffentlichkeit gedacht, kursierte jedoch bereits nach kurzer Zeit im Netz.

Wann das beA wieder online gehen kann, ist damit weiterhin unklar. Die Bundesrechtsanwaltskammer gerät zunehmend unter Druck. Die Berliner Rechtsanwaltskammer hatte im März den Rücktritt des Präsidenten und des Vizepräsidenten gefordert. Eine Sitzung der Rechtsanwaltskammer Sachsen wurde unterbrochen, bevor ein ähnlich lautender Antrag behandelt werden konnte. Zudem fordern mehrere lokale Rechtsanwaltskammern inzwischen, den Quellcode des beA-Systems offenzulegen.

Anwälte wollen bessere Verschlüsselung einklagen

Eine Gruppe von Anwälten plant, die Bundesrechtsanwaltskammer zu verklagen, da das bisherige beA-System keine Ende-zu-Ende-Verschlüsselung vorsieht. Die Nachrichten beim beA werden in einem sogenannten Hardware-Sicherheitsmodul (HSM) "umgeschlüsselt", das vom beA-Hersteller Atos betrieben wird. Sie werden nicht direkt an den Empfänger verschlüsselt, sondern an einen sogenannten Postfachschlüssel. Die Konsequenz: Wer Kontrolle über das HSM erlangen kann, könnte letztlich auch vertrauliche Nachrichten mitlesen.

Diese Konstruktion halten eine Reihe von Anwälten für sicherheitstechnisch unzureichend. Unter der Schirmherrschaft der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte wurden daher Spenden für eine Klage gesammelt, um die Rechtsanwaltskammer zu zwingen, das beA nur mit einer Ende-zu-Ende-Verschlüsselung zu betreiben.

Falls sie damit Erfolg haben, dürfte das wohl das Ende des bisherigen beA-Systems bedeuten: Es ist kaum vorstellbar, das bisherige System mit einer solchen Ende-zu-Ende-Verschlüsselung auszustatten, da hierfür die ganze Architektur der Software geändert werden müsste. Dann bliebe wohl nur eine Neuentwicklung möglich.

Update: In einer früheren Fassung dieses Artikels hieß es, die Nachrichten im beA würden vom HSM entschlüsselt. Das ist so nicht korrekt, wir haben die Textstelle geändert.

URL:


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH