Anwaltspostfach beA Rechtsanwaltsregister musste abgeschaltet werden

Nach dem Rechtsanwaltspostfach beA muss nun auch das bundesweite Rechtsanwaltsregister abgeschaltet werden. Eine Sicherheitslücke hätte es erlaubt, die offizielle Datenbank der Rechtsanwälte zu manipulieren.

Screenshot der beA-Webseite
BRAK

Screenshot der beA-Webseite

Von Hanno Böck


Die Bundesrechtsanwaltskammer hat am Freitag das offizielle deutsche Bundesrechtsanwaltsverzeichnis (BRAV) wegen einer Sicherheitslücke abgeschaltet. Das Rechtsanwaltsverzeichnis, das unter rechtsanwaltsregister.org erreichbar ist, läuft auf dem selben System wie das besondere elektronische Anwaltspostfach (beA), das seit Dezember wegen Sicherheitsproblemen offline ist.

Das Bundesrechtsanwaltsverzeichnis stellt online eine Suchfunktion zur Verfügung, über die man alle in Deutschland registrierten Anwälte finden kann. Es wurde im Dezember für kurze Zeit ebenfalls abgeschaltet, ist seit Januar aber wieder erreichbar. Die Rechtsanwaltskammer ging damals davon aus, dass es von den Sicherheitsproblemen des beA nicht betroffen sei. Das stellte sich jetzt als Irrtum heraus.

Angreifer hätte Nutzer der Anwaltssuche hacken können

Denn die Webseite des Anwaltsverzeichnisses nutzte eine veraltete Softwarekomponente namens Primefaces. Schon 2016 hatte die Sicherheitsfirma Minded Security darin eine Sicherheitslücke beschrieben. Seit Juni 2016 stand ein Update bereit. Doch offenbar hat die Firma Atos, der Betreiber des beAs und auch des Rechtsanwaltsregisters, dieses Update nicht installiert.

Nachdem der Autor dieses Textes dieses Problem an die Bundesrechtsanwaltskammer gemeldet hatte, entschied man sich dort, das Rechtsanwaltsregister vorläufig abzuschalten. Bei der Lücke handelte es sich um eine sogenannte Remote Code Execution - das bedeutet, ein Angreifer hätte aus der Ferne belieben Code auf dem Serversystem ausführen können.

Konkret hätte er damit die Datenbank der Anwälte verändern und somit die Suchergebnisse des Anwaltsregisters verfälschen können. Ebenso denkbar gewesen wäre, Schadcode über die Website an die Nutzer der Suche auszuliefern. Genau das ist einer ganzen Reihe von anderen Nutzern dieser Softwarekomponente im Januar passiert, wie man im Forum von Primefaces nachlesen kann.

Zwischenbericht über beA-Sicherheitslücken liegt vor

Das Anwaltspostfach beA selber ist seit Dezember aufgrund von Sicherheitsproblemen offline. Die Bundesrechtsanwaltskammer hat zwischenzeitlich die IT-Sicherheitsfirma Secunet beauftragt, die beA-Software auf mögliche weitere Sicherheitslücken zu prüfen.

Ein erster Zwischenbericht von Secunet liegt der Bundesrechtsanwaltskammer inzwischen vor und enthält offenbar Informationen über weitere Sicherheitslücken. Das geht aus einem Schreiben der Rechtsanwaltskammer hervor, das Ende März an die Präsidenten der lokalen Kammern ging. Es war eigentlich nicht für die Öffentlichkeit gedacht, kursierte jedoch bereits nach kurzer Zeit im Netz.

Wann das beA wieder online gehen kann, ist damit weiterhin unklar. Die Bundesrechtsanwaltskammer gerät zunehmend unter Druck. Die Berliner Rechtsanwaltskammer hatte im März den Rücktritt des Präsidenten und des Vizepräsidenten gefordert. Eine Sitzung der Rechtsanwaltskammer Sachsen wurde unterbrochen, bevor ein ähnlich lautender Antrag behandelt werden konnte. Zudem fordern mehrere lokale Rechtsanwaltskammern inzwischen, den Quellcode des beA-Systems offenzulegen.

Anwälte wollen bessere Verschlüsselung einklagen

Eine Gruppe von Anwälten plant, die Bundesrechtsanwaltskammer zu verklagen, da das bisherige beA-System keine Ende-zu-Ende-Verschlüsselung vorsieht. Die Nachrichten beim beA werden in einem sogenannten Hardware-Sicherheitsmodul (HSM) "umgeschlüsselt", das vom beA-Hersteller Atos betrieben wird. Sie werden nicht direkt an den Empfänger verschlüsselt, sondern an einen sogenannten Postfachschlüssel. Die Konsequenz: Wer Kontrolle über das HSM erlangen kann, könnte letztlich auch vertrauliche Nachrichten mitlesen.

Diese Konstruktion halten eine Reihe von Anwälten für sicherheitstechnisch unzureichend. Unter der Schirmherrschaft der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte wurden daher Spenden für eine Klage gesammelt, um die Rechtsanwaltskammer zu zwingen, das beA nur mit einer Ende-zu-Ende-Verschlüsselung zu betreiben.

Falls sie damit Erfolg haben, dürfte das wohl das Ende des bisherigen beA-Systems bedeuten: Es ist kaum vorstellbar, das bisherige System mit einer solchen Ende-zu-Ende-Verschlüsselung auszustatten, da hierfür die ganze Architektur der Software geändert werden müsste. Dann bliebe wohl nur eine Neuentwicklung möglich.

Update: In einer früheren Fassung dieses Artikels hieß es, die Nachrichten im beA würden vom HSM entschlüsselt. Das ist so nicht korrekt, wir haben die Textstelle geändert.



insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
Velociped 06.10.2017
1. Nicht zu sehr vereinfachen
Das HSM entschlüsselt den Schlüssel - und nicht die Nachricht selbst. Das kommt zwar im Endeffekt auf das Gleiche heraus. Wenn man aber der BRAK unkorrekten Gebrauch von Begriffen vorwirft, ist es gut, wenn man selbst auch im Detail korrekt bleibt. Das ist dann vielleicht ein Halbsatz mehr, aber das sollte es einem wert sein.
memyselfandi2 14.04.2018
2. Das Ende des nicht Ende-zu-Ende-verschlüsselten beAs
Das große und kaum zu unterschätzende Problem eines HSM, das die Mails umschlüsselt, ist, dass Geheimdienste damit nur einen einzigen Computer (den HSM der BRAK) knacken müssen, um mit den darin enthaltenen privaten Schlüsseln aller 160.000 deutschen Rechtsanwälte die gesamten beA-Kommunikation aller Anwälte Deutschlands mitzulesen. Technisch gesehen ist das für einen Geheimdienst eine Übung für den neuen Praktikanten. Die Wirkung ist weniger politisch als vielmehr unter dem Aspekt der Wirtschaftsspionage relevant. Geheimdienste verfolgen zu ca. 30 % politische und zu 70 % wirtschaftliche Interessen. Klar sind die meisten Prozesse dafür nicht interessant. Aber bei etlichen wirtschaftsrechtlichen Rechtsstreiten müssen Geschäftsgeheimnisse offengelegt werden, damit der Richter versteht, worum es geht. Dazu war gerade vorgestern wieder ein netter Artikel in der SZ, der die Gefahr der Wirtschaftsspionage betonte. Diese Geschäftsgeheimnisse der gesamten Republik vom knacken eines einzigen Computers abhängig zu machen ist ungefähr so, wie die Mailserver des Bundestags mit einem Zahlenvorhängeschloss zu sichern. Es gibt Dinge, die tut man einfach nicht, wenn man nicht grob fahrlässig handeln will. Vor diesem Hintergrund diskutieren Rechtsanwälte in wirtschaftsrechtlichen Fachfortbildungen bereits, dass im Falle eines HSM-zentralumschlüsselnden beAs wirtschaftsrechtliche Rechtsstreite mit Geschäftsgeheimnissen nur noch in Schiedsverfahren behandelt werden dürfen und dass ein Anwalt, der seinen Mandanten hierzu nicht rät, in die Haftung kommen könnte. Denn der BGH, der die Anwaltshaftung beurteilt, ist da wesentlich klarer als die BRAK.
lalito 14.04.2018
3. Kubicki
Sollte sich nicht der Bundestagsvize um diese Geschichten seiner Berufsgruppe unter dem heimischen Dach kümmern, anstatt eigen- wie wirtschaftswerbewirksam bei Putin rumzulümmeln? Nichts gegen Gespräche im Osten, immerhin von Anwalt zu Anwalt, aber zuhaus brennt an sicherheitsrelevanten Punkten tatsächlich die Hütte. Dass gerade die Geheimnistrager "Anwälte" beim Übergang von analog zu digital so eklatant versagen, wirft doch ein schräges Licht auf diese im Bundestag überrepräsentierte Berufsgruppe. So wie es tatsächlich läuft, bleibt der Lindner mit seiner Digitaladaption nach wie vor doch nur der Schaumschläger vom Dienst.
ach 14.04.2018
4.
Nach Monaten wäre es dann doch mal schön, die verantwortlich Gesetzgeber zu befragen, was sie sich dabei gedacht haben, ein nicht funktionierendes System zur Pflicht zu machen-
glasperlenspieler 14.04.2018
5. Kosten
Interessant in diesem Zusammenhang sind auch die Kosten dieses Systems. Alleine schon die Registrierung mit dem Erwerb der Hardware und den jährlichen Gebühren für jede Kanzlei und Arbeitsplatz mit 300 Euro bis hin zu den bislang angefallenen Kosten für die Errichtung des Systems mit ca. 40 Mio.! Rip off nennt man das wohl. Selbst derjenige, der nicht will, soll ein Postfach erhalten und der Datenschutz ist nur ein schlechter Witz. Man kann nur hoffen, dass es eingestampft wird.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.