Forum: Netzwelt
Sicherheitsdebakel beim Anwaltspostfach beA: Bundesrechtsanwaltskammer rät Anwälten z
BRAK

Das elektronische Anwaltspostfach beA hat in seiner bisherigen Verion eine weitere gravierende Sicherheitslücke. Deshalb rät die Bundesrechtsanwaltskammer allen Anwälten, die Software sofort zu deinstallieren.

Seite 1 von 3
shardan 27.01.2018, 11:47
1. Garbage by Design

Als Informatiker mit einigen Jahrzehnten in der Branche auf dem Buckel kann ich nur dazu raten, die derzeitige beA Software schleunigst einzustampfen. Die bisher bekannten Sicherheitslücken zeugen mehr als deutlich von einer schlampigen Konzeption. Das ist nicht mit ein paar Softwareflicken zu beheben, das braucht eine grundlegende Neukonzeption. Das Risiko sehe ich nicht einmal so sehr bei Polizei und Geheimdiensten - die haben andere Mittel, sich ggf. Daten zu beschaffen. Auch einem Anwalts-PC kann man einen Bundestrojaner unterschieben, legal hin oder her. Das beA hat aber eine traurige Berühmtheit erlangt, was Angreifbarkeit angeht. Es wird nicht lange dauern, bis die PC's bei Anwälten Ziel von gezielten Angriffen werden. Prozessakten in den Händen von Kriminellen und Erpressern? Na Danke! Nach der bisherigen schlampigen Ausführung zu schließen ist die Wahrscheinlichkeit, dass sich weitere Sicherheitslücken finden, auch mit einer "geflickten" Version schlicht zu groß.

Beitrag melden Antworten / Zitieren
wille17 27.01.2018, 12:12
2. Entwicklungsunternehmen unfähig

Noch nie eine so üble Software gesehen. Schon die Aufmachung ist mittelalterlich. Bis das Programm morgens hochgefahren war ging trotz SSD Minuten. Unter Windows 10 musste man tricksen, damit es überhaupt hochfährt. Eine Unverschämtheit und Zumutung für die Anwaltschaft. Die Programmierer sind meines Erachtens gänzlich unqualifiziert.

Beitrag melden Antworten / Zitieren
muckusch 27.01.2018, 12:19
3. Es ist nicht zu fassen,

Verpflichtung zur teuren Einrichtung und Nutzung wider Willen und dann auch noch das!

Beitrag melden Antworten / Zitieren
Wellenreiterin 27.01.2018, 13:13
4. Die BRAK sollte über ihren Schatten springen

und das ganze System mit optimaler Sicherheit ganz neu angehen. Am Beispiel der Chaos-Flughafens BER sieht man doch, daß sich Mittels nicht oder nur sehr teuer beheben läßt, wenn die Fundamente schon nicht stimmen.
Alles andere gefährdet das Vertrauen in die Vertrauenswürdigkeit unserer Justiz. Schließlich sind Rechtsanwälte Organe der Rechtspflege.

Beitrag melden Antworten / Zitieren
romanpg 27.01.2018, 13:27
5.

Ich bin mir nicht ganz sicher, was ich davon halten soll. Da ich selbst Softwarenetwickler bin, ist mir bewusst, dass ein solches Projekt zahlreiche Tücken bergen kann. Dennoch stellen sich mir hier einige Fragen. Zum einen ist das Entwickeln einer guten P2P Verschlüsselung heutzutage eigentlich keine unlösbare Herausforderung mehr und es gibt dazu mehrere bewerte Vorgehensweisen. Ich vermute allerdings, dass die Ursache für diese Sicherheitslücke in den doch sehr speziell klingenden Anforderungen des Auftraggebers lagen. Hier hätte besser kommuniziert werden müssen, dass diese teilweise kaum mit den Grindlagen sicherer Datenübertragung vereinbar sind. Aber statt dafür eine Lösung zu finden, hat man wohl auf biegen und brechen versucht, das Rad neu zu erfinden. Was mich darüber hinaus sehr verwundert ist, dass bei der Entwicklung eines Systems für derart sensible Daten nicht von vornherein externe Sicherheitsexperten eingebunden wurden und man zugelassen hat, dass gravierende Sicherheitslücken und Diskrepanzen zu den Sicherheitsanforderungen erst im aktiven Betrieb entdeckt werden. Ich denke, das Projekt ist verloren und sollte eingestampft werden. Durch die aufgetreten Probleme ist
das Vertrauen in das System dauerhaft gestört. Der beste Ansatz zu diesem Zeitpunkt kann nur noch eine seriöse Neuentwicklung sein.

Beitrag melden Antworten / Zitieren
jurawel 27.01.2018, 13:33
6. Professionell geht anders?!

Schön das die BRAK mitteilt, man solle den Security Client deinstallieren - wieder am Wochenende und ohne nachvollziehbare Anleitung. Das erinnert fatal an das Gewirr um das Zertifkat vom 22.12. Die PM erfolgte auch am Wochenende, die Anleitung war zunächst wirr und nicht nachvollziehbar und wurde erst auf Beschwerden hin lesbar. Sind eigentlich die technischen Probleme, die die erste Dezember-Hälfte eine Registrierung und Anmeldung fast unmöglich machten gänzlich behoben? Oder ploppt das auch demnächst wieder hoch, etwa wenn die Nutzerzahl steigt? Und wieso werden die Programmpflege-Zwangs-beiträge von den RAKs weiterhin berechnet, obwohl noch keine Wiederinbetriebnahme des beA feststeht und die BRAK die Zahlungen an die Software-Dienstleister nach eigenen Angaben im Dezember gestoppt hat?

Beitrag melden Antworten / Zitieren
chalchiuhtlicue 27.01.2018, 15:51
7. beA hat den "man in the middle" bereits integriert

Im sog. HSM, das unter der Kontrolle der Firma Atos steht, wird eine eingehende Mail entschlüsselt und mit einem neuen Schlüssel verschlüsselt an den Empfänger verschickt. Dies ist KEINE End-zu End-Verschlüsselung! Atos kann an alle Daten, die über ihr HSM laufen, problemlos heran kommen. Das läuft dem, wie ein solches System laufen muss, komplett zu wider, denn die Prämisse, dass Atos lieb und nett ist und niemals Missbrauch begehen wird, ist nicht haltbar. Dass Atos nun das kleinere Problem mit der Zertifikatssicherheit beim Client möglicherweise gelöst hat, ist da nur ein Trostpreis. Was ist eigentlich los in Deutschland, dass große IT-Projekte wie beA oder die elektronische Gesundheitskarte (eGK) zu solchen Katastrophen werden? Meine Vermutung ist, dass komplett unbedarfte Auftraggeber auf IT-Dienstleister treffen, denen es nur ums (große) Geld geht. Bin gespannt, wie es weiter geht. Vermutlich werden sich die BRAK und Atos noch vor Gericht treffen ...

Beitrag melden Antworten / Zitieren
eaglerider 27.01.2018, 16:02
8. katastrophale Unfähigkeit, Chaos

und Überheblichkeit die unsere Standesorganisation da präsentiert. Seit Jahren werden wir auf das beA eingeschworen, mussten Geräte und Chipkarten teuer kaufen... und dann kurz vor der Not wird zum zweiten oder dritten Mal alles abgesagt. Ein Stück aus dem Tollhaus. Seit weit über 10 Jahren funktioniert der elektronische Rechtsverkehr in Österreich. Vielleicht nimmt man einfach mal Kontakt über die „Grenze“ auf... . BER und beA sind kein Unterschied. Der Vorstand der BRAK sollte die Konsequenzen ziehen und sich ablösen lassen.

Beitrag melden Antworten / Zitieren
nasenvogel 27.01.2018, 16:03
9. Digitalisierung als DAS Zukunftsmodell

Guten Tag,
wenn ich mir nach der Lektüre der obigen Zeilen im Artikel so überlege, dass alle Welt – allen voran die „technisch besonders“ Versierten der Bundesregierung – nach der Digitalisierung der Verwaltung schreien und ich mir nun vorstelle, welche Freude bei solchen löchrigen Systemen mit der Sicherheit all unseren persönlichsten Daten und des Know-how der Firmen aufkommt: Na dann gute Nacht! Vielleicht zu schwarz gesehen, jedoch scheint es manchmal so, als ob die Qualität von Produkten generell durch die allgegenwärtige BWL-Bevormundung auf der Strecke bleibt. Eine Schande!

Schönes Wochenende
Dude

Beitrag melden Antworten / Zitieren
Seite 1 von 3