23.12.2017

Warnung vor dem besonderen elektronischen Anwaltspostfach (beA)

Portrait von Matthias Bergt
Matthias Bergt

Kaum hat das Bundesverfassungsgericht eine Verfassungsbeschwerde gegen das besondere elektronische Anwaltspostfach (beA) zurückgewiesen, wünscht man sich als Anwalt mit etwas IT-Sachverstand eine einstweilige Anordnung gegen das beA her: Denn um das beA weiter nutzen zu können, muss man „ein zusätzliches Zertifikat installieren“, für den „Kommunikationsaufbau zwischen Browser und beA-Anwendung“, wie die Bundesrechtsanwaltskammer (BRAK) gestern mitteilte. Was sie nicht mitteilte: Wer dieser Anweisung folgt, zerstört die IT-Sicherheit in der Kanzlei.

beA vom Netz

Zwar ist das beA zwischenzeitlich wegen „Wartungsarbeiten“ wegen „vereinzelter Verbindungsprobleme“ vom Netz. Doch obwohl ich die Kammer und den Hersteller gestern über die Problematik informiert habe, gibt es immer noch keine ehrliche Kommunikation, und die gefährliche Anleitung wird weiter verbreitet. Immerhin ist der Sondernewsletter, der zur Installation des Zertifikats auffordert, von der BRAK-Homepage verschwunden.

Das verlangt die BRAK von den Anwälten

Gestern informierte die BRAK mit einem Sondernewsletter:

„Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren. Dieses dient dem Kommunikationsaufbau zwischen Browser und beA-Anwendung. Gespeicherte Daten und Verschlüsselungsprozess sind hiervon nicht betroffen.

Eine Anleitung, wie Sie das Zertifikat installieren können, finden Sie HIER (PDF).

Wir bitten um Verständnis für diese Maßnahme, die für das sichere und reibungslose Funktionieren Ihres beA erforderlich ist.

Aktuelle Informationen sowie Antworten auf Fragen rund um das beA finden Sie auf den Webseiten http://bea.brak.de und http://www.brak.de.“

Wording und Vorgehen erinnern an eine Phishing-Attacke, sodass ich mich als erstes einmal überzeugt habe, dass die Aufforderung echt ist – ist sie leider.

Das ist das Problem (1)

Wer die Anleitung liest, stolpert über die Warnung, dass seriöse Unternehmen und Behörden so etwas nicht verlangen werden. Doch der Anwalt soll die Warnungen in den Wind schlagen.

Wer tut, wie ihm in der Anleitung geheißen, hat am Ende nicht nur ein Zertifikat für die Kommunikation zwischen Browser und beA-Anwendung installiert, sondern auch eine neue Zertifizierungsstelle zu seinem System hinzugefügt. Klingt erst mal nicht so schlimm - ist es aber.

Denn diese Zertifizierungsstelle kann, wie auch die Screenshots in der Anleitung zeigen, Zertifikate für jede beliebige Domain ausstellen, die dann vom Rechner des Anwalts als sicher eingestuft werden - ein "Sicherheitsrisiko", wie es beschönigend im Screenshot heißt. Die Domain kann die verwendete Domain bealocalhost.de sein - oder https://www.google.com oder https://www.boetticher.com oder https://www.berliner-volksbank.de oder was auch immer. Mit diesem Zertifikat kann dann ein Angreifer eine falsche Identität vortäuschen.

Happy Birthday!

Das ist das Problem (2)

Als wäre das noch nicht Problem genug, ist der private Schlüssel dieser neuen Zertifizierungsstelle auch noch auszulesen - und damit öffentlich verfügbar. Das heißt, Hinz und Kunz und ihre kriminellen Kollegen haben alles in der Hand, was sie für einen Angriff auf alle deutschen Rechtsanwälte benötigen.

Frohe Ostern!

Das ist das Problem (3)

Da fällt dann gar nicht mehr ins Gewicht, dass wegen eines grundsätzlichen Designproblems auch noch weitere Angriffe auf das beA denkbar sind - bealocalhost.de ist eine öffentlich zugängliche, nicht mal über DNSSEC gesicherte Domain (nicht, dass Normaluser DNSSEC nutzen würden, aber von einem Anbieter sicherheitskritischer Dienste sollte man es erwarten). Braucht man nur ein wenig im DNS zu manipulieren.

Fröhliche Weihnachten!

Konsequenz

Wenn die BRAK das beA ohne eingehende Reparatur (die in der Kürze der Zeit eine echte Leistung wäre) wieder ans Netz nimmt - wer beantragt die einstweilige Anordnung?

Ach ja, und sollte jemand schon der Anleitung gefolgt sein - bitte die Zertifizierungsstelle sofort wieder löschen!

Dann funktioniert natürlich das beA nicht mehr - und ab 1. Januar ist die Nutzung für jeden Anwalt Pflicht.

Prost Neujahr!

Weitere Informationen

Golem.de: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre (mit Test, ob man verwundbar ist)

heise.de: beA: Schwere Panne beim "besonderen elektronischen Anwaltspostfach"

Zurück