Schwere Panne beim besonderen elektronischen Anwaltspostfach. Der beA-Client verteilte den Private Key des von T-Systems signierten Zertifikates, statt eines öffentlichen Schlüssels.
Anzeige
Das berichtet heise.de hier unter Berufung auf die Eilmitteilung der Bundesrechtsanwaltskammer. In der Eilmeldung heißt es ganz harmlos:
Zusätzliches Zertifikat für die beA-Nutzung notwendig
Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren. Dieses dient dem Kommunikationsaufbau zwischen Browser und beA-Anwendung. Gespeicherte Daten und Verschlüsselungsprozess sind hiervon nicht betroffen.
Dazu muss man wissen, dass das besondere elektronische Anwaltspostfach (beA) zum 1. Januar 2018 "passiv nutzungspflichtig" wird, d.h. jeder Rechtsanwalt muss kontrollieren, ob ihm dort Schriftstücke zugeschickt wurden.
Grund für den Zertifikatswechsel
Laut heise.de war einem IT-Dienstleister (konkret war es Markus Drenger vom Chaos Computer Club Darmstadt) nämlich aufgefallen, dass der beA-Client den Private Key des von T-Systems signierten Zertifikates (und nicht den Public Key) verteilte. Nach den allgemeinen Regeln für Sicherheitszertifikate musste dieser Key für ungültig erklärt werden. Die 'Nachbesserungsaktion' mit Ausgabe eines selbst signierten Zertifikats machte die Sache noch schlimmer, wie man in dem nachfolgend erwähnten Golem-Artikel nachlesen kann. Klingt nach einem holprigen Start und nicht gerade nach:
Das besondere elektronische Anwaltspostfach (beA) bietet Rechtsanwälten eine neue, einfache und sichere Alternative zum Versand anwaltlicher Dokumente und zum Empfang gerichtlicher Korrespondenz. Es bildet die Grundlage für eine sichere Kommunikation des Rechtsanwalts im elektronischen Rechtsverkehr.
Denn mit dem privaten Schlüssel hätte jeder, der sich in die Datenströme einklinken kann, die Kommunikation aufbrechen, mitlesen und auch manipulieren können.
Anzeige
Ergänzung: Beachtet die zwischenzeitlich bei heise.de vorgenommenen Updates – und vor allem den Verweis auf den Golem-Artikel, den Martin Feuerstein in nachfolgendem Kommentar verlinkt hat. Da ist die ganze Aktion wohl ziemlich in die Hose gegangen.
Anzeige
Ist das besondere Behördenpostfach auch von dem Problem betroffen?
Kann ich aktuell nicht beantworten. Gefunden habe ich auf die Schnelle nichts. Falls betroffen, sollten die Nutzer eine Mail bekommen haben.
Golem.de hat einen Artikel mit mehr Details zum beA-Problem veröffentlicht: https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html. Geht wohl in die Richtung "Superfish".
Danke für die Ergänzung.