Zum 3. September 2018 ist das besondere Anwaltspostfach (beA), trotz Sicherheitsproblemen, gestartet. Jetzt wurde auch noch bekannt, dass der Dienst inaktive Rechtsanwälte als Nutzer verrät – mit entsprechenden Nachteilen für deren Mandanten.
Anzeige
Das besondere Anwaltspostfach (beA) entwickelt sich, für meinen Geschmack, immer mehr zu einer sehr unappetitlichen Geschichte.
(Quelle: Pixabay CC0 Creative Commons)
Hintergründe zu beA
Das besondere elektronische Anwaltspostfach (beA) soll Rechtsanwälten eigentlich eine einfache und sichere Alternative zum Versand anwaltlicher Dokumente und zum Empfang gerichtlicher Korrespondenz bieten. Es soll die Grundlage für eine sichere Kommunikation des Rechtsanwalts im elektronischen Rechtsverkehr bilden. Betreiber des besondere elektronische Anwaltspostfach (beA) ist die Bundesrechtsanwaltskammer (Brak) in Hamburg.
Anzeige
Eigentlich sollte beA seit dem Jahreswechsel 2018 verpflichtend für alle Rechtsanwälte eingeführt werden. Kurz vor Weihnachten 2017 machte das besondere elektronische Anwaltspostfach (beA) Schlagzeilen, weil es sicherheitstechnisch angreifbar war. Die Versuche, diese Sicherheitslücke zu beheben, wurde zum Desaster, weil neue, noch gravierendere Sicherheitslücken aufgerissen wurden (siehe Links am Artikelende). Zum Jahreswechsel wurde beA abgeschaltet.
beA startete zum 3. September 2018 mit Sicherheitslücken
Letzten Montag ging beA dann wieder in Betrieb, nachdem die Brak die Firma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Sicherheitsexperte Hanno Böck hat den Neustart des beA-Diensts zum Anlass genommen, einen Blick auf dessen Sicherheit unter Berücksichtigung des Secunet-Gutachtens zu werfen. Sein Artikel ist bei Golem erschienen (danke an Blog-Leser Rudi K. für den Hinweis). Hanno Böck schreibt:
Eine dieser Lücken – im Secunet-Gutachten unter Punkt 5.4.1 zu finden – ist jedoch nach wie vor nicht geschlossen, da dies ohne eine grundlegende Änderung der Softwarearchitektur des BeA nicht möglich ist.
Ein Angreifer, der Zugriff auf den Server der Brak hat, könnte jederzeit eine andere Anwendung ausliefern und beispielsweise den Javascript-Code so ändern, dass er den entschlüsselten Inhalt der Nachrichten an Dritte weiterleitet.
Laut Böck sieht die Brak die Sicherheit des beA als gegeben an, kann aber nicht erklären, warum dem so ist.
beA verrät inaktive Nutzer
Und es kommt noch schlimmer. heise.de berichtet in diesem Artikel, dass 'findige' Anwälte auf eine neue Lücke gestoßen sind. Das beA ist für alle Anwälte bereits mit passiver Nutzungspflicht eingerichtet, d.h. ihnen kann ein Dokument im Postfach zugestellt werden. In einem Rechtsstreit ist das relevant, auch wenn der empfangende Anwalt die Dokumente noch nicht abgerufen hat oder abrufen kann.
(Zum Vergrößern klicken, Quelle: heise.de)
Der Abruf ist aber nur möglich, wenn ein Anwalt sich bereits für beA registriert hat. heise.de schreibt nun, dass die Benutzerverwaltung des beA eine Sicherheitslücke aufweist. Diese lässt sich ausnutzen, um Anwälte zu finden, die sich noch nicht registriert haben. Diese besitzen zwar das vorkonfigurierte beA-Postfach, aber keinen Zugriff darauf. Wird ein solches Postfach abgefragt, zeigt beA den Status "vorbereitet aktiv" statt "vollständig aktiv" an. heise.de hat den obigen Screenshot der Suche dazu veröffentlicht und beschreibt auch, wie man diese Lücke ausnutzen kann.
Jetzt muss ein gegnerischer Anwalt nur noch herausfinden, ob der Vertreter der Gegenpartei zu den nicht vollständig aktiven Rechtsanwälten gehört. Stellt er diesem Schriftsätze über beA zu, gelten diese als zugestellt, auch wenn der Anwalt diese nicht abrufen kann. Den Nachteil trägt der Mandant des betreffenden Rechtsanwalts, da er für Fehler seines Rechtsanwalts haftet. Weitere Details zu dieser unappetitlichen Sache lassen sich bei heise.de nachlesen. Willkommen in Neuland.
Ähnliche Artikel
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA-Debakel führt zu möglichem Trojaner-Befall
Neues vom #beagate (beA), ein Brief der BRAK
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
#beA-Splitter zum Wochenendausklang
Risiko: Alten beA-Client sofort deinstallieren
beA: Auch Rechtsanwaltsregister abgeschaltet
Anzeige
Mike Kuketz hat übrigens die begleitende Informationsseite der BRAK mal ein bisschen unter die Lupe genommen…
https://www.kuketz-blog.de/anwaltspostfach-bea-miserable-sicherheitsvorkehrungen-auf-bea-brak-de/
Die Sicherheitslücke wurde auf betreiben von Mike Kuketz bereits behoben
https://www.kuketz-blog.de/bea-sicherheitsvorkehrungen-auf-bea-brak-de-erhoeht-schwachstelle-beseitigt/