![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" "\\"Sicherheit\\"")
Noch eine kurze Info zum besonderen elektronischen Anwaltspostfach (beA), welches sich zum Desaster entwickelt. Jetzt kommt die Nachricht, dass alle Anw\u00e4lte, die beA verwenden und das letzte Zertifikat vom 22. Dezember 2017 installierten, dringend einen Virenscan durchf\u00fchren m\u00fcssen. Beim Grund rollen sich die Fu\u00dfn\u00e4gel hoch. Zudem wird bekannt, wie dilettantisch das Ganze aufgesetzt wurde.<\/p>\n
<\/p>\n
Im Artikel beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach<\/a> hatte ich berichtet, dass die Bundesrechtsanwaltskammer das Zertifikat f\u00fcr den Mailversand zum 22. Dezember 2017 erneuern musste. Alle Anw\u00e4lte erhielten die Aufforderung, das neue Zertifikat zu installieren. Das ging aber noch mehr in die Hose, so dass beA schlie\u00dflich offline genommen werden musste (siehe mein Blog-Beitrag Offline: BeA bleibt nach Sicherheitspanne vorerst offline<\/a>). Die weitere Zukunft von beA ist ungewiss. H\u00e4tte es sein k\u00f6nnen, aber das Ganze geht noch weiter, nachdem die Details und die Folgen bekannt werden.<\/p>\n Auf dem 34C4-Hackerkongress in Leipzig haben Markus Drenger und Felix Rohrbach vom Chaos Computer Club Darmstadt, denen das urspr\u00fcngliche Zertifikatsproblem auffiel, Details genannt. Die Kollegen von heise.de haben die Details im Artikel 34C3: Das besondere Anwaltspostfach beA als besondere St\u00fcmperei<\/a> aufbereitet. Heise schreibt, dass die beiden Hacker, entgegen der Darstellung der Bundesrechtsanwaltskammer<\/a> (BRAK), keinen Angriff auf die Software unternommen. Der Versuch, nach dem Informationsfreiheitsgesetz von der BRAK, dem Dienstleister Atos als beA-Lieferant und dem Zertifizierer der Software Ausk\u00fcnfte zu erhalten, wurde unter Berufung auf \"Gesch\u00e4ftsgeheimnisse\" abgelehnt. Also analysierten die beiden \u00f6ffentlich zug\u00e4ngliche Dokumente. Diese Analyse der f\u00fcr 38 Millionen Euro von Atos ab 2014 entwickelten Software offenbarte zahlreiche M\u00e4ngel.<\/p>\n Dieser Ansatz f\u00fchrte zu dem oben erw\u00e4hnten Zertifikatsdesaster. Auch sonst scheint das System etwas antiquiert. Anw\u00e4lte k\u00f6nnen ihre Mail nur an ein Gericht oder einen Anwalt schicken, m\u00fcssen, wegen des eingebauten Spamschutzes, nach jeder Mail 15 Minuten bis zum Versand der n\u00e4chsten Mail warten. Mails d\u00fcrfen nicht gr\u00f6\u00dfer als 30 MByte sein. <\/p>\n Eine Mail wird beim Versand vom Client des Anwalt verschl\u00fcsselt und zum beA-Verteiler geschickt. Dort wird sie von einem besonderen Hardware-Sicherheits-Modul (HSM) entschl\u00fcsselt und f\u00fcr den Zielempf\u00e4nger neu verschl\u00fcsselt. Das HSM hat (so die Analyse der Darmst\u00e4dter Hacker) die privaten Schl\u00fcssel aller Anw\u00e4lte gespeichert. Dies erm\u00f6glicht es, eine Mail zu anderen Anw\u00e4lten umzuleiten (weil der urspr\u00fcngliche Empf\u00e4nger verhindert ist). Wird der beA-Verteiler gehackt, lassen sich alle Mails mit den Zertifikaten entschl\u00fcsseln und mitlesen. Eine sichere \"Ende-zu-Ende-Kommunikation mit Verschl\u00fcsselung\" ist das eher nicht. Weitere Details zu diesem Aspekt lassen sich bei heise.de<\/a> nachlesen. Ich w\u00fcrde sagen, dass die Entwickler hoffnungslos \u00fcberfordert waren. <\/p>\n Aber die Geschichte geht noch weiter. Es scheint wohl einen Fall zu geben, wo ein System durch das Zertifikat mit einem Trojaner infiziert wurde. Auf dem Twitter-Kanal von openJur e.V. findet sich dieser Tweet<\/a> (Info von hier<\/a>).<\/p>\n #popcorn<\/a> #beAGate<\/a> pic.twitter.com\/O9vYkW64Pt<\/a><\/p>\n \u2014 openJur e.V. (@openjur) 30. Dezember 2017<\/a><\/p><\/blockquote>\nDas K\u00fcrzel beA steht f\u00fcr das besondere elektronische Anwaltspostfach<\/a> (beA). Dieses sollte zum 1. Januar 2018 \"passiv nutzungspflichtig\" werden, d.h. jeder Rechtsanwalt muss kontrollieren, ob ihm dort Schriftst\u00fccke zugeschickt wurden. So weit die Theorie.<\/p>\n
Scheitern mit Ansage: Dilettantismus pur<\/h2>\n
\n
Trojanerbefall festgestellt<\/h2>\n
\n