![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum 3. September 2018 ist das besondere Anwaltspostfach (beA), trotz Sicherheitsproblemen, gestartet. Jetzt wurde auch noch bekannt, dass der Dienst inaktive Rechtsanw\u00e4lte als Nutzer verr\u00e4t \u2013 mit entsprechenden Nachteilen f\u00fcr deren Mandanten. <\/p>\n
<\/p>\n
Das besondere Anwaltspostfach (beA) entwickelt sich, f\u00fcr meinen Geschmack, immer mehr zu einer sehr unappetitlichen Geschichte. <\/p>\n
Das besondere elektronische Anwaltspostfach<\/em> (beA) soll Rechtsanw\u00e4lten eigentlich eine einfache und sichere Alternative zum Versand anwaltlicher Dokumente und zum Empfang gerichtlicher Korrespondenz bieten. Es soll die Grundlage f\u00fcr eine sichere Kommunikation des Rechtsanwalts im elektronischen Rechtsverkehr bilden. Betreiber des besondere elektronische Anwaltspostfach (beA) ist die Bundesrechtsanwaltskammer (Brak) in Hamburg. <\/p>\n Eigentlich sollte beA seit dem Jahreswechsel 2018 verpflichtend f\u00fcr alle Rechtsanw\u00e4lte eingef\u00fchrt werden. Kurz vor Weihnachten 2017 machte das besondere elektronische Anwaltspostfach (beA) Schlagzeilen, weil es sicherheitstechnisch angreifbar war. Die Versuche, diese Sicherheitsl\u00fccke zu beheben, wurde zum Desaster, weil neue, noch gravierendere Sicherheitsl\u00fccken aufgerissen wurden (siehe Links am Artikelende). Zum Jahreswechsel wurde beA abgeschaltet.<\/p>\n Letzten Montag ging beA dann wieder in Betrieb, nachdem die Brak die Firma Secunet beauftragt, die Sicherheit des BeA zu pr\u00fcfen. Sicherheitsexperte Hanno B\u00f6ck hat den Neustart des beA-Diensts zum Anlass genommen, einen Blick auf dessen Sicherheit unter Ber\u00fccksichtigung des Secunet-Gutachtens zu werfen. Sein Artikel ist bei Golem erschienen (danke an Blog-Leser Rudi K. f\u00fcr den Hinweis). Hanno B\u00f6ck schreibt:<\/p>\n Eine dieser L\u00fccken – im Secunet-Gutachten<\/a> unter Punkt 5.4.1 zu finden – ist jedoch nach wie vor nicht geschlossen, da dies ohne eine grundlegende \u00c4nderung der Softwarearchitektur des BeA nicht m\u00f6glich ist.<\/p>\n Ein Angreifer, der Zugriff auf den Server der Brak hat, k\u00f6nnte jederzeit eine andere Anwendung ausliefern und beispielsweise den Javascript-Code so \u00e4ndern, dass er den entschl\u00fcsselten Inhalt der Nachrichten an Dritte weiterleitet.<\/p>\n<\/blockquote>\n Laut B\u00f6ck sieht die Brak die Sicherheit des beA als gegeben an, kann aber nicht erkl\u00e4ren, warum dem so ist. <\/p>\n Und es kommt noch schlimmer. heise.de berichtet in diesem Artikel<\/a>, dass 'findige' Anw\u00e4lte auf eine neue L\u00fccke gesto\u00dfen sind. Das beA ist f\u00fcr alle Anw\u00e4lte bereits mit passiver Nutzungspflicht eingerichtet, d.h. ihnen kann ein Dokument im Postfach zugestellt werden. In einem Rechtsstreit ist das relevant, auch wenn der empfangende Anwalt die Dokumente noch nicht abgerufen hat oder abrufen kann.<\/p>\n Der Abruf ist aber nur m\u00f6glich, wenn ein Anwalt sich bereits f\u00fcr beA registriert hat. heise.de schreibt nun, dass die Benutzerverwaltung des beA eine Sicherheitsl\u00fccke aufweist. Diese l\u00e4sst sich ausnutzen, um Anw\u00e4lte zu finden, die sich noch nicht registriert haben. Diese besitzen zwar das vorkonfigurierte beA-Postfach, aber keinen Zugriff darauf. Wird ein solches Postfach abgefragt, zeigt beA den Status \"vorbereitet aktiv\" statt \"vollst\u00e4ndig aktiv\" an. heise.de hat den obigen Screenshot der Suche dazu ver\u00f6ffentlicht und beschreibt auch, wie man diese L\u00fccke ausnutzen kann. <\/p>\n Jetzt muss ein gegnerischer Anwalt nur noch herausfinden, ob der Vertreter der Gegenpartei zu den nicht vollst\u00e4ndig aktiven Rechtsanw\u00e4lten geh\u00f6rt. Stellt er diesem Schrifts\u00e4tze \u00fcber beA zu, gelten diese als zugestellt, auch wenn der Anwalt diese nicht abrufen kann. Den Nachteil tr\u00e4gt der Mandant des betreffenden Rechtsanwalts, da er f\u00fcr Fehler seines Rechtsanwalts haftet. Weitere Details zu dieser unappetitlichen Sache lassen sich bei heise.de nachlesen. Willkommen in Neuland. <\/p>\n \u00c4hnliche Artikel<\/strong> Zum 3. September 2018 ist das besondere Anwaltspostfach (beA), trotz Sicherheitsproblemen, gestartet. Jetzt wurde auch noch bekannt, dass der Dienst inaktive Rechtsanw\u00e4lte als Nutzer verr\u00e4t \u2013 mit entsprechenden Nachteilen f\u00fcr deren Mandanten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-208720","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208720"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208720\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Recht\"](\"https:\/\/i.imgur.com\/0z2Nlwy.jpg\"\/ "\\"Recht\\"")
(Quelle: Pixabay CC0 Creative Commons<\/a>) <\/p>\nHintergr\u00fcnde zu beA<\/h2>\n<\/p>\n
beA startete zum 3. September 2018 mit Sicherheitsl\u00fccken<\/h2>\n
\n
beA verr\u00e4t inaktive Nutzer<\/h2>\n
![\"beA-Suche\"](\"https:\/\/www.heise.de\/imgs\/18\/2\/4\/9\/4\/6\/2\/5\/Screenshot-www-b168f5b25ffe00aa-f8d473e3a6c1a5f0.png\" "\\"beA-Suche\\"")
<\/a>
(Zum Vergr\u00f6\u00dfern klicken<\/a>, Quelle: heise.de)<\/p>\n
Offline: BeA bleibt nach Sicherheitspanne vorerst offline<\/a>
beA-Debakel f\u00fchrt zu m\u00f6glichem Trojaner-Befall<\/a>
Neues vom #beagate (beA), ein Brief der BRAK
<\/a>beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach<\/a>
#beA-Splitter zum Wochenendausklang<\/a>
Risiko: Alten beA-Client sofort deinstallieren<\/a>
beA: Auch Rechtsanwaltsregister abgeschaltet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"