Besonderes elektronisches Anwaltspostfach: Zur Sicherheit sollen Rechtsanwälte die beA Client Security deaktivieren
Die Bundesrechtsanwaltskammer hat die erste Lehre aus ihrem beAthon gezogen. Die gar nicht sichere Client Security der beA-Software soll nun von den Anwältinnen und Anwälten umgehend deaktiviert werden.
Beim besonderen elektronischen Anwaltspostfach überschlagen sich die Ereignisse. Während der technische Dienstleister Atos als Entwickler und Betreiber der beA-Plattform gestern noch mitteilen ließ, die Sicherheitsprobleme der Client Security seien nun durch neue Zertifikate wiederhergestellt, konnten sich die Juristen der Bundesrechtsanwaltskammer (BRAK) bei ihrem beAthon gestern vorführen lassen, dass dies nicht die einzige Sicherheitslücke ist. So hatte man zwar am 22. Dezember letzten Jahres das beA serverseitig abgeschaltet und den Anwälten empfohlen, das von der Atos verteilte Zertifikat zu deinstallieren, hatte dabei aber vermisst, auch die Client Software still zu legen. Und so lief dort weiterhin die sogenannte Client Security als lokaler Webserver mit sämtlichen veralteten Java-Bibliotheken, die Markus Drenger und Felix Rohrbach vom Chaos Darmstadt e.V. bereits moniert hatten.
Client Security umgehend deaktivieren
Gestern Abend verschickte die BRAK daraufhin einen Newsletter und gab eine Pressemitteilung heraus: "Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren." Am sichersten erscheint es, die gesamte Softwareinstallation zu entfernen, da beA ohnehin erst nach der Prüfung einer neuen Client Security wieder in Betrieb genommen werden kann.
Die BRAK führt aus, dass sie "ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen (hat), diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt." Dabei ist den Juristen wohl entgangen, dass diese Lücke auf allen Anwalts-PC mit der alten beA-Software weiterhin besteht. Vor dem beAthon hat sie jedenfalls nicht dafür Sorge getragen, das Problem auch zu lösen.
beAthon nur ein Auftakt
Während des beAthon war es auf Twitter merkwürdig still. Nach dem Event meldete sich Drenger dann zurück: "zeitlich kurz, fühlt sich aber wie marathon an. #beA". Gut zwei Stunden später schob er mit etwas mehr Abstand nach: "Hab ich viel erwartet? Nein. Fand ich, dass es gut lief? Ja. Es lief sehr produktiv, ich habe quasi alle Dinge auf dem Zettel in den Bugtracker geworfen. Ich hoffe, der beAthon war ein Auftakt, Dinge besser zu machen."
Die BRAK akzeptierte in ihrer Meldung die von Atos bereitgestellte neue beA-Version wohl etwas voreilig "als sichere Basis". Das war die alte Version schließlich auch, bis der CCC den Anwälten den Spiegel vorhielt. Die Sicherheitslücken, welche die BRAK gestern erst zur Kenntnis nahmen, bestanden von Anfang an und wurden bereits vor Wochen durch Drenger und Rohrbach gemeldet. Nun muss durch qualifizierte und unabhängige Sicherheitsfachleute gründlich und umfassend geprüft werden. Sonst stolpert das beA von einem Schlagloch zum nächsten. (vowe)
