Veröffentlicht am: 30. Jan. 2018
Diskussionen um die Sicherheit des beA gehen in die nächste Runde
Nachdem es vom Chaos Computer Club Hinweise auf eine massive Sicherheitslücke beim Umgang mit den Schlüsseln beim besonderen elektronischen Anwaltspostfach (beA) gab, wurden umfangreiche Überprüfungen eingeleitet. Die dazugehörige Plattform wurde vorsorglich vom Netz genommen. Nun fordert die Bundesrechtsanwaltskammer Anwälte und Notare nachdrücklich dazu auf, die alte Version der beA Client Security schnellstmöglich zu deaktivieren oder besser gleich gänzlich zu deinstallieren.
Warum sollte die Deaktivierung erfolgen?
Inzwischen konnte die Sicherheitslücke bei der Umverschlüsselung der Dokumente geschlossen werden. Doch bei der eigens dafür durchgeführten Fachkonferenz BeAthon zeigte der Chaos Computer Club weitere Sicherheitslücken bei der beA-Software in der alten Version auf. Sie finden sich bei der Nutzung der dafür benötigten Java-Bibliotheken. Diese sind für die Kodierung der zu übertragenden Dokumente zuständig. Über diese Bibliotheken kann Schadcode auf die Rechner der Nutzer geschleust werden. Der Hauptkritikpunkt dabei ist, dass die beA-Software auf veraltete Versionen der Java-Bibliotheken zugreift. Außerdem führte der Chaos Computer Club vor, dass es möglich ist, über eine präparierte Website Daten zur beA-Client-Software auszulesen.
Wie geht es nun mit dem beA weiter?
Auf der BeAthon-Konferenz wurde beschlossen, dass weiter intensiv an der Beseitigung der Schwachstellen der beA-Software gearbeitet wird. Wann eine neue Version ohne die benannten Sicherheitslücken zur Verfügung steht, ist derzeit noch nicht genau absehbar.
Was ist zu tun ?
Wir kümmern uns bei unseren Kunden im Rahmen der IT-Systembetreuung um die empfohlene Deaktivierung und behalten die weitere Entwicklung im Auge. Sobald die neue Version der Clientsoftware für das besondere elektronische Anwaltspostfach zur Verfügung steht, nehmen wir die notwendigen Installationen vor.