Desaster beim Anwaltspostfach: Ist das beA noch zu retten?

2/3: Sicherheitsrisiko Zertifikat: Deinstallation beseitigt die Gefahr

Ein Sicherheitsrisiko besteht hingegen weiterhin für Anwälte, die am Freitag der Aufforderung der BRAK gefolgt sind, ein neues Zertifikat herunterzuladen. Mit diesem Zertifikat, bei dessen Installation bereits in jedem Browser auf bestehende Sicherheitsrisiken hingewiesen wurde, können Angriffe nicht nur auf das beA erfolgen, sondern auch auf andere Seiten. Egal ob Google, Facebook, oder Online-Banking – ein Angreifer könnte Passwörter ausspionieren, Daten manipulieren und vieles mehr. Seit Mittwoch rät auch die BRAK den Anwälten dringend dazu, das Zertifikat zu deinstallieren, eine Anleitung dazu hat sie zwischenzeitlich bereitgestellt. Das IT-Magazin Golem.de bietet einen Test an, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. 

Dazu, wie viele Anwälte betroffen sind, liegen der BRAK nach eigenen Angaben noch keine exakten Zahlen vor. "Aufgrund des Zeitpunkts am Freitag vor Weihnachten und der uns vorliegenden Serverprotokolle gehen wir momentan aber von einer sehr niedrigen Zahl aus", heißt es in ihren schriftlichen Antworten auf Anfragen von LTO. Dabei verschweigt sie, dass sie am 22. Dezember mittags die regionalen Kammern dringend dazu aufforderte, die Information über das nötige Zertifikat noch vor Weihnachten an die Anwälte zu verteilen, was viele Kammern auch noch taten. Die Information hingegen, dass das Zertifikat gefährlich ist und wieder deinstalliert werden muss, erhielten die Kammern erst am 27. Dezember.

Markus Drenger nimmt an, dass die Betroffenen überwiegend in kleinen Kanzleien zu finden sind. "Keine Kanzlei mit einer eigenen IT-Abteilung oder einem fachkundigen IT-Dienstleister hätte dieses Zertifikat heruntergeladen", erklärte das Mitglied vom Chaos Computer Club Darmstadt mit Blick auf die massiven Sicherheitswarnungen schon beim Download. Das Zertifikat ist gefährlich. Wer es aber wieder deinstalliert, verbannt damit auch die* Bedrohungen von seinem Rechner und den Internetverbindungen, die er nutzt.

Sicherheitsrisiko im beA: Lösung kann Monate dauern

Die grundlegende Sicherheitslücke, mit der das beA behaftet ist, wird damit aber nicht einmal angerührt. Die BRAK hat sich nach eigenen Angaben gegen Zwischenlösungen, aber noch nicht final für einen Lösungsweg entschlossen: "Aktuell prüfen wir unterschiedliche Varianten für die Problemlösung", heißt es auf  Anfrage von LTO. Im Grundsatz unterschieden sich diese darin, dass "entweder der Zugang zu beA über ein vollständig und umfassend sicheres Zertifikat aufgebaut oder aber ein Umbau von beA vorgenommen wird, sodass ein ebenso sicherer Zugang ohne Zertifikat möglich wird".

Zum gegenwärtigen Zeitpunkt müsse man, so die BRAK, davon ausgehen, "dass bis zum 1. Januar keine hinreichende Lösung umgesetzt werden kann, die sowohl den Fortbestand der Sicherheit der beA Webanwendungen wie auch die Sicherheit der individuellen Client Security eines jeden Anwalts garantieren kann". 

CCC-Mitglied Drenger schätzte bei einem Vortrag zum Anwaltspostfach in Leipzig am Donnerstag, dass die Sicherheitslücken nicht innerhalb von drei bis vier Monaten zu beheben seien. Nach seiner Einschätzung muss der gesamte Client neu geschrieben werden. Im Gespräch mit LTO sagte der IT-Sicherheitsexperte, der das beA geprüft und die Zertifizierungsstelle auf die Sicherheitslücken aufmerksam gemacht hat, es gehe um ein immenses Sicherheitsproblem, das tief in der Architektur der Software verankert ist. Drenger hält das gesamte IT-Projekt beA für "unprofessionell - sowohl entwickelt als auch getestet". Bei seinem Vortrag zum Anwaltspostfach in Leipzig am Donnerstag sagte er, die Sicherheitslücken hätte jeder mit IT-Know-how "auf Erstsemester-Niveau" finden können.

Er bezieht sich auf die Verschlüsselung. Jedem Anwaltspostfach ist dazu ein Schlüsselpaar zugewiesen. Ein Schlüssel ist öffentlich, einer privat. Jeder Nutzer muss, damit die Sicherheit gewährleistet ist, über einen individuellen privaten Schlüssel verfügen, den nur er kennt. Beim beA aber sind die privaten Schlüssel aller Nutzer identisch und öffentlich zugänglich – laut Drenger ein Verstoß gegen alle gängigen IT-Sicherheitsstandards.

Das am Freitag von der BRAK empfohlene Vorgehen, ein neues Zertifikat zu installieren, hätte diese Sicherheitslücke auch nicht geschlossen, sondern sie lediglich kaschiert. Die privaten Schlüssel blieben weiter identisch und öffentlich zugänglich. 

*Kleine Änderung auf Leserhinweis, 29.12.2017, 10:45 h.