Experten diskutieren übers Anwaltspostfach: Ist das beA noch zu retten?

von Annelie Kaufmann

22.01.2018

Seit dem 1. Januar müssen Anwälte das beA passiv nutzen – doch es ist seit Weihnachten wegen erheblicher Sicherheitslücken offline. Am Montag waren alle Experten für System-Tests. Allerdings mit unterschiedlich optimistischen Prognosen.

Geprüft hat der Chaos Computer Club die beA-Konstruktion. "Das machen wir in unserer Freizeit", betonte Markus Drenger vom CCC Darmstadt am Montag bei der Veranstaltung des Deutschen Anwaltvereins (DAV) in Berlin. "Das ist etwas anderes als ein umfassender Sicherheitscheck." Aber schon bei diesem Schnellcheck hat Drenger, der die Probleme kurz vor Weihnachten entdeckte, zahlreiche Sicherheitslücken gefunden. Zum Beispiel unsichere Dokumente und Probleme mit dem Webserver, die laut dem IT-Experten "jeder Erstsemester" finden kann. Offenbar habe man im Vorfeld kaum Sicherheitsprüfungen vorgenommen.

Auch für Spam und DoS-Attacken ist das beA anfällig. Angreifer könnten Kanzleien oder Gerichte mit massenhaften beA-Nachrichten lahmlegen, erklärte Drenger. Möglich wäre auch, dass sich Hacker als BRAK ausgeben und Informationen abfangen, ohne dass die Nutzer das bemerken.

Die Client Security ist unsicher, die angebliche Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, zumindest grundlegend gefährdet. Die für das System verantwortliche Bundesrechtsanwaltskammer (BRAK) hat offenbar Zugang zu allen privaten Schlüsseln und damit zu den eigentlich vertraulichen Nachrichten der Rechtsanwälte.

Aufzeichnung der Veranstaltung

Anders als die BRAK: BNotK hat auf Hinweise des CCC reagiert

Drenger kritisierte am Montag, dass sich die BRAK nicht auf diverse Angriffsszenarien oder mögliche Probleme vorbereitet habe. "Man geht eben davon aus, das findet alles in einer sicheren Umgebung statt, wird von vertrauensvollen Leuten betrieben und es gibt da niemanden, der etwas Böses will." 

Hinzu kommt: Das beA ist völlig veraltet – so wird etwa Windows 10 nicht unterstützt. Das ergibt sich jedenfalls aus den bisher vorliegenden Dokumenten der BRAK. Möglich wäre natürlich auch, dass diese Dokumente veraltet sind, so Drenger. BRAK-Vertreter, die das aufklären könnten, waren allerdings nicht vor Ort, man wolle sich nicht weitergehend äußern, als dies in den Mitteilungen der vergangenen Woche geschehen sei, ließ Präsident Ekkehart Schäfer ausrichten. 

Die vielen Sicherheitsprobleme ließen sich "wohl kaum innerhalb einer Woche patchen", betont Drenger. Das werde Wochen oder Monate dauern. 

Der CCC hat sich verpflichtet, Sicherheitslücken zunächst an die BRAK zu melden, damit diese reagieren kann. Das ist nicht unbedingt selbstverständlich. Schließlich gibt es auch Hacker, die solche Informationen direkt an die Presse geben oder im Darknet an Kriminelle verkaufen. Drenger rät deshalb dringend dazu, solche Meldungen als Chance zu begreifen. Die BRAK habe allerdings teilweise nicht oder deutlich verspätet auf CCC-Hinweise reagiert – anders als etwa die Bundesnotarkammer (BNotK), die der CCC ebenfalls auf Probleme beim besonderen elektronischen Notarpostfach (BeN) hingewiesen habe und die mit Updates auf die Hinweise reagiert habe.   

Ausschuss-Vorsitzender ERV: "Bei E-Mails sind wir nicht so kritisch"

Der DAV forderte mehr Transparenz von Seiten der BRAK und ihrer Dienstleister, eine dauerhafte Unterstützung durch einen technischen Fachbeirat, eine regelmäßige unabhängige Begutachtung und die Einrichtung eines Kanzleipostfachs, das es ermöglicht, dass nicht nur einzelne Anwälte, sondern auch Kanzleikollegen gemeinsam auf das Postfach zugreifen können.

Martin Schafhausen, der die DAV-Position erläuterte, dass es derzeit keine passive Nutzungspflicht für die Anwälte gebe, mahnte dazu, sicherer Kommunikation überhaupt einen höheren Stellenwert einzuräumen: "Keiner von uns würde seinem Mandanten eine Postkarte schicken – bei Emails sind wir da nicht so kritisch", so der Vorsitzende des Ausschusses Elektronischer Rechtsverkehr des DAV.

Auch Ralph Vonderstein erinnerte daran, dass die meisten Anwälte Kommunikation unverschlüsselt nutzten. Der Leiter des Geschäftsbereichs Legal Software bei Wolters Kluwer, zu der auch LTO gehört, wies darauf hin, dass mit den Nutzern professioneller Kanzlei-Software der Großteil der Anwälte die unsichere Client Security gar nicht nutzen müssten. Vonderstein geht aber davon aus, dass man das beA retten könne. Jetzt brauche es bei der BRAK einen Verantwortlichen für das Projekt: "der sich verantwortlich fühlt, das nach außen hin vertritt und frei ist in dem, was er tut". Und es brauche die Kultur, eine sich entwickelnde Software zu bauen.

Mit Prof. Dr. Peter Bräutigam vom Geschäftsführenden Ausschuss der ARGE IT-Recht wies ein weiteres Mitglied der DAV-Führungsriege darauf hin, dass es letztlich im Interesse der Anwälte selbst liege, dass das beA bald läuft. "Es ist unsere BRAK . Es ist unser Projekt. Es ist unser beA. Wir reichen der BRAK die Hand", betonte der Münchner IT-Rechtler.

IT-Rechtlerin: "Kann auch sein, dass das beA nicht zu reparieren ist"

Weniger optimistisch äußerte sich Rechtsanwältin Nina Diercks. Bisher gehe es nur um dezentrale Kommunikation, also um die Daten einzelner Kanzleien. "Über das beA soll aber die gesamte Korrespondenz der deutschen Anwaltschaft laufen. Wer könnte daran Interesse haben?" Geheimdienste etwa oder auch Kriminelle, erklärte die IT- und Datenschutzrechtlerin.  

Einig waren sich deshalb alle, dass es nun umfangreiche Tests geben muss. Mindestens einen sogenannten Whitebox-Test, so CCC-Mitglied Drenger. Dabei überprüfen unabhängige Experten den gesamten Code. Erst wenn die BRAK umfangreiche Tests vornehme und veröffentliche, lasse sich also die entscheidende Frage beantworten: Ist das beA noch zu retten?

Von dem für Freitag geplanten sog. beAthon der BRAK versprechen sich die Experten jedenfalls nicht viel. "Das ist eine Nachmittagsveranstaltung", sagte Drenger. Diercks bezeichnete die vierstündige Veranstaltung, bei der es sich nicht um einen Hackathon handeln wird, als Presse-Event. Für den DAV-Präsidenten Ulrich Schellenberg könnte es immerhin „der erste Schritt für einen Marathon" sein.  

Diercks warnte davor, sich vorschnell festzulegen: "Es muss auch möglich sein, dass das Ergebnis lautet: Dieses Ding ist nicht zu reparieren." Dann müsse es eben noch ein Jahr lang ohne gehen und das beA neu aufgesetzt werden.

BMJV: Was ist fehlerhaft und wie kann man die Fehler beheben?

Ob sich das System reparieren lässt und wie die BRAK nun konkret vorgehen will, konnte die Veranstaltung nicht klären - auch weil niemand von der BRAK anwesend war. Vom Bundesministerium der Justiz und für Verbraucherschutz saßen zwar drei Vertreter im Publikum; zur Frage, wie es nun mit der Rechtsaufsicht über die BRAK aussieht, will sich auch das Ministerium aber derzeit nicht äußern. 

Ministerialdirektorin Marie Luise Graf-Schlicker sagte, der wichtigste Schritt sei nun, aufzuklären, was fehlerhaft sei und welche Schritte unternommen werden müssten, damit das beA schnellstmöglich entsprechend den gesetzlichen Vorgaben an den Start gehen könne.

Wer Schuld hat an den zahlreichen Pannen, ist bisher nicht endgültig zu beurteilen. Diercks forderte, auch das aufzuklären: "Wenn jetzt keine Analyse stattfindet, wie all diese Fehler zustande gekommen sind, dann werden sich diese Fehler reproduzieren."

Das Postfach sollte ursprünglich bereits im Jahr 2016 online gehen. Der Start verzögerte sich zunächst wegen technischer Probleme, dann aufgrund mehrerer Klagen. Erst Ende November 2016 ging es los, die Anwälte meldeten sich jedoch eher schleppend im System an. Kurz vor Weihnachten nahm die BRAK dieses vom Netz, nachdem man gravierende Sicherheitsmängel festgestellt hatte. Vorerst soll das Elektronische Gerichts- und Verwaltungspostfach (EGVP) zumindest bis Ende Mai weiterlaufen, das beschloss die Bund-Länder-Kommission (BLK) für Informationstechnik in der Justiz am vergangenen Freitag.

Weitgehend ausgeklammert wurde am Montag auch die Frage der Kosten: Die rund 165.000 Anwälte in Deutschland zahlen seit 2015 jährlich einen gesonderten Beitrag zuzüglich zum Kammer-Beitrag. Laut der BRAK haben sie bislang insgesamt rund 32,5 Millionen Euro geleistet. Die KBRAK will die Umlage auch 2018 abrufen, sie liegt derzeit bei 58 Euro pro Jahr und Anwalt. Anträge mehrerer regionaler Kammern, die das für nicht vermittelbar halten, waren nicht erfolgreich. Die BRAK erklärte, die Kosten fielen "unter anderem für die Entwicklung des beA-Systems, den Betriebsaufwand der Rechenzentren und den Support durch einen Service Desk verwendet" und damit unabhängig davon an, ob das Postfach online ist oder nicht.

Zitiervorschlag

Annelie Kaufmann, Experten diskutieren übers Anwaltspostfach: Ist das beA noch zu retten? . In: Legal Tribune Online, 22.01.2018 , https://www.lto.de/persistent/a_id/26615/ (abgerufen am: 15.11.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 22.01.2018 21:43, RA Heyland

    Der Artikel ist eine sehr faire und sachliche Zusammenfassung dessen, was per Live-Stream zu sehen und zu hören war und gefällt mir deshalb.

    Auf diesen Kommentar antworten
    • 22.01.2018 22:30, Graf van+Googel

      Das ist hier aber nicht CIAO....

  • 22.01.2018 22:47, bergischer löwe

    Technisch war der live-stream einwandfrei, danke DAV. Schön wäre ein Mitschnitt, der noch eine zeitlang abrufbar gewesen wäre.

    Auf diesen Kommentar antworten
  • 23.01.2018 13:34, Dr. Volker Steude

    Schon die Grundidee des beA ist schräg.
    Wichtig ist also, dass Nachrichten zwischen Anwälten sicher verschickt werden.

    Was kümmert der Weg vom Mandanten zum Anwalt oder vom Anwalt zum Gericht? Zwischen den Anwälten ist wichtig. Die BRAK geht offenbar davon aus, dass Kriminelle selektiv nur den Nachrichtenverkehr zwischen den Anwälten angreifen könnten und niemals den zwischen Mandant und Anwalt.

    Vielleicht sollte man den Berufsvertretern mal darauf hinweisen, dass das ein Irrtum ist.

    Auf diesen Kommentar antworten
    • 23.01.2018 14:42, RA Heuß

      Herr Dr. Steude, vielleicht lesen Sie zukündtig die relativ kurzen BRAK-Newsletter. Hätten Sie dies gemacht, hätten Sie folgendes gelesen:

      "Das beA ist nur etwas für Anwälte? Und vielleicht noch für Gerichte? Naja… nicht ganz: Das beA ist Teil der EGVP-Infrastruktur, die u.a. Behörden, Gerichte, Notare und Anwälte für vertrauliche Kommunikation nutzen können. Und eben auch Bürger. Denn es gibt auch Bürgerpostfächer im EGVP. Was es damit auf sich hat?

      Nach § 19 I RAVPV dient das beA der elektronischen Kommunikation insbesondere der in das Gesamtverzeichnis eingetragenen Mitglieder der Rechtsanwaltskammern mit den Gerichten auf einem sicheren Übermittlungsweg. Ebenso dient es der elektronischen Kommunikation insbesondere der Mitglieder der Rechtsanwaltskammern untereinander. Nach § 19 II RAVPV kann das beA auch der elektronischen Kommunikation mit anderen Personen oder Stellen dienen, also beispielsweise auch mit Mandanten. Voraussetzung ist dabei freilich immer, dass die anderen Teilnehmer auch die EGVP-Infrastruktur bzw. das OSCI-Protokoll nutzen.

      Seit Kurzem sind die beA-Postfächer auch für „andere Personen“ in den EGVP-Verzeichnissen sicht- und damit erreichbar (in Umsetzung von § 19 III 3 RAVPV). Das bedeutet, dass auch ein Mandant sich – z.B. über den (noch bis 31.12.2017 verfügbaren) EGVP-Classic Client oder über den Governikus Communicator Justiz Edition ein Bürgerpostfach einrichten kann. Damit kann er mit den Inhabern von beA-Postfächern – also z.B. mit seinem Anwalt – vertraulich kommunizieren. Umgekehrt können auch die beA-Nutzer diese Bürger-Postfächer (bzw. Mandantenpostfächer) suchen und adressieren. So wird in beiden Richtungen eine verschlüsselte Kommunikation ermöglicht."

      http://www.brak.de/zur-rechtspolitik/newsletter/bea-newsletter/2017/aufgabe-26-2017-v-29062017.news.html

      Da gibt's dann auch schöne Bilder dazu, wo man wie zu klicken hat.

    • 24.01.2018 12:59, Dr. Volker+Steude

      Ja irgendwann werden vielleicht das beA auch mal andere Gerichte als das Mahn- und Verwaltungsgericht benutzen.Der Einführungstermin für die Gerichte von 2020 wurde ja schon gekippt.

      Haben Sie das beA schon mal benutzt? Wenn ja, dann ist Ihnen, denke ich, klar, dass bei dieser Benutzerfreundlichkeit, diese Applikation sich niemand freiwillig antun wird.

      Wenn die Kommunikation zwischen Mandant und Anwalt weiterhin im Wesentlichen unverschlüsselt läuft, dann macht es wenig Sinn die gleichen Schriftstücke mit großem Aufwand von Anwalt zu Anwalt oder von Anwalt zu Gericht verschlüsselt zu senden.

      Das Ziel hätte sein müssen, dass alle Beteiligten Dinge auch einfache Weise, komfortabel und sicher untereinander verschicken können. Dafür ist das beA nicht ansatzweise tauglich, ebenso wenig wie das EGVP.

      Der formale Verweis, dass beA und EGVP auch irgendwann mal für Mandanten zugänglich sein sollen, ist nutzlos, wenn die Berufskammern sich als unfähig erweisen, ein System einzuführen, dass in der Praxis dafür verwendbar ist.

      Die Anforderungen der Praxis zu ignorieren und sich immer wieder auf Paragrafen zu berufen, ist nicht zielführend. Auch ein System, dass die rechtlichen Anforderungen erfüllt, aber praktisch untauglich ist und nicht angenommen wird, ist nicht zu gebrauchen.

    • 25.01.2018 16:13, Erstaunlich

      Also, wir haben das BeA ca. 2 Monate vor der Abschaltung in Betrieb genommen und nach anfänglichem Unmut ziemlich schnell festgestellt, dass es unsere Arbeit doch erheblich erleichtert. In Bayern sind so ziemlich alle Gerichte erreichbar, bundesweit schätze ich mindestens 80%.
      Wenn Sie mal eine Klage mit insgesamt 500 Seiten Anlagen an 5 Streitverkündete ausgefertigt haben werden Sie es extrem zu schätzen wissen, wenn der ganze Quark in 10 Minuten elektronisch erledigt ist!
      Ich kann zwar verstehen, dass der Aufwand für Kanzleien, in denen die IT-Affinität nicht sehr ausgeprägt ist, die Scheu vor dem doch massiven Aufrüstungsaufwand groß ist. Letztlich ist die Idee aber eigentlich schon ok.
      Leider ist es absolut unfassbar, wie man für ein solches Projekt 30 oder 40 Mio € verbrennen kann - das wäre nicht mal nachvollziehbar, wenn der Schrott funktionieren würde...

    • 25.01.2018 19:04, Dr. Volker+Steude

      Ja, die Idee ist völlig OK. Die diletantische Umsetzung zu diesem unfassbaren Phantasiepreis ist das Problem.

      Dass ein unnötig massiver Aufrüstungsaufwand erforderlich ist, den nur IT-affine Kanzleien ohne Hilfe schultern können, das darf einfach nicht sein. Wir haben schon mit den Mahngerichten per EDV kommuniziert als das noch nur über Diskette ging.

      So ein System muss einfach, sicher und komfortabel sein, sonst hat es keinen Erfolg und die Mandanten schicken weiterhin einfach alles per unverschlüsselter Mail. Die Weiterleitung derselben Unterlagen per beA ist dann nutzlos, dann können wir die auch per Mail an das Gericht weiterleiten.

  • 23.01.2018 13:38, Dr. Volker Steude

    Schon die Grundidee des beA ist schräg.
    Wichtig ist also, dass Nachrichten zwischen Anwälten sicher verschickt werden.

    Was kümmert der Weg vom Mandanten zum Anwalt oder vom Anwalt zum Gericht? Zwischen den Anwälten ist wichtig. Die BRAK geht offenbar davon aus, dass Kriminelle selektiv nur den Nachrichtenverkehr zwischen den Anwälten angreifen könnten und niemals den zwischen Mandant und Anwalt.

    Vielleicht sollte man die Berufsvertretern mal darauf hinweisen, dass das ein Irrtum ist.

    Auf diesen Kommentar antworten
    • 23.01.2018 14:23, B.

      Soweit ich informiert bin, konnte über's beA zwischen Anwälten und Gerichten sowie Behörden kommuniziert werden. Und für Mandanten sollte wohl auch irgendeine Zugangsmöglichkeit eingerichtet werden.

      Man könnte aber auch einfach mal dafür sorgen, dass möglichst weit verbreitet S/MIME-Zertifikate unterwegs sind und schon können alle derart versorgten eine normale Mail verschlüsselt senden. Echt Ende-zu-Ende, wohlgemerkt.

    • 23.01.2018 14:39, Studentica

      Über das beA kann der Mandant und umgekehrt auch der Mandant den Anwalt kontaktieren (EGVP-Bürgerclient).

    • 23.01.2018 14:45, RA Sonthofen

      Die RAK Freiburg hat darauf hingewiesen, dass und wie man über das beA verschlüsselt mit dem Mandanten kommuniziert: http://www.rak-freiburg.de/fileadmin/user_upload/2017_444Anlage2_1_.pdf

      Ist wohl ein Auszug aus dem BRAK-Heft 4/2017

    • 24.01.2018 13:13, Dr. Volker+Steude

      Es geht nicht um eine rein theoretische Möglichkeit. es geht um eine, die auch praktisch verwendbar ist.

      Der EGVP-Bürgerclient wird bereits nicht mehr angeboten. Andere Software-Lösungen werden ebenfalls nicht genutzt da praktisch untauglich.

      Es reicht nicht einfach irgendwas anzubieten. Es muss sicher, komfortabel und einfach zu nutzen sein. Alles andere mag als Alibi taugen, damit man sagen kann theoretisch ist es aber möglich, zu mehr aber nicht.

  • 23.01.2018 23:20, MM

    Unglaublich, mit welcher Dreistigkeit und Verantwortungslosigkeit hier mehr als 30 Millionen einfach in den Sand gesetzt wurden. Wie können die betagten Schlipsträger von der BRAK, die für das Einschalten des PCs wahrscheinlich eine Sekretärin benötigen, ein derart komplexes System in Auftrag geben? Jetzt, wo das Kind in den Brunnen gefallen ist, fragt man Experten um Rat. Das ist wirklich mehr als erbärmlich.

    Auf diesen Kommentar antworten
    • 24.01.2018 05:20, Game over blues

      Stimmt.
      Das alles ist allerdings nicht mehr nur "erbärmlich", sondern ein Fall für den Staatsanwalt.
      Und dies freilich VON AMTSWEGEN.

    • 24.01.2018 08:09, Neunmalklug

      Dessen wird sich kein StaA von Amts wegen annehmen, da bin ich ziemlich sicher. Und selbst bei Strafanzeigen wird da keiner drauf Lust haben, denn da legt man sich ja potentiell auch gleich noch mit dem BMJV an, dazu hat sicherlich kein StaA Lust.

  • 24.01.2018 15:52, Rechtsanwaltsfachangestellte

    An BMJV und BRAK meine Bitte: Abstimmung der Anwälte über die Weiterführung des Projektes beA - lehnt die Mehrheit das beA ab, dann gesetzliche Nutzungspflicht aufheben.

    An die BRAK: Wo war ein Vertreter von Ihnen bei der DAV-Veranstaltung?

    An den DAV: vielen Dank für die transparente und verständliche Veranstaltung, die wir uns im Livestream in der Kanzlei im Team angesehen haben.

    Auf diesen Kommentar antworten
  • 24.01.2018 16:37, Digiholli

    Bei diesen ganzen proprietären Lösungen zum Informationsaustausch, wie beA, BeN, EGVP usw. die zudem auch noch auf das Gebiet der Bundesrepublik beschränkt sind, stellt sich die Frage warum wurde nicht für die Infrastruktur bewährte Werkzeuge wie beispielsweise E-Mail per SMTP und SMIME verwendet? Ich wette darum, dass man mit den bereits verpulverten Millionen ein sicheres Verfahren zu einer echten Ende zu Ende Verschlüsselung auf Basis dieser Standardtechnologien hätte entwickeln können. Und das schöne wäre gewesen, das vielleicht auch der "Normalbürger" etwas davon gehabt hätte und der Austausch von Informationen mit ausländischen Kommunikationspartnern auch möglich gewesen wäre. Aber solch eine Idee ist wohl zu ambitioniert, oder?

    Auf diesen Kommentar antworten
    • 24.01.2018 16:46, Dr. Volker+Steude

      Ja, viel zu einfach. Die Vertreter der Berufskammern, denen die Arroganz aus jedem Knopfloch sprießt, haben schon lange jeden Bezug zur Realität verloren.

      Hier ging es nur darum, der Berufskammer eine öffentliche Aufgabe zuzuschanzen,um ihre Existenz zu rechtfertigen. Um eine einfache, sichere und komfortable Lösung für alle am Rechtsverkehr Beteiligten ging es leider nie.

    • 24.01.2018 17:13, EinAdmin

      Ich oute mich hier mal Admin der E-Mail Infrastruktur der Justiz eines Bundeslandes ...
      Wir betreiben eine hochmoderne hochverfügbare E-Mail Infrastruktur, besser geht es kaum. Ich weiß ;-), Eigenlob stinkt :-)
      Dazu haben wir noch einen zentralen Secure-Gateway mit dem wir sehr einfach S/MIME,PGP,DE-Mail, etc. implementieren könnten. Sehr einfach und auch für den Bürger sehr einfach, man muss dafür kein IT-Experte sein.
      Ich frage mich wieso man diese auch in allen anderen Bundesländern bestehende Infrastruktur nicht nutzt und stattdessen lieber für viel Geld eine parallele Welt aufbaut??
      Und dann noch so grottenschlecht ... :-(

  • 25.01.2018 19:09, Enrico Weigelt,+metux+IT+consult

    > 24.01.2018 16:37, Digiholli
    > Bei diesen ganzen proprietären Lösungen zum Informationsaustausch, wie beA,
    > BeN, EGVP usw. die zudem auch noch auf das Gebiet der Bundesrepublik
    > beschränkt sind, stellt sich die Frage warum wurde nicht für die Infrastruktur
    > bewährte Werkzeuge wie beispielsweise E-Mail per SMTP und SMIME
    > verwendet?

    Not-invented-here-Syndrom. Zudem wäre ja dann die Firma Governikus überflüssig. Vielleicht ja auch einer gründe, warum mein damaliges beN-Konzept (2013) auf taube Ohren gestoßen ist - da wäre nämlich EGVP/OSCI nur eines von vielen möglichen Protokollen gewesen. An dem Punkt sind einige Leute im Meeting etwas unruhig geworden.

    > Ich wette darum, dass man mit den bereits verpulverten Millionen ein sicheres
    > Verfahren zu einer echten Ende zu Ende Verschlüsselung auf Basis dieser
    > Standardtechnologien hätte entwickeln können.

    10% davon hätten dafür locker gereicht (incl. eines komplett neuen Mail-Client).

    Auf diesen Kommentar antworten
  • 25.01.2018 19:23, Enrico Weigelt,+metux+IT+consult

    Beim Thema veralteter Softtware ist es sogar noch schlimmer als im Vortrag gesagt:

    Es gibt eine noch viel ältere Komponenten: itext v1.4.8 ist von 2006 !
    Wir schreiben das Jahr 2018, dh. also *zwölf* Jahre.

    Das muß jedem halbwegs begabtem Prüfer kommen.

    Auf diesen Kommentar antworten
  • 26.01.2018 06:10, Enrico Weigelt,+metux+IT+consult

    Die BRAK offenbart Backdoor im HSM:

    https://www.rechtsanwaltskammer-hamm.de/downloads/neuigkeiten/neuigkeiten-bea/368-10-punkte-katalog/file.html

    Seite 2:

    "Um bei einer Wartung eine Betriebsunterbrechung zu vermeiden, werden dabei erst neue Geräte vor Ort gebracht, in das System eingebunden und synchronisiert"

    Kurz: Ausleitung der privaten Schlüssel ist möglich - das HSM hat eine Backdoor.

    Auf diesen Kommentar antworten
  • 27.01.2018 12:10, Game over !

    Das ist der Supergau:
    http://www.golem.de/news/bundesrechtsanwaltskammer-anwaelte-sollen-bea-sofort-deinstallieren-1801-132421.amp.html?__twitter_impression=true

    Auf diesen Kommentar antworten
Neuer Kommentar