Neue Sicherheitslücke rund ums beA: BRAK schaltet Rechts­an­walts­re­gister ab

von Pia Lorenz

13.04.2018

Das Anwaltsregister, aus dessen Daten sich das beA speist, ist offline. Nachdem golem.de eine Sicherheitslücke gemeldet hat, hat die BRAK offenbar schnell reagiert. Von der Sicherheitslücke wusste sie aber vorher, deutet das IT-Magazin an.

Die Bundesrechtsanwaltskammer (BRAK), die für die Umsetzung des besonderen elektronischen Anwaltspostfachs (beA) verantwortlich ist, hat offenbar ein weiteres Sicherheitsproblem mit der von ihr eingesetzten Software im Zusammenhang mit dem Postfach. Betroffen ist dieses Mal das bundeseinheitliche Rechtsanwaltsverzeichnis (BRAV), das mit dem beA zusammen hängt.

Die Webseite rechtsanwaltsregister.org ist offline, nach Angaben des IT-Magazins golem.de seit Freitag, den 13. April um 12:40 Uhr. Dies teilte die BRAK auch bereits den regionalen Kammern mit. Laut LTO-Informationen enthält das Schreiben, das mittlerweile veröffentlicht ist, zudem die Zusage, dass Dienstleister Atos die Lücke bis Anfang der Woche beheben werde, die BRAK geht das aus, dass das Register am Dienstag wieder online gehen kann.

Derzeit leitet die Seite um auf die Wartungsseite des beA, die den Hinweis enthält, dass das BRAV und das beA vorerst offline bleiben müssen, Sicherheit und Datenschutz gingen vor. Dabei war das BRAV im Januar wieder in Betrieb genommen worden, während das beA nach der Aufdeckung der massiven Sicherheitslücken seit kurz vor Weihnachten außer Betrieb ist.

Golem.de hat die neue Lücke nach eigenen Angaben aufgedeckt und der BRAK empfohlen, das Register aufgrund deren Schwere vorläufig abzuschalten. Dem scheint die BRAK unmittelbar nachgekommen zu sein. Nach Angaben von golem.de ist allerdings davon auszugehen, dass die BRAK schon Ende März davon wusste, dass es Sicherheitslücken in Systemen gibt, die noch in Betrieb sind. Daher habe sie, so golem.de, den ersten Zwischenbericht, den das IT-Sicherheitsunternehmen Secunet am 28. März vorgestellt hat, bisher zurück gehalten.

Update am Tag der Veröffentlichung um 17.48 Uhr:

In einer nachträglichen Stellungnahme erklärt die BRAK gegenüber LTO, dass ihr die gemeldete Sicherheitslücke bislang nicht bekannt gewesen sei. Sie bedankt sich darin ausdrücklich für den Hinweis, der ihr ermöglicht habe, die Seite offline zu nehmen, "bevor die Sicherheitslücke öffentlich bekannt wurde."

In der Stellungnahme heißt es weiterhin, dass die BRAK das Zwischengutachten der Secunet bislang nicht veröffentlicht habe, "weil Dritte in dem Dokument dargestellte Schwachstellen nach Veröffentlichung nachvollziehen könnten." So habe man negative Folgen für die IT-Sicherheit der Rechtsanwältinnen und Rechtsanwälte vermeiden wollen.

Angreifer konnten die Datenbank manipulieren

Laut golem.de war es nicht allzu schwierig, die Lücke aufzudecken. Die Ursache ist keine unbekannte in Sachen beA: eine veraltete Java-Komponente. Auch beim BRAV kam offenbar die veraltete Version einer Java-Bibiliothek zum Einsatz.

Solche Bibliotheken nutzen Software-Entwickler, um Standard-Funktionen nicht selbst programmieren zu müssen. Stattdessen setzen sie auf Programmcode, der Open Source zur Verfügung steht. Sicherheitslücken werden von der Open-Source-Community in der Regel schnell gefixt, die Updates müssen von den Anwendern der Bibliothek dann nur noch eingespielt werden. Genau das ist im Fall des BRAV unterblieben. Laut Golem.de wurde die Sicherheitslücke 2016 entdeckt, seit Juni 2016 steht eine aktualisierte Version zur Verfügung, die das Problem behebt. Das Anwaltsregister aber benutzte die veraltetet Version weiter.

Dadurch war das BRAV verwundbar. Laut golem.de hätten Angreifer Java-Code auf dem Server ausführen und so die Kontrolle übernehmen, die Datenbank manipulieren oder sogar Malware an Nutzer ausliefern können.

Das BRAV enthält die Stammdaten des Anwalts wie Namen, Kontaktadresse, Kommunikationsdaten und die Safe-ID für das beA. Die regionalen Kammern stellen, täglich aktualisiert, diese Informationen  zur Verfügung, die sich das beA wiederum aus dem BRAV zieht. Nach LTO-Informationen läuft schon dieser Prozess nicht immer reibungslos.

Wann das beA-System wieder online geht, ist weiter offen. Sicher ist nur, dass das nicht vor Juni geschehen wird. Für den kommenden Sonntag, den 15. April, hat die BRAK eine außerordentliche Präsidentenkonferenz zum Thema Anwaltspostfach einberufen. Die Themen: die Kommunikation mit den Präsidenten der regionalen Kammern und mehr Personal für das beA. 

Zitiervorschlag

Pia Lorenz, Neue Sicherheitslücke rund ums beA: BRAK schaltet Rechtsanwaltsregister ab . In: Legal Tribune Online, 13.04.2018 , https://www.lto.de/persistent/a_id/28065/ (abgerufen am: 13.12.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 13.04.2018 16:04, tutnixzursache

    LOL ? Naja... verwundern sollte das niemanden

    Auf diesen Kommentar antworten
  • 13.04.2018 16:19, B.

    Da fragt man sich schon, was eigentlich mit den laufenden Zahlungen an Atos abgegolten wird. Die laufende Aktualisierung der Software kann es offenbar nicht sein.

    Auf diesen Kommentar antworten
  • 13.04.2018 16:26, So mal+unter+uns

    Boah Leute, WTF? Sicherheitslücke über zwei Wochen lang verschleppt? Ganz große Klasse.

    Auf diesen Kommentar antworten
    • 13.04.2018 16:53, Hans Dampf

      Bitte genau lesen! Seit Juni 2016 gepennt...

      Und es läuft wie immer beim Thema beA und Co. im Hirn ab: Wer soll das bezahlen? Wer hat das bestellt? Wer hat soviel Pinkepinke? Wer hat so viel Geld?

    • 13.04.2018 17:04, Spötter am Nachmittag

      @So mal+unter+uns,

      das ist doch nur der Strohhalm im Auge, der Balken ist Java und Atos!

      Aber wer sich auf billige Anbieter verlässt, ist eben selber Schuld.

      Wie viele Inder, Südafrikaner, Weißrussen, Balten, Ukrainer und andere günstige Spezialisten, von ihren höchst sicheren heimischen Schreibtischen, die in höchst sicheren Geheimwohnzimmern stehen, wohl Zugriff auf die Systeme haben?

      Aber eines steht fest, die Chef-Schreibtische stehen sicher!

    • 13.04.2018 17:34, So mal+unter+uns

      @Hans Damp: Habe ich. Der Artikel ist widersprüchlich. Bei Juni 2016 steht nicht, dass die BRAK spätestens davon wusste. Soviel in dubio gestehe ich auch technisch ahnungslosen Kollegen zu.

  • 13.04.2018 17:12, M.D.

    Langsam ist es egal, weil das beA auf Dauer nicht kommen wird. Die Sache wird ablaufen wie der Flughafen in Berlin. Bauen, abreißen, neu bauen, neue Lücken entdecken, abreißen, und so weiter und so fort....

    Auf diesen Kommentar antworten
  • 13.04.2018 17:58, Jörn Erbguth

    Im Dezember hat Herr Drenger bereits auf die veralteten Bibliotheken im Client hingewiesen, da liegt es nahe, auch die anderen Bibliotheken anzusehen. Secunet macht das wohl auch. Lt. BRAK war das Anwaltsverzeichnis ("diese Komponente") aber erst für einen späteren Zeitpunkt vorgesehen, wurde aber dennoch weiter betrieben.

    Auf diesen Kommentar antworten
    • 13.04.2018 18:45, Neunmalklug

      Was mich viel mehr wundert ist die Aussage, dass die BRAK das Gutachten der Secunet deshalb (noch) nicht veröffentlicht hat, "weil Dritte in dem Dokument dargestellte Schwachstellen nach Veröffentlichung nachvollziehen könnten."
      Wie ist das Wort "nachvollziehen" zu verstehen, als "etwas verstehen"? Dann dürfte sie das Gutachten niemals veröffentlichen, denn eine Intention eines Gutachtens ist es nunmal, ein Problem mehr oder weniger Verständlich zu machen. Oder ist das Wort "nachvollziehen" als "ausnutzen" auszulegen? Wie soll das gehen, da doch alles abgeschaltet ist?
      Oder anders ausgedrückt: Irgendwas stimmt nicht (abgesehen davon, dass ohnehin vieles nicht stimmt). Entweder ist das beA doch nicht wirklich abgeschaltet und es gibt Möglichkeiten etwas einzuschleusen (via EGVP?) oder die von der SecuNet aufgedeckten Mängel so so extrem essentiell, dass die BRAK sich einfach nicht traut, das Gutachten zu veröffentlichen.

    • 13.04.2018 19:22, Jörn Erbguth

      @Neunmalklug
      Natürlich kann die BRAK das Gutachten veröffentlichen. Sie müssen halt vorher entweder die entsprechende Komponente außer Betrieb nehmen oder das Problem beheben. Denkbar wäre auch, dass die Sicherheitslücke auch in anderen Systemen existiert und daher abgewartet wird, bis diese Systeme die Sicherheitslücke schließen. Diese Argumentation ist also nicht ungewöhnlich und ich würde wegen dieser Aussage alleine nicht auf Ungereimtheiten schließen.

    • 13.04.2018 19:39, Neunmalklug

      @Jörn Erbguth
      Da das beA laut Aussage BRAK vollständig außer Betrieb genommen wurde und von nirgendwo erreichbar ist, entspricht das einem abgeschalteten Zustand. Das ist eine Eigenaussage der BRAK "Das beA ist abgeschaltet". Es sollte also keine Komponente mehr geben, die erreichbar ist, und somit Schaden verursachen kann.
      Aus der Artverwandheit bzw. der Verknüpfung könnte man jedoch auch schließen, dass die Lücke ggf. im EGVP ebenfalls vorhanden ist. Wenn dem so ist, dann wäre es jedoch sträflich, dass EGVP überhaupt noch in Betrieb zu halten. Ihrer wohlwollenden Auslegung kann ich mich also nicht anschließen.

  • 13.04.2018 18:58, Neunmalklug

    Ich gehe fast jede Wette ein, dass die ganzen Server-Komponenten auch mit veralteten Bibliotheken arbeiten, ggf. bis in's HSM hinein.

    Auf diesen Kommentar antworten
  • 13.04.2018 19:41, Neunmalklug

    Die interessante Frage ist doch dabei auch: Da diese Lücke wirklich lange bestand, wurde sie denn ausgenutzt? Hat irgend jemand auf der Welt die Anwaltsverzeichnisse komplett ausgelesen oder sogar die Daten manipuliert?
    Welche Justiz-Kommunikationssysteme sind davon noch betroffen? EGVP?

    Auf diesen Kommentar antworten
    • 14.04.2018 17:04, Rainer Breitrück,+Rechtsanwalt

      Darf man eigentlich im Hinblick auf die bestehende Nutzungspflicht auf der Homepage mit "100 % beA-freie Anwaltskanzlei" werben, oder ist das dann wettbewerbswidrig - oder noch schlimmer: STANDESWIDRIG ???

    • 15.04.2018 18:40, Ein Rechtsanwalt

      @"Rainer Breitrück":
      Machen Sie das doch einfach.
      Es ist schliesslich IHR Kanzleibetrieb !

  • 13.04.2018 19:49, Jörn Erbguth

    @Neunmalklug: Das Anwaltsverzeichnis war ja noch in Betrieb, welches den Anwälten die SAFE-ID zuweist und an das EGVP angebunden ist. Natürlich ist auch denkbar, dass dies auch das EGVP betrifft - aber das halte ich ohne konkrete Hinweise für reine Spekulation.
    Wie bei jeder Lücke muss überprüft werden, ob diese ausgenutzt wurde und ob die Datenintegrität noch gegeben ist. Das gilt besonders für Lücken, die recht einfach zu entdecken und auszunutzen sind.

    Auf diesen Kommentar antworten
  • 13.04.2018 19:51, Tristan H.

    Wieviele Peinlichkeiten und schwere Fehler/Versäumnisse dieser Art müssen noch geschehen, bis endlich spürbare persönliche und finanzielle Konsequenzen gezogen werden?

    Die Fa. Atos beweist zum wiederholten Male, dass ihre Leistung die vielen Millionen, welche die BRAK ihr zusteckt, nicht rechtfertigt. Wann werden die Verantwortlichen bei der BRAK dafür ersetzt und der Atos-Vertrag gekündigt?

    Auf diesen Kommentar antworten
    • 14.04.2018 11:01, ReisenderAmBER

      Nie. Weil Atos sicher einen Dienstvertrag abgeschlossen hat, nach französischem Recht. ...

  • 13.04.2018 21:39, Carsten Dams

    Dazu hätte ich eine Frage an die urheberrechtliche und strafrechtliche Kollegenschaft, weil ich mir doch sehr unsicher bin:

    Ich geniesse gerade diese von der BRAK aufgeführte tragikomische Parodie des richtigen Lebens mit etwas Popcorn. Unangemeldet und gratis.

    Fallen fiktive Lizenzgebühren an?

    Stellt die Teilnahme an der Aufführung eine Leistungserschleichung dar oder sind die von den örtlichen RAKs erhobenen beA-Beiträge garnicht als Entgelt für die das Affentheater zu verstehen?

    Man bedenke die Doppelrelevanz: Sind die Beiträge "Eintritt" für die Aufführung, so rechtfertigt die vorhandene Belustigung die Zahlung. Sollte damit etwa eine Gegenleistung für eine irgendwie geartete Leistung im Hinblick auf das beA gefordert werden, müsste man wohl konstatieren, dass die Leistung nicht erbracht wurde.

    Gleichwohl haben sich die Verantwortlichen - um die entsprechende Formulierung in Arbeitszeugnissen anzuwenden - um die Erfüllung ihrer Aufgaben sehr bemüht.

    Wie sollen wir's denn halten? Berechtigte Forderung als Theatereintritt oder unberechtigte als Gegenleistung? Hätte Auswirkungen auf's Zahlungsverhalten. Einfach öffentlich zugeben, dass man ein Komödiantenstadel ist, dann steht einer Zahlung nichts im Wege.

    Auf diesen Kommentar antworten
  • 14.04.2018 10:12, Frage

    Meine Frage lautet: Hat ein RA, der die bisherige beA Client Security im Jahr 2017 nutzte, mit Rücksicht auf die nunmehr darin festgestellte Sicherheitslücke, seine EDV komplett neu aufzustellen bzw. z.T. alte Komponenten (Harddisks etc.) möglicherweise sogar unbrauchbar zu machen und auszutauschen?

    Ich halte diese Frage im Hinblick auf die anwaltlichen Berufspflichten für wichtig, denn in der Zeit, in welcher die Client security Software installiert war, hätte sich infolge der bestehenden Sicherheitslücke ein Schadprogramm - unbemerkt - einnisten können. Die angeratene Deaktivierung der Software führt dann auch nicht zwangsläufig zur Beseitigung/Entfernung solcher Malware. Diese könnte weiterhin aktiv sein oder aktiviert werden und z.B. vertrauliche Daten an Dritte weitergeben.

    Auf diesen Kommentar antworten
    • 14.04.2018 10:43, Jörn Erbguth

      Die Sicherheitslücken im beA-Client sind gravierend, aber nicht die einzigen, die Ihr System gesehen haben wird. Viele Sicherheitsupdates Ihre Betriebssystems und anderer Komponenten schließen Sicherheitslücken, die vorher offen waren. Hacker sowie inländische und ausländische "Sicherheitsbehörden" haben diese Sicherheitslücken möglicherweise ausgenutzt und haben sich auf Ihrem System bereits eingenistet.
      Doch selbst wenn Sie Ihr System komplett neu aufsetzen, gibt es Backdoors, die bereits in fabrikneue Komponenten enthalten sind.
      Sie können Ihr System durchchecken lassen und können damit bekannte Malware entfernen. Für normale Sicherheitsanforderungen sollte das State of the Art sein und das ist auch wegen aller anderen Sicherheitslücken in regelmäßigen Abständen sinnvoll.
      Absolute Sicherheit gibt es da nicht und welche Maßnahmen darüber hinaus angemessen sind, hängt davon ab, wie Sie Ihr Risiko bewerten und welches Schutzniveau Sie anstreben.

    • 14.04.2018 16:30, Frage2

      @"Jörn Erbguth":
      Wer hat Sie denn für diese null-acht- fünfzehn-Antwort geschmiert !?

    • 14.04.2018 18:29, Jörn Erbguth

      @Frage2: Gegen Honorar kann ich Ihnen gerne auch eine ausführlichere Antwort geben. Ob die Ihnen diese besser gefällt, wage ich aber zu bezweifeln. Ich lasse mich nicht dafür bezahlen, dass ich eine bestimmte Meinung vertrete. Ich bin kein Anwalt.

  • 14.04.2018 13:03, M.D.

    Wetten daß....die immer wieder neue Fehler finden werden?

    Auf diesen Kommentar antworten
  • 14.04.2018 15:19, ERPfau

    RECHTSANWALTSREGISTER!

    ICH WILL EINE AUSKUNFT VON DIR!

    Auf diesen Kommentar antworten
  • 14.04.2018 19:21, Frage

    Die Antwort ist in Ordnung, danke dafür. Problematisch sind meines Erachtens aber die sich aus den §§ 43 ff BRAO ergebenden Pflichten (z.B. Verschwiegenheit, Vertraulichkeit etc). Diese können hier ganz offensichtlich gar nicht mehr eingehalten werden.

    Auf diesen Kommentar antworten
    • 14.04.2018 19:23, Frage

      Das sollte oben bei der Antwort von Jörn Erbguth stehen, sorry.

  • 16.04.2018 17:07, Helen Mirror

    wenn jetzt fürs beA noch neues Personal geplant ist, wer soll das bezahlen ?

    Auf diesen Kommentar antworten
  • 16.04.2018 22:24, Marie

    Na wir natürlich !!!!
    Wir lassen uns das ja alles klaglos gefallen .

    Auf diesen Kommentar antworten
    • 17.04.2018 08:09, Lothar Blum

      Dann handelt. Schreibt E-Mails etc. an alle Adressen BRAK und regionale RAKs. Ruft an! schickt Faxe ;-). Geht zu den Kammerversammlungen etc., stellt Anträge und „Anregungen“. Verschafft den Sachbearbeitern Arbeit! Traut euch, einmal nicht konstruktiv zu sein und „zur Lösung sachgerecht beizutragen“. Ihr seid doch Anwälte, ihr könnt formulieren, mit Schärfe und Witz! Und verlasst euch nicht einfach auf die tapferen Kollegen, welche den Rechtsweg beschreiten

  • 17.04.2018 17:13, Rainer Breitrück, Rechtsanwalt

    Nu isses wieder online, das Rechtsanwaltsregister. Und es hat ja nur ein Wochenende und zwei Tage gedauert. Ich frage mich nur, wie das alles weitergehen soll. Will die BRAK jetzt jedesmal den Stecker ziehen, wenn irgendein IT-Kenner irgendeine Sicherheitslücke entdeckt, bzw. muss die BRAK das dann vielleicht sogar jedesmal tun ? Wie stellen sich die genau-wie-ich-IT-Legastheniker in Berlin das eigentlich vor ? Bricht dann einmal im Monat - und im günstigsten Fall - für 4 - 5 Tage die juristische Kommunikation in Deutschland zusammen wenn alles über das beA läuft ? Oder rennen wir dann alle schnell in den Keller und suchen unser Faxgerät und die Frankiermaschine ? Welche geheimhaltungswürdigen Schwachstellen Secunet im neuesten Gutachten auch immer dargestellt haben sollte: Selbst wenn beA mal irgendwann ans Laufen kommt ist damit dieses grundsätzliche Problem der monopolisierten Zwangskommunikation doch nicht gebannt. Darüber hätte ich gerne mal eine Stellungnahme von den greisen Weisen aus der Hauptstadt des Scheiterns. Mir kommt das alles ein bisschen so vor wie DDR 4.0. Recht ist heute aus, vielleicht nächste Woche wieder, "aber nicht vor Dienstag"

    Auf diesen Kommentar antworten
    • 18.04.2018 02:28, bergischer Löwe

      1, 2, 3 keine Hexerei! Tatsächlich - da is et wieder. Schon witzig, wenn's nicht so traurig wäre.

    • 18.04.2018 02:32, bergischer Löwe

      ... und weil's so schön ist:
      https://youtu.be/7QJ-xM1qu2o

  • 19.04.2018 17:21, ERPfau

    Erst wird Abschaltung des BRAV (negativ) kommentiert, jetzt die Tatsache, dass es wieder online ist. Watt denn nu?
    Und Gruß an LTO: Positive Nachrichten sind Ladenhüter. Oder wie?

    Auf diesen Kommentar antworten
    • 24.04.2018 08:08, if defined

      Ja. Ruhe ist die erste Bürgerpflicht. Alles ist gut. Immer diese Nörgler. Lasst uns brave Untertanen sein!

    • 25.04.2018 17:31, Xtra3

      Nein. Nörgeln ist erste Bürgerpflicht. Alles ist schlecht. Immer diese braven Untertanen. Lasst uns missmutige Dauernörgler sein!

Neuer Kommentar