Neue Sicherheitslücke rund ums beA: BRAK schaltet Rechts­an­walts­re­gister ab

von Pia Lorenz und Christian Dülpers

13.04.2018

Das Anwaltsregister, aus dessen Daten sich das beA speist, ist offline. Nachdem golem.de eine Sicherheitslücke gemeldet hat, hat die BRAK offenbar schnell reagiert. Von der Sicherheitslücke wusste sie aber vorher, deutet das IT-Magazin an.

Die Bundesrechtsanwaltskammer (BRAK), die für die Umsetzung des besonderen elektronischen Anwaltspostfachs (beA) verantwortlich ist, hat offenbar ein weiteres Sicherheitsproblem mit der von ihr eingesetzten Software im Zusammenhang mit dem Postfach. Betroffen ist dieses Mal das bundeseinheitliche Rechtsanwaltsverzeichnis (BRAV), das mit dem beA zusammen hängt.

Die Webseite rechtsanwaltsregister.org ist offline, nach Angaben des IT-Magazins golem.de seit Freitag, den 13. April um 12:40 Uhr. Dies teilte die BRAK auch bereits den regionalen Kammern mit. Laut LTO-Informationen enthält das Schreiben, das mittlerweile veröffentlicht ist, zudem die Zusage, dass Dienstleister Atos die Lücke bis Anfang der Woche beheben werde, die BRAK geht das aus, dass das Register am Dienstag wieder online gehen kann.

Derzeit leitet die Seite um auf die Wartungsseite des beA, die den Hinweis enthält, dass das BRAV und das beA vorerst offline bleiben müssen, Sicherheit und Datenschutz gingen vor. Dabei war das BRAV im Januar wieder in Betrieb genommen worden, während das beA nach der Aufdeckung der massiven Sicherheitslücken seit kurz vor Weihnachten außer Betrieb ist.

Golem.de hat die neue Lücke nach eigenen Angaben aufgedeckt und der BRAK empfohlen, das Register aufgrund deren Schwere vorläufig abzuschalten. Dem scheint die BRAK unmittelbar nachgekommen zu sein. Nach Angaben von golem.de ist allerdings davon auszugehen, dass die BRAK schon Ende März davon wusste, dass es Sicherheitslücken in Systemen gibt, die noch in Betrieb sind. Daher habe sie, so golem.de, den ersten Zwischenbericht, den das IT-Sicherheitsunternehmen Secunet am 28. März vorgestellt hat, bisher zurück gehalten.

Update am Tag der Veröffentlichung um 17.48 Uhr:

In einer nachträglichen Stellungnahme erklärt die BRAK gegenüber LTO, dass ihr die gemeldete Sicherheitslücke bislang nicht bekannt gewesen sei. Sie bedankt sich darin ausdrücklich für den Hinweis, der ihr ermöglicht habe, die Seite offline zu nehmen, "bevor die Sicherheitslücke öffentlich bekannt wurde."

In der Stellungnahme heißt es weiterhin, dass die BRAK das Zwischengutachten der Secunet bislang nicht veröffentlicht habe, "weil Dritte in dem Dokument dargestellte Schwachstellen nach Veröffentlichung nachvollziehen könnten." So habe man negative Folgen für die IT-Sicherheit der Rechtsanwältinnen und Rechtsanwälte vermeiden wollen.

Angreifer konnten die Datenbank manipulieren

Laut golem.de war es nicht allzu schwierig, die Lücke aufzudecken. Die Ursache ist keine unbekannte in Sachen beA: eine veraltete Java-Komponente. Auch beim BRAV kam offenbar die veraltete Version einer Java-Bibiliothek zum Einsatz.

Solche Bibliotheken nutzen Software-Entwickler, um Standard-Funktionen nicht selbst programmieren zu müssen. Stattdessen setzen sie auf Programmcode, der Open Source zur Verfügung steht. Sicherheitslücken werden von der Open-Source-Community in der Regel schnell gefixt, die Updates müssen von den Anwendern der Bibliothek dann nur noch eingespielt werden. Genau das ist im Fall des BRAV unterblieben. Laut Golem.de wurde die Sicherheitslücke 2016 entdeckt, seit Juni 2016 steht eine aktualisierte Version zur Verfügung, die das Problem behebt. Das Anwaltsregister aber benutzte die veraltetet Version weiter.

Dadurch war das BRAV verwundbar. Laut golem.de hätten Angreifer Java-Code auf dem Server ausführen und so die Kontrolle übernehmen, die Datenbank manipulieren oder sogar Malware an Nutzer ausliefern können.

Das BRAV enthält die Stammdaten des Anwalts wie Namen, Kontaktadresse, Kommunikationsdaten und die Safe-ID für das beA. Die regionalen Kammern stellen, täglich aktualisiert, diese Informationen  zur Verfügung, die sich das beA wiederum aus dem BRAV zieht. Nach LTO-Informationen läuft schon dieser Prozess nicht immer reibungslos.

Wann das beA-System wieder online geht, ist weiter offen. Sicher ist nur, dass das nicht vor Juni geschehen wird. Für den kommenden Sonntag, den 15. April, hat die BRAK eine außerordentliche Präsidentenkonferenz zum Thema Anwaltspostfach einberufen. Die Themen: die Kommunikation mit den Präsidenten der regionalen Kammern und mehr Personal für das beA. 

Zitiervorschlag

Pia Lorenz und Christian Dülpers, Neue Sicherheitslücke rund ums beA: BRAK schaltet Rechtsanwaltsregister ab . In: Legal Tribune Online, 13.04.2018 , https://www.lto.de/persistent/a_id/28065/ (abgerufen am: 03.12.2021 )

Infos zum Zitiervorschlag