Berichte über massive Sicherheitslücke beim beA: BRAK nimmt Anwalts­post­fach wegen "ver­ein­zelter Ver­bin­dungs­pro­b­leme" off­line

Wenige Tage vor Beginn der passiven Nutzungspflicht überschlagen sich die Ereignisse rund um das besondere elektronische Anwaltspostfach (beA). Während mögliche rechtliche Hürden mit der Abweisung einer Verfassungsbeschwerde am Freitag beseitigt wurden, reiht sich in technischer Hinsicht jetzt eine Panne an die andere.

Am Freitag meldete die für das System verantwortliche Bundesrechtsanwaltskammer (BRAK) per Sondernewsletter, dass alle beA-Nutzer ein zusätzliches Zertifikat installieren müssten. Die BRAK sei am 21. Dezember 2017 darüber informiert worden, dass ein für die Anwendung notwendiges Zertifikat ab dem 22. Dezember nicht mehr gültig ist, hieß es zur Begründung. Am Freitagabend nahm die BRAK dann "wegen Wartungsarbeiten" das gesamte System über die Weihnachtstage offline.

Was die BRAK verschwieg: Das Zertifikat war nach Medieninformationen zurückgezogen worden, nachdem ein Mitglied des Chaos Computer Clubs die Zertifizierungsstelle auf eine Sicherheitslücke hingewiesen hatte. Diese ist nicht einfach zu beheben, sondern liegt im Design der Software begründet: Jedem Anwaltspostfach ist zur Verschlüsselung ein Schlüsselpaar zugewiesen. Ein Schlüssel ist öffentlich, einer privat. Jeder Nutzer muss, damit die Sicherheit gewährleistet ist, über einen individuellen privaten Schlüssel verfügen, den nur er kennt. Beim beA sind aber die privaten Schlüssel aller Nutzer identisch, berichtet das IT-Fachmagazin golem.de. Dies ermögliche Man-in-the-Middle-Angriffe, bei denen sich ein Hacker in die Kommunikation über das Anwaltspostfach  einschaltet und z.B. die Nachrichten des Mandanten abfängt oder sich gegenüber dem Anwalt als ein Mandant ausgibt.

Besser wieder deinstallieren: Ein gefährliches Zertifikat

Mit der Empfehlung, das neue Zertifikat zu installieren, machten die BRAK und ihr ausführender Dienstleister Atos alles nur noch schlimmer. Golem.de warnt: Ein Angreifer könne nun Man-in-the-Middle-Angriffe nicht mehr nur bezogen auf das elektronische Anwaltspostfach durchführen, sondern hinsichtlich aller https-gesicherten Seiten, die der Anwalt von seiner Internetverbindung aus aufruft. Egal ob Google, Facebook, oder Online-Banking – er könnte Passwörter ausspionieren, Daten manipulieren und vieles mehr.  Das IT-Portal rät dringend dazu, das Zertifikat wieder zu deinstallieren.  

Heise.de berichtete schon am Freitag, dass Nutzer beim Herunterladen des Zertifikats vor erheblichen Risiken gewarnt würden – und diese Warnungen laut der von der BRAK veröffentlichten Anleitung ignorieren sollten.

Golem.de stellt nach eigenen Angaben einen Test bereit, mit dem betroffene Anwender prüfen können, ob sie das Zertifikat installiert haben. Wer es installiert hat, sollte es umgehend wieder entfernen, rät das Portal. 

Dafür gibt die Seite folgende Anleitung: Unter Windows rufe man in der Systemsteuerung die Internetoptionen auf. Unter dem Reiter "Inhalt" findet sich der Button "Zertifikate". Dort kann man das Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen finden und durch einen Klick auf "Entfernen" unschädlich machen.

"Wegen Verbindungsproblemen": über Weihnachten offline

Einen Hinweis von der BRAK auf die offenbar massive Sicherheitslücke gibt es bisher nicht. Das gesamte System ist weiterhin offline, begründet wird das laut Webseite immer noch mit "vereinzelten Verbindungsproblemen zur beA-Webanwendung".

Der Sondernewsletter, mit dem die Nutzer zur Installation des Zertifikats aufgerufen wurden, wurde von der Seite entfernt, auch die Anleitung zum Download des Zertifikats ist zwischenzeitlich nicht mehr abrufbar. Über die Weihnachtsfeiertage war dort niemand zu erreichen.

Ab dem 1. Januar müssen alle Anwälte Eingänge in dem Postfach gegen sich gelten lassen. Nach Informationen von heise.de hatten sich bis Weihnachten nicht einmal die Hälfte der rund 165.000 zugelassenen Rechts- und Syndikusanwälte registriert. Bereits in den vergangenen Wochen war es immer wieder zu Verbindungsproblemen gekommen, so dass die BRAK den Nutzern Mitte Dezember dazu riet, bei dringenden Fristsachen vorsichtshalber auf die Übersendung per Fax auszuweichen.