Hotfix der BRAK führt zu einer weiteren Sicherheitslücke beim beA! Das war dann wohl nix!

Sicherheitsrisiko
Wokandapix / Pixabay

Root-Zertifikat führt zu Sicherheitsrisiko

Wie bereits unter [beA-Zertifikat zurückgezogen] und [Sondernewsletter der BRAK] berichtet, gab es am 22.12.2017 Komplikationen mit einem für das beA notwendigen Zertifikat. Dieses war nicht abgelaufen, wie teilweise berichtet worden, sondern es musste gemäß der Richtlinien (siehe hierzu: „About the Baseline Requirements“) des CA/Browse Forum zurückgezogen werden.

Zertifikat musste zurückgezogen werden

Die Baseline Requirements regeln in der Ziffer 4.9. CERTIFICATE REVOCATION AND SUSPENSION / 4.9.1. Circumstances for Revocation / 4.9.1.1. Reasons for Revoking a Subscriber Certificate genau, unter welchen Umständen Zertifikate zurückzogen werden müssen. So müssen die Zertifizierungsstellen eine Zertifikat zurückziehen, dessen privater Schlüssel als nicht mehr sicher gilt oder weil der private Schlüssel bekannt gemacht wurde und damit als kompromittiert gilt.

Die aktuelle Version 1.5.4 der Baseline Requirements finden Sie hier.

So war aufgefallen, dass der im Rahmen des beA notwendig beA-Client bei der Installation auch den privaten Schlüssel des verwendeten Zertifikats auf den Client mit aufgespielt hatte.

Dies hatte heise online am 22.12.2017 berichtet – Schwere Panne beim elektronischen Anwaltspostfach.

BRAK veröffentlichte Sondernewsletter

Danach hatte die BRAK am 22.12.2017 im Rahmen eines Sondernewsletters berichtet, dass man darüber informiert wurde, dass das für den Betrieb des beA notwendige Zertifikat nicht mehr gültig ist.

Mit enthalten war die Aufforderung und Anleitung zur Installation eines neuen Zertifikats. Doch dieser Hotfix hatte akutes nur noch schlimmer gemacht. Denn es sollte ein sog. Root-Zertifikat installiert werden, dass zukünftig den Kommunikationsaufbau zwischen dem beA-Client und Browser sicher abwickelt. Das war aber leider nur die halbe Wahrheit.

BRAK öffnet Hintertür für man-in-the-middle Angriffe

Kurz nacheinander veröffentlichte Rechtsanwalt Matthias Bergt im cr-online.de Blog den Beitrag Warnung vor dem besonderen elektronischen Anwaltspostfach (beA) sowie Hanno Böck auf Golem.de die Meldung Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre. Aus beiden ist der Schluss zu ziehen, dass es sich bei der Lösung der BRAK um einem klassischen Fall der Verschlimmbesserung handelt.

Da die Installation zu einem Desaster in der IT-Sicherheit derr Kanzlei führen kann (Details in den beiden oben genannten Meldungen) wird dringend empfohlen, dieses Zertifikat zu entfernen. Ob der PC / Mac gefährdet ist, lässt sich mit einem von Golem.de bereitgestellten Test schnell feststellen. Wie das Zertifikat entfernt werden kann, findet man ebenfalls in dem Beitrag auf Golem.de.

BRAK nimmt beA vom Netz

Nachdem die BRAK hiervon Kenntnis erlangte, hat sie mit einer etwas euphemistischen Formulierung die beA-Webanwendung für die Zeit vom 23.12. bis 26.12. vom Netz genommen.

“Es traten vereinzelt Verbindungsprobleme zur BeA-Webanwendung auf. Um die erforderliche Verbindungsstabilität zu BeA sicherzustellen, hat sich die Bundesrechtsanwaltskammer entschlossen, BeA am 23. und 24. Dezember sowie an den Weihnachtsfeiertagen für Wartungsarbeiten vom Netz zu nehmen.”

Hinweise zu den Risiken des neuen Zertifikats und Unterstützung bei der Entfernung des selben – Fehlanzeige.

Lösung oder Verschiebung?

Es wird sehr interessant, was die BRAK morgen, 27.12.2017 in Sachen beA präsentiert. Oder läuft es gar auf eine Verschiebung der passiven Nutzungspflicht für die Anwaltschaft ab 01.01.2018 hinaus?

Es bleibt spannend!