beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach

SicherheitSchwere Panne beim besonderen elektronischen Anwaltspostfach. Der beA-Client verteilte den Private Key des von T-Systems signierten Zertifikates, statt eines öffentlichen Schlüssels.


Anzeige

Das berichtet heise.de hier unter Berufung auf die Eilmitteilung der Bundesrechtsanwaltskammer. In der Eilmeldung heißt es ganz harmlos:

Zusätzliches Zertifikat für die beA-Nutzung notwendig

Die Bundesrechtsanwaltskammer wurde gestern Abend darüber informiert, dass ein für die beA-Anwendung notwendiges Zertifikat ab dem 22.12.2017 nicht mehr gültig ist. Deshalb ist es notwendig, dass alle beA-Nutzer vor der nächsten Nutzung des beA-Systems ein zusätzliches Zertifikat installieren. Dieses dient dem Kommunikationsaufbau zwischen Browser und beA-Anwendung. Gespeicherte Daten und Verschlüsselungsprozess sind hiervon nicht betroffen.

Dazu muss man wissen, dass das besondere elektronische Anwaltspostfach (beA) zum 1. Januar 2018 "passiv nutzungspflichtig" wird, d.h. jeder Rechtsanwalt muss kontrollieren, ob ihm dort Schriftstücke zugeschickt wurden.

Grund für den Zertifikatswechsel

Laut heise.de war einem IT-Dienstleister (konkret war es Markus Drenger vom Chaos Computer Club Darmstadt) nämlich aufgefallen, dass der beA-Client den Private Key des von T-Systems signierten Zertifikates (und nicht den Public Key) verteilte. Nach den allgemeinen Regeln für Sicherheitszertifikate musste dieser Key für ungültig erklärt werden. Die 'Nachbesserungsaktion' mit Ausgabe eines selbst signierten Zertifikats machte die Sache noch schlimmer, wie man in dem nachfolgend erwähnten Golem-Artikel nachlesen kann. Klingt nach einem holprigen Start und nicht gerade nach:

Das besondere elektronische Anwaltspostfach (beA) bietet Rechtsanwälten eine neue, einfache und sichere Alternative zum Versand anwaltlicher Dokumente und zum Empfang gerichtlicher Korrespondenz. Es bildet die Grundlage für eine sichere Kommunikation des Rechtsanwalts im elektronischen Rechtsverkehr.

Denn mit dem privaten Schlüssel hätte jeder, der sich in die Datenströme einklinken kann, die Kommunikation aufbrechen, mitlesen und auch manipulieren können.

Ergänzung: Beachtet die zwischenzeitlich bei heise.de vorgenommenen Updates – und vor allem den Verweis auf den Golem-Artikel, den Martin Feuerstein in nachfolgendem Kommentar verlinkt hat. Da ist die ganze Aktion wohl ziemlich in die Hose gegangen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach

  1. Martin Feuerstein sagt:

    Ist das besondere Behördenpostfach auch von dem Problem betroffen?

  2. Martin Feuerstein sagt:

    Golem.de hat einen Artikel mit mehr Details zum beA-Problem veröffentlicht: https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html. Geht wohl in die Richtung "Superfish".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.