Noch eine kurze Info zum besonderen elektronischen Anwaltspostfach (beA), welches sich zum Desaster entwickelt. Jetzt kommt die Nachricht, dass alle Anwälte, die beA verwenden und das letzte Zertifikat vom 22. Dezember 2017 installierten, dringend einen Virenscan durchführen müssen. Beim Grund rollen sich die Fußnägel hoch. Zudem wird bekannt, wie dilettantisch das Ganze aufgesetzt wurde.
Anzeige
Worum geht es beim beA-Fall?
Das Kürzel beA steht für das besondere elektronische Anwaltspostfach (beA). Dieses sollte zum 1. Januar 2018 "passiv nutzungspflichtig" werden, d.h. jeder Rechtsanwalt muss kontrollieren, ob ihm dort Schriftstücke zugeschickt wurden. So weit die Theorie.
Im Artikel beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach hatte ich berichtet, dass die Bundesrechtsanwaltskammer das Zertifikat für den Mailversand zum 22. Dezember 2017 erneuern musste. Alle Anwälte erhielten die Aufforderung, das neue Zertifikat zu installieren. Das ging aber noch mehr in die Hose, so dass beA schließlich offline genommen werden musste (siehe mein Blog-Beitrag Offline: BeA bleibt nach Sicherheitspanne vorerst offline). Die weitere Zukunft von beA ist ungewiss. Hätte es sein können, aber das Ganze geht noch weiter, nachdem die Details und die Folgen bekannt werden.
Scheitern mit Ansage: Dilettantismus pur
Auf dem 34C4-Hackerkongress in Leipzig haben Markus Drenger und Felix Rohrbach vom Chaos Computer Club Darmstadt, denen das ursprüngliche Zertifikatsproblem auffiel, Details genannt. Die Kollegen von heise.de haben die Details im Artikel 34C3: Das besondere Anwaltspostfach beA als besondere Stümperei aufbereitet. Heise schreibt, dass die beiden Hacker, entgegen der Darstellung der Bundesrechtsanwaltskammer (BRAK), keinen Angriff auf die Software unternommen. Der Versuch, nach dem Informationsfreiheitsgesetz von der BRAK, dem Dienstleister Atos als beA-Lieferant und dem Zertifizierer der Software Auskünfte zu erhalten, wurde unter Berufung auf "Geschäftsgeheimnisse" abgelehnt. Also analysierten die beiden öffentlich zugängliche Dokumente. Diese Analyse der für 38 Millionen Euro von Atos ab 2014 entwickelten Software offenbarte zahlreiche Mängel.
- Der Linux-Client arbeitet mit Java-Libraries, die im August 2015 ihr "End of Life" erreichten.
- Ein Daemon überwacht Port 9998, ob der Browser die Webseite bea-brak.de öffnet. Dann wird eine Verbindung per Websocket zwischen Client und Server aufgebaut und ein Anmeldefenster zum Aushandeln einer Session-ID öffnet sich.
- Diese Verbindung verwendete TLS 1.2, wobei der Server laut den Qualys SSL Labs auch zum 30.12.2017 gegen die aktuelle ROBOT-Attacke anfällig ist.
- Für die TLS-Verbindung braucht der Client ein, von einem lokal laufenden Webserver unter dem Namen bealocalhost.de bereitgestelltes, Zertifikat.
- Der private Schlüssel des bei T-Systems/Telesec eingekauften Zertifikats wurde bisher im Keystore des Clients gespeichert und mit einem voreingestellten Passwort beim Aufbau der TLS-Verbindung aufgerufen.
Dieser Ansatz führte zu dem oben erwähnten Zertifikatsdesaster. Auch sonst scheint das System etwas antiquiert. Anwälte können ihre Mail nur an ein Gericht oder einen Anwalt schicken, müssen, wegen des eingebauten Spamschutzes, nach jeder Mail 15 Minuten bis zum Versand der nächsten Mail warten. Mails dürfen nicht größer als 30 MByte sein.
Anzeige
Eine Mail wird beim Versand vom Client des Anwalt verschlüsselt und zum beA-Verteiler geschickt. Dort wird sie von einem besonderen Hardware-Sicherheits-Modul (HSM) entschlüsselt und für den Zielempfänger neu verschlüsselt. Das HSM hat (so die Analyse der Darmstädter Hacker) die privaten Schlüssel aller Anwälte gespeichert. Dies ermöglicht es, eine Mail zu anderen Anwälten umzuleiten (weil der ursprüngliche Empfänger verhindert ist). Wird der beA-Verteiler gehackt, lassen sich alle Mails mit den Zertifikaten entschlüsseln und mitlesen. Eine sichere "Ende-zu-Ende-Kommunikation mit Verschlüsselung" ist das eher nicht. Weitere Details zu diesem Aspekt lassen sich bei heise.de nachlesen. Ich würde sagen, dass die Entwickler hoffnungslos überfordert waren.
Trojanerbefall festgestellt
Aber die Geschichte geht noch weiter. Es scheint wohl einen Fall zu geben, wo ein System durch das Zertifikat mit einem Trojaner infiziert wurde. Auf dem Twitter-Kanal von openJur e.V. findet sich dieser Tweet (Info von hier).
#popcorn #beAGate pic.twitter.com/O9vYkW64Pt
— openJur e.V. (@openjur) 30. Dezember 2017
Von der Brak hat openJur e.V. die Information erhalten, dass ein Client am 22. Dezember 2017, nach Installation des neuen Zertifkats gehackt und ein Trojaner installiert wurde. Erst hielt ich den Tweet für eine Fake-News. Aber wir haben nicht den 1. April 2018, und die Meldung lässt sich bei der Hanseatische Rechtsanwaltskammer Hamburg hier nachlesen (die Quelle halte ich für seriös genug):
Wir haben von der BRAK auf unsere Nachfrage eine wichtige Information erhalten, die wir Ihnen gerne sofort weitergeben wollen:
Danach sollte Ihr Kanzlei-Computer vollständig mit einer Virensoftware gescannt werden, wenn Sie das Zertifikat vom 22. Dezember installiert haben sollten. Das soll auch dann gelten, wenn das Zertifikat zwischenzeitlich deinstalliert wurde.
Hintergrund sei folgender: Es lasse sich der Fall konstruieren, dass ein Hacker am Nachmittag des 22. Dezember einen PC mit aktuellem Zertifikat gehackt und der Nutzer des PCs eine durch den Hacker bereitgestellte Internetseite (z.B. einen Online-Shop, den der Nutzer fälschlicherweise für sicher hielt) aufgerufen hat, wodurch der PC des Nutzers mit einem Trojaner infiziert worden sein könnte. Sofern ein gängiges Antivirenprogramm den Trojaner nicht entdeckt hätte, könnte dieser Trojaner dazu programmiert worden sein, die über den Webbrowser getätigte E-Mail-Korrespondenz mitzulesen.
Noch ein paar Anmerkungen: Die Systeme sollten nach Deinstallation des Zertifikats mit einer Antivirus-Software überprüft werden. Dass eine Anwaltskammer schon mal Virensoftware mit Antivirensoftware verwechselt, ist verzeihlich – was ein Glück, dass die Betroffenen nur schwerlich an eine Virensoftware zum Scannen des PC herankommen.
Den Leuten bei der Anwaltskammer dämmert aber das Dilemma: Falls die Trojaner von einer "gängigen" Antivirus-Software nicht erkannt wird, könnte die Korrespondenz und mehr mitgelesen werden. Wird eine Infektion festgestellt, bleibt in meinen Augen nur noch das komplette Neuaufsetzen des Systems. Falls keine Infektion festgestellt wird, steht der Betreffende vor einem Dilemma: Ist das System nicht infiziert, oder erkennt die Anti-Virus-Software die Infektion nicht? Eigentlich müsste jedes System, welches die beA-Zertifikate installierte hatte, neu aufgesetzt werden, um auf der sicheren Seiten zu sein.
Ähnliche Artikel:
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
Anzeige
Also es reicht mir eigentlich schon jenes, "Der Linux-Client arbeitet mit Java-Libraries, die im August 2015 ihr "End of Life" erreichten", zu lesen.
Na ja die Bundesrechtsanwaltskammer hat ja genügend Geld was machen das schon läppische 38 Millionen Euro verplemperte Steuergelder aus.
Ich denke da nur immer wieder an die 60 Millionen Euro und fünf Jahre Entwicklungszeit die bei der Bundesagentur für Arbeit in den Sand gesetzt worden sind na und sage ich da nur, in der Kasse war wahrscheinlich eh zu viel drinnen und bevor das nur einem Arbeitslosen zu gute kommt, ich meine Arbeitslose Harz IV Empfänger bekommen ja eh viel zu viel ca. 7600 Euro im Jahr für nichts tun, da wird auch das Steuergeld lieber verplempert anstatt was sinnvolles damit zu machen.
Ich habe mir beim Schreiben des Blog-Beitrags auch spontan die Frage gestellt 'was machst Du falsch'? Für 30 Millionen hätte ich das Ding auch astrein in den Sand gesetzt ;-)
Und dafür muss niemand mal den Kopf hinhalten (Außer natürlich wie immer der Steuerzahler) aber das wird ja kaum noch erwähnt. So etwas ist ja eigentlich schon Normalität.
Ich hätte auch lieber in die Politik gehen sollen, kurz vor der Wahl haben sich ja die Abgeordneten die Diäten erhöht, das sind glaube ich 97.000 Euro im Monat was ein Abgeordneter in Deutschen Bundestag
verdientäh bekommt. Dafür würde ich sogar was arbeiten.Der Abgeodnete verdient nichts, es ist kein Gehalt. Die Diät für die BT-Abgeodneten ist eine Entschädigung, dass Gott sie erschaffen hat und sie sich breitschlagen haben lassen BT-Abgeodnete zu werden.
Pro Monat aber eine Null weniger p.m., genau 9.541,74 EUR (ab 01.7.2017, diese werden dann zum 01.07.2018 wieder angepasst also erhöht.) zzgl einer Kostenpauschale von 4.318,38 EUR zzgl. Reisekosten, so Bahncard 1. Klasse zzgl. Kostenentschädigung für Mitarbeiter des abgeordneten p.m. max. 20.870 EUR, zzgl die Hälfte seiner KV und dann v.a.m. So bei Ausschussmitgliedschaft noch mal was. Also Untersuchungsausschüsse sind sehr beliebt. Die werden schlagartig zur neuen Leg-periode angestebt, dann geschaffen und enden dann mit komischen Berichten am Ende. Die Fraktionen sind dann zu Hälfte der Leq-periode bestebt zu schauen, wer noch nichts hat udn so werden dann schnell neue beantragt, dann geschaffen und enden dann ohne konkreten Ergebnis am Leg-Ende.
Die Kostenpauschale p.m. ist steuerfrei, egal ob Kosten oder keine. Da sind auch Aufwendungen logischerweise enthalten, die in der ESt-Erkl nie und nimmer durchgehen!. Das sind mehr als 50 TEUR p.a., das ist schon heftig. Das ohne Kostennachweis! Diese Kostenpauschale wird zum 01.01.2018 wieder angepasst. Bürostifte etc gibt es umsonst, da war mal ein Aufreger vor 3 Jahren wg. teure Schreibgeräte.
Das Ganze ist auf den Seite des Bundestages nachlesbar. Eine gute Übersicht bei Wikipedia, auch zu den einzelnen Bundesländern.
Pro Jahr kommt man locker auf über 200 TEUR je Abgeodneter, es ist aber weitaus mehr.
Die Zeche zahlen muss bei beA ausnahmsweise nicht der Steuerzahler, sondern wir Anwälte mit den Kammerbeiträgen.
Danke für die Insights.
Danke für die Rechtsanwälte, die sich als Versuchskaninchen opfern. Dann kommt es hoffentlich nicht so schnell für die Steuerberater. Hier ist ELSTER und angeschlossenes das Ding mit den unbegrenzten Unmöglichkeiten und diese Vollmachtsdatenbank. Es ist einfach wie ich schon schrieb in einem anderen Blogthema: Die Indienstnahme Privater für hoheitliche Aufgaben.
Eigentlich sind auch WP/StB ab heute "passiv Nutzungspflichtig". Beide können auch Behördenpoat bekommen.