Risiko: Alten beA-Client sofort deinstallieren

Anwaltskanzleien, bei denen noch die Software für das Besondere elektronische Anwaltspostfach installiert ist, sollten diese so schnell wie möglich deinstallieren. Durch eine Sicherheitslücke in JAVA besteht Gefahr, dass Schadsoftware eingeschleust werden kann.


Anzeige

Über das Debakel beim ‘besonderen elektronischen Anwaltspostfach’ (beA) hatte ich ja bereits einige Blog-Beiträge veröffentlicht (siehe Linkliste am Artikelende). Die Software enthielt Sicherheitslücken, die die elektronische Kommunikation, die eigentlich sicher sein sollte, manipulierbar machten. Und darüber hinaus konnte das System der Nutzer durch die alten Zertifikate durch Schadsoftware kompromittiert werden (siehe beA-Debakel führt zu möglichem Trojaner-Befall).

beAthon zur Überprüfung beA

Am gestrigen Freitag fand dann der Sicherheitsdialog beAthon, veranstaltet von der Bundesrechtsanwaltskammer, mit einigen Fachleuten statt. Der Hersteller der beA-Software, die Firma Atos, war nicht beteiligt, denn dieser hatte Teilnahme abgesagt. Golem hat einen Artikel dazu veröffentlicht und die Bundesrechtsanwaltskammer hat diesbezüglich eine Pressemitteilung herausgegeben.

Recht
(Quelle: Pixabay  CC0 Creative Commons)

Veraltete JAVA-Version mit Sicherheitslücke

In einer Pressemitteilung teilt die Bundesrechtsanwaltskammer (BRAK) mit, dass die neue Version der Client Security (entwickelt von Atos, aber wohl noch nicht ausgeliefert) als sichere Basis akzeptiert werde.

Im Rahmen des Sicherheitsdialogs beAthon wurde aber auch eine Empfehlung bezüglich der Deaktivierung des alten beA-Clients getroffen. Hintergrund ist, dass Markus Drenger vom Chaos Computer Club Darmstadt in der Software ein Sicherheitsproblem festgestellt hat. Das verwendete JAVA ist von der von Moritz Bechler am 22. Mai 2017 veröffentlichten Java-Deserialisierungslücke betroffen. Dies könnte für Angriffe genutzt werden.

Während Atos angibt, dass die Sicherheitslücke nicht ausgenutzt werden könne, weil die Server abgeschaltet sind, hat Markus Drenger das Gegenteil bewiesen. Er war wohl auf der beAthon anwesend und berichtet, dass er sich auf einem Testsystem nach wie vor mit dem Server verbinden konnte. Ein Angreifer könnte über die Sicherheitslücke Code auf den Client-Rechner des Benutzers einschleusen und starten.

Die Bundesrechtsanwaltskammer (BRAK) empfiehlt nun allen Anwälten, sofern noch vorhanden, die beA-Software zu deinstallieren oder aus dem Autostart herauszunehmen. Der neue beA-Client soll die Sicherheitslücke schließen. Weitere Details sind der Pressemitteilung, dem Artikel im Anwaltsblatt, sowie diesem Golem-Artikel zu entnehmen.


Anzeige

Ähnliche Artikel
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA-Debakel führt zu möglichem Trojaner-Befall
Neues vom #beagate (beA), ein Brief der BRAK
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
#beA-Splitter zum Wochenendausklang


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit baA, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.