[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.

Anscheinend nichts gelernt…

Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.

Beinahe grob fahrlässig…

Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.

Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!

„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang

datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“

Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“

[datensicherheit.de, 22.01.2018] Das sogenannte besondere elektronische Anwaltspostfach (beA) dürfe erst an den Start gehen, „wenn die Technik das Anwaltsgeheimnis zuverlässig schützt und den Anwältinnen und Anwälten eine gute verlässliche Bedienung gewährleistet“, betont Rechtsanwalt Ulrich Schellenberg, Präsident des Deutschen Anwaltvereins (DAV). Die Fehler müssten daher genau analysiert und vollständig beseitigt werden. Der DAV halte fest, „dass die gesetzlich vorgesehene passive Nutzungspflicht für Anwälte bis zum endgültigen Start des beA nicht besteht“. Die DAV-Tagung „beA – Wie geht es weiter“ widmete sich am 22. Januar 2018 in Berlin der problembeladenen technischen Neuerung.

Vertrauen der Anwaltschaft in elektronischen Rechtsverkehr bedroht

Am 1. Januar 2018 sollte das beA für die Kommunikation zwischen Anwalt und Gericht starten. Doch offensichtliche gravierende Sicherheitsprobleme haben den Start verhindert.
In seiner ersten technischen und rechtlichen Bestandsaufnahme zum beA im DAV-Haus hält Schellenberg fest: „Wir brauchen ein absolut sicheres und nutzerfreundliches beA, damit das Vertrauen der Anwaltschaft in den elektronischen Rechtsverkehr nicht verloren geht.“ Um dies zu erreichen, brauche man „eine schonungslose Fehleranalyse, Transparenz und eine seriöse Planung für den Neustart“.

Sicherheit geht vor Schnelligkeit!

Sicherheit gehe vor Schnelligkeit, so der DAV-Präsident. Wichtig sei dabei, dass alle Beteiligten offen zusammenarbeiten.
Wesentlich aus Sicht des DAV: Neben Rechtsanwälten sollten auch unabhängige technische Experten hinzugezogen werden.

[dav-praesident-ulrich-schellenberg.jpg]

Foto: © Sven Serkis, Berlin

RA Ulrich Schellenberg: Unabhängige technische Experten hinzuziehen!

DAV hat Vorschläge zum weiteren Vorgehen vorgelegt

Der DAV hat nach eigenen Angaben bereits „verschiedene Vorschläge für das weitere Vorgehen und die Zusammenarbeit“ unterbreitet. Technisch sei für die Anwälte u.a. wichtig, dass beim beA Kanzleipostfächer (nicht nur personalisierte Postfächer) einzurichten sind.
Die gesetzliche Begrenzung des Uploads auf 60 MB sei „nicht praktikabel und sollte überprüft werden“.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
„beA – Wie geht es weiter“ / Programm vom 22. Januar 2018

DeutscherAnwaltVerein, 09.01.2018
Pressemitteilung 2/18, Rechtspolitik / Deutscher Anwaltverein: Besonderes elektronisches Anwaltspostfach / DAV fordert gründliche Überprüfung der Sicherheitsarchitektur

datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre

datensicherheit.de, 28.12.2017
Besonderes elektronisches Anwaltspostfach: Vertrauensverlust der Anwaltschaft

[datensicherheit.de, 03.01.2018] Die Einführung des „besonderen elektronischen Anwaltspostfachs“ (beA) weitet sich offensichtlich zu einer Affäre auf: Erste Anwälte fordern bereits den Rücktritt des verantwortlichen Vorstands der Bundesrechtsanwaltskammer (BRAK).

Ein einfaches „Weiter-So“ darf es nicht geben!

„Es kann nicht sein, dass diejenigen aufklären können, die das Desaster zu verantworten haben“, betont z.B. Rechtsanwalt Christof Augenstein, Partner von KATHER AUGENSTEIN in Düsseldorf und Mitglied der dortigen Rechtsanwaltskammer.
„Die Landeskammern, und insbesondere die mitgliederstarken in NRW, müssen jetzt im Sinne ihrer Mitglieder der BRAK klarmachen, dass es ein einfaches ,Weiter-So‘ nicht geben kann, nachdem der Start zum wiederholten Male kurzfristig verschoben werden musste“, sagt Augenstein.

Rund 38 Millionen Euro stehen auf dem Spiel

Im Feuer“ stehen nach Augensteins Angaben rund 38 Millionen Euro. Für diese Summe hatte sich die BRAK demnach das elektronische Anwaltspostfach von einem externen Dienstleister entwickeln lassen – und dies finanziert aus einer „Zwangsabgabe aller Mitglieder“.
Zudem gingen Aufwendungen für eigene Zertifikate und elektronische Lesegeräte zu Lasten der Rechtsanwälte.

Personeller Neuanfang gefordert

Es reiche nicht, dass der fachlich zuständige Vizepräsident seinen Hut nimmt – bei „so einem furios gescheiterten Prestige-Projekt“ stehe der gesamte Vorstand inklusive dem BRAK-Vorsitzenden in der Verantwortung, kommentiert Augenstein.
Er spreche dabei für seine gesamte Sozietät, sehe sich aber nicht als „Anwaltsrebell“. Augenstein ist sich jedoch sicher: „In der Anwaltschaft brodelt es zurecht massiv. Es kann daher nicht sein, dass Deutschlands exponiertesten Anwaltsvertreter mit den ihnen anvertrauten Geldern so umgehen!“ Dieser Sachverhalt müsse lückenlos aufgearbeitet werden. Dies könne nur mit einem personellen Neuanfang gelingen.

Weitere Informationen zum Thema:

datensicherheit.de, 28.12.2017
Besonderes elektronisches Anwaltspostfach: Vertrauensverlust der Anwaltschaft / Deutscher Anwaltverein fordert, den Schutz des Mandanten unbedingt zu wahren

[datensicherheit.de, 28.12.2017] Nach einer Mitteilung des Deutschen Anwaltvereins (DAV) zum Jahresende 2017 sorgten vor dem geplanten Start des „besonderen elektronischen Anwaltspostfachs“ (beA) zum 1. Januar 2018 Mitteilungen der Bundesrechtsanwaltskammer (BRAK) für Verunsicherung in der Anwaltschaft. Der DAV beklagt „einen Vertrauensverlust der Anwaltschaft in das beA“, der die Akzeptanz dieses Kommunikationsmittels weiter gefährde, – nach seiner Ansicht sei der Beginn des beA zum Jahreswechsel 2017-2018 „nun ausgeschlossen“. Er fordert demnach eine Vorlaufzeit von mindestens zwei Wochen für nötig gewordene Neueinrichtung auf den Computern von mehr als 160.000 Anwälten in Deutschland. Die BRAK solle öffentlich erklären, „dass das beA bis dahin auf keinem Wege erreichbar ist“. Das beA brauche außerdem einen unabhängigen Fachbeirat, der helfen könne, solche Risiken zu minimieren.

Oberstes Gebot: Sicherheit und Vertraulichkeit übermittelter Daten

„Oberstes Gebot der elektronischen Kommunikation mit den Gerichten, unter Anwältinnen und Anwälten und mit Mandanten ist die Sicherheit und Vertraulichkeit der übermittelten Daten“, so der DAV-Präsident, Rechtsanwalt Ulrich Schellenberg. „Solange die BRAK nicht sicherstellen kann, dass Anwälte diesen Schutz sensibler Daten auch über das beA gewährleisten können, darf das beA nicht wieder erreichbar sein.“
Vor dem Hintergrund der neuesten Entwicklungen appelliert der DAV an die BRAK zu bestätigen, dass das beA nicht von Gerichten und anderen Kommunikationspartnern erreichbar ist. „Außerdem fordern wir von der BRAK als verantwortlicher Stelle, das beA nicht ohne eine Mindestankündigungsfrist von zwei Wochen wieder zu aktivieren“, betont Schellenberg. Die Anwaltschaft brauche die Zeit für die Prüfung und Neueinrichtung eines neuen Zertifikats.

Altes Zertifikat abgelaufen, neues gesperrt…

Als für das beA verantwortliche Stelle habe die BRAK in einem Sondernewsletter vom 22. Dezember 2017 zunächst darauf hingewiesen, dass ein Zertifikat abgelaufen sei und Anwälte ein zusätzliches Zertifikat installieren müssten – nur so könne das Kommunikationssystem auch weiterhin genutzt werden.
Am Abend desselben Tages sei das System „wegen Wartungsarbeiten“ offline gewesen. Markus Drenger vom Darmstädter Chaos Computer Club habe darauf aufmerksam gemacht, dass das neue Zertifikat mit Blick auf Sicherheitslücken durch die Zertifizierungsstelle T-Systems gesperrt worden sei. Anwälten werde geraten, das Zertifikat wieder zu deinstallieren. Derzeit heiße auf der Homepage der BRAK: „beA muss vorerst offline bleiben – Sicherheit und Datenschutz haben Priorität“ – ein Hinweis auf die neuen Sicherheitslücken fehle indes immer noch. Bislang fehle auch eine Anleitung, wie das fehlerhafte Zertifikat deinstalliert werden kann. Die BRAK selbst empfehle in einer Pressemitteilung, das Zertifikat vom 22. Dezember 2017 wieder zu löschen.

Unabhängigen Fachbeirat gefordert

Der DAV fordert nach eigenen Angaben seit Längerem die Einrichtung eines unabhängigen Fachbeirates für das beA. So bestehe die Chance, dass das Risiko von schweren Fehlern wie diesem in der Zukunft minimiert werden könne.

Weitere Informationen zum Thema:

datensicherheit.de, 01.08.2017
Gesichtserkennung in Bahnhöfen: Deutscher Anwaltverein kritisiert massiven Eingriff in Grundrechte