Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Volker Weber 845

Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Update

Fataler Konstruktionsfehler im besonderen anwaltlichen Postfach?

Titelseite der Präsentation

Bild: Markus Drenger/Felix Rohrbach

Markus Drenger und Felix Rohrbach vom Chaos Darmstadt haben ihre Erkenntnisse zum beA am Dienstagabend an der TU Darmstadt erneut präsentiert. Und es sieht ganz danach aus, dass die Client-Software einen irreparablen Konstruktionsfehler hat.

Der Hörsaal im Piloty-Gebäude der Technischen Universität Darmstadt war bis auf den letzten Platz gefüllt: Die Bugs und Sicherheitslücken im besonderen elektronischen Anwaltspostfach (beA) stoßen offensichtlich auf großes Interesse. Verwunderlich war der rege Publikumszuspruch auch angesichts der Vortragenden nicht: Markus Drenger und Felix Rohrbach vom Chaos Darmstadt e.V. präsentierten ihre Erkenntnisse zum beA der interessierten Öffentlichkeit.

Anzeige

Drenger und Rohrbach haben keinen vollständigen Security Review des beA-Systems durchgeführt. Sie hatten weder Zugriff auf Sourcen noch zum Server. Sie hatten auch keine Benutzer-ID im System, keine Smartcard oder irgendwelche privilegierten Informationen. Sie haben lediglich die Linux-Version des öffentlich verfügbaren Clients heruntergeladen und diese installiert. Dabei zieht die Software zahlreiche weitere Bibliotheken aus dem Netz nach und installiert diese. Ein erster Blick auf diese Komponenten ergab bereits, dass einige davon seit Jahren veraltet sind und ungepatchte dokumentierte Sicherheitslücken aufweisen. Das ist ein lösbares Problem.

Schwerwiegender ist ein grundsätzliches Problem. beA versucht eine sichere Lösung auf unsicherem Untergrund aufzubauen. Die Software lädt einen Webserver als Hintergrundprozess und präsentiert die Benutzerschnittstelle in einem Browser. Da sie Verbindungen zum öffentlichen beA-Server per TLS unterhält, muss sie mit dem Hintergrundprozess ebenfalls per TLS kommunizieren, da sonst der Browser wegen unsicherer Seitenbestandteile Alarm schlägt. Und daraus folgt, dass dieser Hintergrundprozess ein gültiges Zertifikat vorweisen muss, das vom Browser akzeptiert wird.

Dieses Zertifikat mit öffentlichem und privaten Schlüssel war zusammen mit dem verschleierten Passwort in der Client-Software gespeichert. Da diese Lösung aus Sicherheitsgründen ausdrücklich verboten ist, zog die Zertifizierungsstelle das Zertifikat zurück, sobald diese Tatsache bekannt wurde. Die BRAK (Bundesrechtsanwaltskammer) sprach davon, das Zertifikat sei "abgelaufen", was nach einem Flüchtigkeitsfehler klang, und gab ein neues Zertifikat aus. Dieses neue Zertifikat war nicht von einer dem Browser bekannten Zertifizierungsstelle signiert, sondern von einer selbst erstellten eigenen Certificate Authority.

Das Problem hatte sich damit verdoppelt. Nicht nur war das Zertifikat unsicher gespeichert, sondern jetzt musste diese CA noch im Browser installiert werden. Auch hier wurde wieder das Zertifikat vollständig ausgeliefert und kompromittierte damit die Sicherheit des Browsers komplett. Nach Bekanntwerden wurde diese scheinbare Lösung umgehend zurückgezogen. Der gesetzlich vorgeschriebene Start des beA zum 1. Januar 2018 war gescheitert.

Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat als auch das Kennwort dazu kennt. Der Schlüssel liegt sozusagen unter der Fußmatte. Es spielt keine Rolle, unter welcher Ecke der Fußmatte man ihn versteckt, denn er ist stets präsent. Das lässt sich nur heilen, indem man den Client anders konzipiert. Unklar ist, wie diese Konstruktion überhaupt als sicher zertifiziert werden konnte.

Hinter diesem bekannten Problem lauert ein viel größeres. Drenger und Rohrbach haben diesen Fehler nur zufällig gefunden, weil man den Client einfach herunterladen konnte. Die Frage ist, wie viele andere eGovernment-Lösungen ähnlich angreifbar sind und nur noch nicht entdeckt wurden. Man denke etwa an das Notariatspostfach. Wegschauen dürfte keine Lösung sein.

Update 20.1.2018: Chaos Darmstadt hat einen Mitschnitt des Vortrags online gestellt:

Anzeige

Vortrag von Markus Drenger und Felix Rohrbach von Chaos Darmstadt e.V. am Dienstag, 16.1.2018 an der Technischen Universität Darmstadt

(Volker Weber) / (vowe)

845 Kommentare

Themen:

Anzeige
  1. 34C3: Das besondere Anwaltspostfach beA als besondere Stümperei

    34C3: Das besondere Anwaltspostfach beA als besondere Stümperei

    Darmstädter Hacker zeigen, dass das besondere elektronische Anwaltspostfach, kurz beA, mit veralteter Software und einem veralteten Anwendungskonzept entwickelt wurde.

  2. Besonderes elektronisches Anwaltspostfach: Atos hält die eigene Lösung für sicher

    Besonderes elektronisches Anwaltspostfach: Atos hält die eigene Lösung für sicher

    Atos teilt mit, die Sicherheit und Integrität des beA sei wiederhergestellt und das System in der aktuell vorliegenden Ausbaustufe voll einsatzfähig. Die Entscheidung läge nun bei der Bundesrechtsanwaltskammer.

  3. Besonderes elektronisches Anwaltspostfach: Zur Sicherheit sollen Rechtsanwälte die beA Client Security deaktivieren

    Zur Sicherheit: Rechtsanwälte sollen die beA Client Security deaktivieren

    Die Bundesrechtsanwaltskammer hat die erste Lehre aus ihrem beAthon gezogen. Die gar nicht sichere Client Security der beA-Software soll nun von den Anwältinnen und Anwälten umgehend deaktiviert werden.

  4. beA: Schwere Panne beim "besonderen elektronischen Anwaltspostfach"

    Schwere Panne beim besonderen elektronischen Anwaltspostfach

    Digital. Einfach. Sicher: So soll das besondere elektronische Anwaltspostfach funktionieren. Die Sicherheit des Systems wurde jedoch durch einen schweren Fehler ausgehebelt.

  1. Tor und die versteckten Dienste

    Tor und die versteckten Dienste

    Das Tor-Netz ist eigentlich für seine Anonymität spendende Funktion bekannt; weniger verbreitet ist das Wissen, dass und wie es auch die Abhörsicherheit erhöhen kann.

  2. Arduino-Web-Editor ausprobiert

    Mit dem neuen Web-Editor lassen sich Arduinos direkt aus dem Browser programmieren. Vorteil und Nachteil: der eigene Quellcode wandert von der Festplatte ins Netz.

  3. Zertifikate sperren - so geht's

    Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

  1. Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

    Behörden ignorieren Sicherheitsbedenken bei Windows 10

    Deutsche Behörden kaufen fleißig Software bei Microsoft. Dabei gibt es erhebliche Sicherheitsbedenken, die das US-Unternehmen wohl immer noch nicht ausräumen konnte. Unklar ist etwa, welche Daten an den Konzern fließen.

  2. Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Das Soziale Netzwerk will ausländische politische Einflussnahme auf Wahlen mit Hilfe der guten alten Post eindämmen.

  3. Twitter: ab sofort keine Mac-App mehr

    Twitter: ab sofort keine Mac-App mehr

    Das soziale Netzwerk will sich in Zukunft auf ein "konsistentes Anwender-Erlebnis" konzentrieren. Ein Entwickler alternativer Twitter-Apps reagiert mit Preisnachlass.

  4. Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Die Siemens-Beschäftigten laufen seit Wochen Sturm gegen den Jobabbau im Kraftwerksgeschäft. Doch der digitale Wandel schreitet voran - und auch bei anderen Unternehmen wird er massive Folgen haben, ist Konzernchef Kaeser überzeugt.

Anzeige