Die Bundesrechtsanwaltskammer empfiehlt die Deaktivierung der beA Software
Besonderes elektronisches Anwaltspostfach: Die Bundesrechtsanwaltskammer empfiehlt die Deaktivierung der beA Client Security Software.
Die BRAK (Bundesrechtsanwaltskammer) empfiehlt in ihrer Presseerklärung Nummer 4 vom 26.1.2018 die Deinstallation der alten beA Client Security Software.
Der heute von der Bundesrechtsanwaltskammer durchgeführte beAthon hat zu einem intensiven und konstruktiven Austausch über Sicherheitsfragen zum besonderen elektronischen Anwaltspostfach (beA) geführt. Erste Ergebnisse dieses Dialogs liegen mittlerweile vor:
Die anwesenden IT-Experten und Anwälte haben die von Atos entwickelte neue Version der beA Client Security diskutiert. Dabei zeigte sich, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen. Die von der BRAK beauftragten Gutachter erhielten mehrere Hinweise, welche Fragen bezüglich dieser Lösung in der Umsetzung besonders zu prüfen seien.
Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken
Intensiv diskutiert wurde ein weiteres Thema, das Herr Drenger vom Chaos Computer Club am 20. Dezember 2017 gemeldet hatte. Hierbei handelt es sich um den Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken. Die BRAK hatte ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen, diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt. Die BRAK sichert zu, dass die Überprüfung dieses Problems in der neuen beA-Version Gegenstand des Sicherheitsgutachtens der vom BRAK beauftragten Gutachter sein wird. Dieses Gutachten ist Grundlage der Entscheidung der BRAK für eine Wiederinbetriebnahme des beA.
Herr Drenger vertrat im beAthon die Auffassung, dass sich mit diesem Problem in der bisherigen beA Client Security ein weiteres Sicherheitsrisiko verbinde. Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.
Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners. Die von Herrn Drenger aufgedeckte mögliche Sicherheitslücke wird darüber hinaus mit der im Rahmen des beAthon vorgestellten neuen Version der Client Security automatisch behoben werden.
„Wir bedanken uns für die heute erhaltenen Impulse. Daran knüpfen wir gerne weiter an“, resümierte BRAK-Vizepräsident Dr. Martin Abend. Er unterstrich für die BRAK, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.
http://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2018/presseerklaerung-04-2018/
update 4. September 2018
Jetzt wurde das beA doch in Betrieb genommen.
Anwaltspostfach: Das beA startet ohne Testbetrieb