Weitere Sicherheitslücke im beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

beA: BRAK lässt Nutzer unsicheres Zertifikat installieren

Nachdem unsere Kanzlei schon seit März weitgehend problemlos mit beA arbeitet, haben sich die letzten Wochen die Ausfälle gehäuft: Mehrmals war aufgrund von Netzwerkproblemen das beA nicht erreichbar.

Heute dann eine neue Überraschung: Ein Zertifikat, das für die beA-Anwendung erforderlich ist, ist ausgelaufen und muss nun manuell installiert werden. Die BRAK wurde nach eigenen Angaben erst gestern informiert.

Eine Anleitung zur Installation des Zertifikats stellt die BRAK hier bereit.

Sollte das beA nach diesen Schritten noch nicht gehen, habe ich die Erfahrung gemacht, dass eine Neuinstallation des beA-Clients Abhilfe schafft.

Als großer Befürworter des elektronischen Rechtsverkehrs darf ich an dieser Stelle doch eine Kritik äußern: Vorfälle wie der heutige führen leider bei den beA-Skeptikern nicht zu einer Akzeptanz des Systems. Gerade nicht so IT-affine Anwälte werden bei der Durchführung solcher Abhilfemaßnahmen Probleme haben.

Auch die neue RA MICRO Schnittstelle. die noch sehr viele Fehler aufweist und teilweise mehrmals täglich gepatcht wird von RA MICRO, spielt den Kritikern leider in die Hände.

Update am 22.12.2017, 17:06 Uhr: Laut einer Meldung von heise wurde anstatt des öffentlichen Schlüssels der private Schlüssel durch den beA-Client verteilt. Da der private Schlüssel kompromittiert wurde, musste er für ungültig erklärt werden, womit die manuelle Installation notwendig wurde. heise bezeichnet den Vorfall als “schwere Panne”. Zurecht.

Update am 24.12.2017: Die Anleitung zur Installation des Zertifikats ist mittlerweile offline. Das beA ist über Weihnachten im Wartungsmodus. Wie Golem berichtet führt die Installation des Zertifikats dazu, dass sich gefälschte Webseiten als Originale ausgeben könnten. In die https-Architektur wird damit eine riesige Sicherheitlücke gerissen. Nutzer sollten das Zertifikat der BRAK umgehend wieder deinstallieren.