R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
Wirtschaftsrecht
29.01.2018
Wirtschaftsrecht
BRAK: Deaktivierung der alten beA Client Security empfohlen

Der am 26.1.2018 von der Bundesrechtsanwaltskammer durchgeführte beAthon hat zu einem intensiven und konstruktiven Austausch über Sicherheitsfragen zum besonderen elektronischen Anwaltspostfach (beA) geführt. Erste Ergebnisse dieses Dialogs liegen mittlerweile vor:

Die anwesenden IT-Experten und Anwälte haben die von Atos entwickelte neue Version der beA Client Security diskutiert. Dabei zeigte sich, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen. Die von der BRAK beauftragten Gutachter erhielten mehrere Hinweise, welche Fragen bezüglich dieser Lösung in der Umsetzung besonders zu prüfen seien.

Intensiv diskutiert wurde ein weiteres Thema, das Herr Drenger vom Chaos Computer Club am 20. Dezember 2017 gemeldet hatte. Hierbei handelt es sich um den Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken. Die BRAK hatte ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen, diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt. Die BRAK sichert zu, dass die Überprüfung dieses Problems in der neuen beA-Version Gegenstand des Sicherheitsgutachtens der vom BRAK beauftragten Gutachter sein wird. Dieses Gutachten ist Grundlage der Entscheidung der BRAK für eine Wiederinbetriebnahme des beA.

Herr Drenger vertrat im beAthon die Auffassung, dass sich mit diesem Problem in der bisherigen beA Client Security ein weiteres Sicherheitsrisiko verbinde. Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.

Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners. Die von Herrn Drenger aufgedeckte mögliche Sicherheitslücke wird darüber hinaus mit der im Rahmen des beAthon vorgestellten neuen Version der Client Security automatisch behoben werden.

Dr. Martin Abend, BRAK-Vizepräsident, unterstrich für die BRAK, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.

(PM BRAK vom 26.1.2018)

stats