CR-online.de Blog, Warnung vor dem besonderen elektronischen Anwaltspostfach (beA)
…Denn um das beA weiter nutzen zu können, muss man „ein zusätzliches Zertifikat installieren“, für den „Kommunikationsaufbau zwischen Browser und beA-Anwendung“, wie die Bundesrechtsanwaltskammer (BRAK) gestern mitteilte. Was sie nicht mitteilte: Wer dieser Anweisung folgt, zerstört die IT-Sicherheit in der Kanzlei.
Zwar ist das beA zwischenzeitlich wegen „Wartungsarbeiten“ wegen „vereinzelter Verbindungsprobleme“ vom Netz. Doch obwohl ich die Kammer und den Hersteller gestern über die Problematik informiert habe, gibt es immer noch keine ehrliche Kommunikation, und die gefährliche Anleitung wird weiter verbreitet. Immerhin ist der Sondernewsletter, der zur Installation des Zertifikats auffordert, von der BRAK-Homepage verschwunden.
Gestern informierte die BRAK mit einem Sondernewsletter:…
Wording und Vorgehen erinnern an eine Phishing-Attacke, sodass ich mich als erstes einmal überzeugt habe, dass die Aufforderung echt ist – ist sie leider.
Wer die Anleitung liest, stolpert über die Warnung, dass seriöse Unternehmen und Behörden so etwas nicht verlangen werden. Doch der Anwalt soll die Warnungen in den Wind schlagen.
Als wäre das noch nicht Problem genug, ist der private Schlüssel dieser neuen Zertifizierungsstelle auch noch auszulesen – und damit öffentlich verfügbar. Das heißt, Hinz und Kunz und ihre kriminellen Kollegen haben alles in der Hand, was sie für einen Angriff auf alle deutschen Rechtsanwälte benötigen.
…Da fällt dann gar nicht mehr ins Gewicht, dass wegen eines grundsätzlichen Designproblems auch noch weitere Angriffe auf das beA denkbar sind – bealocalhost.de ist eine öffentlich zugängliche, nicht mal über DNSSEC gesicherte Domain (nicht, dass Normaluser DNSSEC nutzen würden, aber von einem Anbieter sicherheitskritischer Dienste sollte man es erwarten). Braucht man nur ein wenig im DNS zu manipulieren.
…Wenn die BRAK das beA ohne eingehende Reparatur (die in der Kürze der Zeit eine echte Leistung wäre) wieder ans Netz nimmt – wer beantragt die einstweilige Anordnung?
Ach ja, und sollte jemand schon der Anleitung gefolgt sein – bitte die Zertifizierungsstelle sofort wieder löschen!
Dann funktioniert natürlich das beA nicht mehr – und ab 1. Januar ist die Nutzung für jeden Anwalt Pflicht.
