Fataler Konstruktionsfehler im "besonderen elektronischen Anwaltspostfach"
- "Geschrieben von Matthias Pufke"
Markus Drenger und Felix Rohrbach vom Chaos Darmstadt haben ihre Erkenntnisse zum "beA" erneut an der TU Darmstadt erneut präsentiert - und es sieht wirklich so, dass die Client-Software einen irreparablen Konstruktionsfehler hat.
Der Hörsaal im Piloty-Gebäude der Technischen Universität Darmstadt war bis auf den letzten Platz gefüllt - die vorab veröffentlichten Bugs und Sicherheitslücken im besonderen elektronischen Anwaltspostfach (beA) stoßen offensichtlich auf großes Interesse.
Drenger und Rohrbach haben keinen vollständigen Security Review des beA-Systems durchgeführt. Sie hatten weder Zugriff zu Sourcen noch zum Server. Sie hatten auch keine Benutzer-ID im System, keine Smartcard oder irgendwelche privilegierten Informationen.
Fakt ist: Der gesetzlich vorgeschriebene Start des beA zum 1. Januar 2018 war gescheitert.
Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat als auch das Kennwort dazu kennt. Der Schlüssel liegt sozusagen unter der Fußmatte. Es spielt keine Rolle, unter welcher Ecke der Fußmatte man ihn versteckt, denn er ist stets präsent. Das lässt sich nur heilen, indem man den Client anders konzipiert. Unklar ist, wie diese Konstruktion überhaupt als sicher zertifiziert werden konnte.
Bildquelle: Bundesrechtsanwaltskammer