Neuen Kommentar schreiben

Während wir in unserem letzten Kommentar (oben) noch relativ positiv gestimmt an die Krise von beA, dem Besonderen Elektronischen Anwaltspostfach, herangegangen sind und nur den Wegfall der qualifizierten elektronischen Signatur betrachtet hatten, gehen Anwälte grundsätzlich gegen #beA vor: Mathias Bergt schreibt "Warnung vor dem besonderen elektronischen Anwaltspostfach (beA)" (http://bit.ly/beA-Warnung). Seine Kritikpunkte kurzgefasst:

• Um das beA weiter nutzen zu können, muss man „ein zusätzliches Zertifikat installieren“, für den „Kommunikationsaufbau zwischen Browser und beA-Anwendung“, teilte die Bundesrechtsanwaltskammer (BRAK) am 22.12.2017 mit. Diese Software hat massive Einwirkungen auf die IT-Sicherheit der Kanzlei.
• Dieses zu installierende Zertifikat kann für jede beliebige Domain ausgestellt werden, die dann als sicher eingestuft werden. Mit einem solchen Zertifikat kann dann ein Angreifer eine falsche Identität vortäuschen.
• Der private Schlüssel kann öffentlich ausgelesen werden und bietet daher keine Sicherheit sondern ein zusätzliches Risiko.
• Die DNS kann beliebig manipuliert werden und erlaubt so weitere Wege in das System des Anwalts.
• Postfächer von Kollegen in der Kanzlei können eingesehen werden

beA ist aktuell wegen Wartungsarbeiten vom Netz. Die BRAK teilt mit (http://bit.ly/beA-Anmeldung), dass die Anmeldung überarbeitet wird. Damit werden aber nicht die grundsätzlichen Probleme behoben, die schon in der Architektur und Konzeption von beA enthalten sind. Die Verschlüsselung innerhalb des Rechners des Anwalt stellt keine Sicherheit dar, da hierfür die privaten Schlüssel im System vorhanden sein müssen.

Vielleicht hilft es ja, dass der 34C3 das Thema aufgegriffen hat (http://bit.ly/34C3-beA; http://streaming.media.ccc.de/34c3) und auch namhafte Publikumszeitschriften wie der Spiegel jetzt darüber berichten (http://bit.ly/34C3beA).

beA ist gescheitert und muss abgestellt werden.