Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Nachricht · Elektronischer Rechtsverkehr

    beAthon: BRAK empfiehlt Deaktivierung der alten beA Client Security

    | Am 26.1.18 hat die BRAk den beAthon durchgeführt. Sie hat dabei mit IT-Experten und Anwälten über Sicherheitsfragen beim beA diskutiert. Die Ergebnisse hat die BRAK in einer Pressemitteilung zusammengefasst. |

     

    Danach hat sich bei der Diskussion gezeigt, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen. Die von der BRAK beauftragten Gutachter erhielten mehrere Hinweise, welche Fragen bezüglich dieser Lösung in der Umsetzung besonders zu prüfen seien.

     

    Intensiv diskutiert wurde ein weiteres Thema, das Herr Drenger vom Chaos Computer Club am 20.12.17 gemeldet hatte. Hierbei handelt es sich um den Zugriff der beA Client Security auf veraltete JAVA-Bibliotheken. Die BRAK hatte ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen, diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt. Die BRAK sichert zu, dass die Überprüfung dieses Problems in der neuen beA-Version Gegenstand des Sicherheitsgutachtens der vom BRAK beauftragten Gutachter sein wird. Dieses Gutachten ist Grundlage der Entscheidung der BRAK für eine Wiederinbetriebnahme des beA.

     

    Herr Drenger vertrat im beAthon die Auffassung, dass sich mit diesem Problem in der bisherigen beA Client Security ein weiteres Sicherheitsrisiko verbinde. Die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security kann eine Lücke für einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren.

     

    Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners. Die von Herrn Drenger aufgedeckte mögliche Sicherheitslücke wird darüber hinaus mit der im Rahmen des beAthon vorgestellten neuen Version der Client Security automatisch behoben werden.

     

    „Wir bedanken uns für die heute erhaltenen Impulse. Daran knüpfen wir gerne weiter an“, resümierte BRAK-Vizepräsident Dr. Martin Abend. Er unterstrich für die BRAK, dass das beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.

     

    Quelle | BRAK

    Quelle: ID 45110344