34C3: Das besondere Anwaltspostfach beA als besondere Stümperei

Das besondere elektronische Anwaltspostfach (beA) stand im Mittelpunkt einer Analyse, die Markus Drenger und Felix Rohrbach vom Chaos Darmstadt auf dem 34C3 vorstellten. Entgegen der aktuellen Darstellung der Bundesrechtsanwaltskammer (BRAK) haben die beiden Hacker keinen Angriff auf die Software unternommen, sondern nur öffentlich zugängliche Dokumente analysiert. Ihr Versuch, nach dem Informationsfreiheitsgesetz von der BRAK, dem Dienstleister Atos als beA-Lieferant und dem Zertifizierer der Software Auskünfte zu erhalten, wurden unter Berufung auf "Geschäftsgeheimnisse" abgelehnt. Doch schon der Blick von außen offenbarte zahlreiche Mängel.

Das besondere Anwaltspostfach sollte eigentlich ab dem 1. Januar 2018 zur Kommunikation zwischen Rechtsanwälten und Gerichten mit einer sogenannten Nachsichtspflicht gestartet werden: Jeder Anwalt sollte nachsehen müssen, ob sich (verschlüsselte) Post in seinem Postfach befindet. Gerichte sind bis 2020 von der Pflicht befreit. Dieser Termin ist auf unbekannte Zeit verschoben. "Die BRAK wird daher das beA-System erst dann wieder online bereitstellen, wenn der Dienstleister die Störungen vollständig behoben hat und einen sicheren Zugang gewährleisten kann," so die Anwaltskammer. Sie entspricht damit einer Forderung des Deutschen Anwaltvereins, der in einer Eilmeldung den vorläufigen Stopp von beA forderte, bis ein unabhängiger Fachbeirat das E-Mail-Verfahren bewertet hat.

Mail-Umleitung durch Schlüsselhinterlegung

Im Unterschied zur herkömmlichen E-Mail arbeitet beA mit einem eingebauten Spamschutz. Anwälte können ihre Mail nur an ein Gericht oder einen Anwalt schicken. Dann müssen sie 15 Minuten warten, bis sie die nächste Mail über die EGVP-Infrastruktur schicken können. Die Mail mit dem Anwalts-Schriftsatz darf nicht größer als 30 MByte sein. Sie wird vom Anwalt verschlüsselt und zum beA-Verteiler geschickt, wo sie von einem besonderen Hardware-Sicherheits-Modul (HSM) entschlüsselt und für den Zielempfänger neu verschlüsselt wird. Das HSM hat dafür nach der Analyse der Darmstädter Hacker die privaten Schlüssel aller Anwälte gespeichert und kann deshalb Mail zu anderen Anwälten umleiten, wenn der ursprüngliche Empfänger verhindert ist. "Eine Ende-zu-Ende-Verschlüsselung sieht anders aus", kommentierte Markus Drenger trocken und bekam dafür reichlich Beifall.

Sein Partner Felix Rohrbach analysierte die Software, die für 38 Millionen Euro von Atos ab 2014 entwickelt wurde. Der Linux-Client arbeitet mit Java-Libraries, die schon im August 2015 ihr "End of Life" erreichten. Ein Daemon lauscht auf Port 9998, ob der Browser bea-brak.de öffnet. In diesem Fall verbindet sich die Website per Websocket mit dem Client, der dann das Login-Fenster öffnet, wonach eine Session-ID ausgehandelt wird.

Die Verbindung zu bea-brak.de läuft mittels TLS 1.2, wobei der Server aber laut den Qualys SSL Labs noch gegen die aktuelle ROBOT-Attacke anfällig ist. Für die TLS-Verbindung braucht der Client ein Zertifikat, das von einem lokal laufenden Webserver unter dem Namen bealocalhost.de bereitgestellt wird. Der private Schlüssel des bei T-Systems/Telesec eingekauften Zertifikats wurde bisher im Keystore des Clients gespeichert und mit einem voreingestellten Passwort beim Aufbau der TLS-Verbindung aufgerufen.

Keine Gefahr durch Nichtnutzung

Nachdem die Hacker diese unsachgemäße Verteilung eines privaten Schlüssels an die BRAK, T-Systems/Telesec und an das CERTbund des BSI meldeten, wurde am 22. Dezember das Zertifikat gesperrt und kurzzeitig von einem Zertifikat einer BRAK-eigenen Root-CA ersetzt, das wiederum mitsamt dem Private Key verteilt wurde.

Inzwischen ist der mit der heißen Nadel gestrickte Patch Geschichte. Am 23. Dezember forderte die BRAK die Anwälte auf, auch dieses Zertifikat zu löschen. Somit kann beA vorerst weder von Anwälten noch von Gerichten benutzt werden: "Keine Gefahr durch Nichtnutzung", resümierten die Hacker trocken. Sie verwahrten sich zum Schluss gegen eine Mitteilung der BRAK, wonach "eine nicht zur Rechtsanwaltschaft zugelassene Person" ein Zertifikat der Client Security "kompromittiert" habe. Diese grob verzerrende Darstellung vom 27.12. wurde offenbar nach dem Vortrag der beiden Darmstädter auf dem 34C3 bei der BRAK gelöscht. (ea)