Keinen wirklichen Talk, sondern eine technische Abrechnung im engeren Kreis (Stichwort: „einfach.digital.kaputt“) lieferten Markus Drenger und Felix Rohrbach über das beA (besondere elektronische Anwaltspostfach), welches (irgendwann!) eine sichere und fristwahrende Kommunikation von Anwälten vor allem mit Gerichten und Behörden ermöglichen soll. Wir haben bereits hier über einige Sicherheitspannen berichtet.

Markus Drenger und Felix Rohrbach haben das IFG (Bereitstellung von Informationen zum System) sowie das BDSG (Bereitstellung des Verfahrensverzeichnisses) bemüht und das beA aus technischer Sicht unter die Lupe genommen. Die wesentlichen technischen Schwachstellen seien hier noch einmal zusammengefasst:

– Es soll keine Ende-zu-Ende-Verschlüsselung existieren: Grundsätzlich werde der Inhalt von versendeten E-Mails im HSM (High Security Module), das zwischen Empfänger und Adressat vermittelt, entschlüsselt und dann vor Verteilung erneut verschlüsselt. Eine wirkliche Ende-zu-Ende-Verschlüsselung finde damit nicht statt; die private keys seien also im HSM abgelegt.

– Per Update wurde die root CA verteilt, allerdings nicht mit dem öffentlichen, sondern dem privaten Schlüssel. Dies ermöglicht es nun, beliebige weitere Zertifikate auszustellen.

– Abgerundet werden die Probleme durch die Unterstützung veralteter Betriebssysteme (etwa OS X 10.11, Support endet voraussichtlich Herbst 2018; SUSE 13.2, Support abgelaufen) und Libraries sowie durch die Erforderlichkeit, angemessene Sicherheitsstandards für die Nutzung zu senken (Pop-Up-Fenster erlauben etc.).

Für jeden der sich eingehender mit den technischen Details befassen möchte, empfehlen wir die Aufzeichnung des Vortrags. Wir verlinken diese hier, sobald sie online gestellt ist.