Anwaltskammer: BeA sofort deinstallieren!

Die Software zur Nutzung des „Besonderen elektronischen Anwaltspostfachs“ (BeA) weist noch eine weitere schwere Sicherheitslücke auf. Deshalb empfiehlt die Bundesrechtsanwaltskammer nun allen Anwälten, die BeA-Software zu deaktivieren.

Das wurde gestern im Rahmen des sogenannten BeAthon bekannt. Zu dieser Veranstaltung hatte die Bundesrechtsanwaltskammer externe Sicherheitsexperten und Vertreter von mehreren Rechtsanwaltsorganisationen geladen. Die neu gefundene Lücke ist ganz unabhängig von dem Problem, das kurz vor Weihnachten zur Abschaltung des Anwaltspostfachs geführt hat.

Java-Deserialisierung erlaubt Ausführung von Schadcode

Der Chaos Computer Club (CCC) Darmstadt erläuterte das Problem auf dem BeAthon. Danach weist die BeA-Software eine sogenannte Java-Deserialisierungslücke auf. Das Programm öffnet nämlich lokal auf dem Rechner einen HTTPS-Server, zu dem auch Internetseiten über Websockets eine Verbindung aufbauen können.

Der lokale HTTPS-Server verarbeitet darüber empfangene Objekte mit der Java-Bibliothek Jackson, die diese Sicherheitslücke aufweist. Durch entsprechende Konstruktion einer Anfrage ist es darüber möglich, die Software dazu zu bringen, fremden Code auszuführen.

So kann ein Angreifer dann beliebige Software auf dem Rechner des betroffenen Anwalts starten und zum Beispiel gespeicherte Daten kopieren oder verändern.

Hersteller Atos sagte Teilnahme am BeAthon kurzfristig ab

Ein Vorstands-Vertreter der Bundesrechtsanwaltskammer war über die Darstellung des CCC Darmstadt überrascht. Der Software-Hersteller Atos hatte die Kammer nicht darüber informiert, wie schwerwiegend diese Lücke ist – und auch kurzfristig seine Teilnahme am BeAthon abgesagt…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Allgemeines, Internet, News, Politik, Recht, Sicherheit abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Anwaltskammer: BeA sofort deinstallieren!

  1. Pingback: Juristen träumen vom besonderen Anwaltspostfach - webwork-magazin.net

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.