„Einfach unqualifiziert“ — Hintergrundgespräch mit CCC-Mitglied Markus Drenger zum beA

Von Markus Drenger

Markus Drenger vom Chaos Computer Club Darmstadt e.V. hat mit einem Freund die Sicherheitslücken des beA entdeckt und bewirkt, dass das System Ende 2018 komplett gesperrt wurde. Im Interview erklärt der Software-Entwickler, was hätte passieren können, wenn die Sicherheitslücken nicht entdeckt worden wären und wie Anwälte ihre IT-Sicherheit gewährleisten können. 

Herr Drenger, wie haben Sie die Sicherheitslücken im beA entdeckt?

Ich kannte Anwälte, die sich über die Software beschwert haben. Da dachte ich, das ist doch ein schönes Projekt und wollte mir das mal genauer anschauen. Dazu habe ich die BRAK angeschrieben und ein paar Infos bekommen. Dann habe ich angefangen, die Dokumentationen für die Anforderungen zu lesen. Da fiel mir etwas an der Umschlüsselung auf. Es war technisch unlogisch. Als ich mich näher informieren wollte, musste ich feststellen, dass die Informationslage im Netz ziemlich dünn war. Als nächstes habe ich mir die Software heruntergeladen und mir die Funktionen angeschaut. Dabei fiel mir auf, wie der Server auf dem Anwaltsrechner betrieben wird. Der spricht https und das mit einer echten DE-Domain. Dadurch war klar, dass das Zertifikat in der Software sein musste. Nur durch Rumklicken in Firefox konnte man darauf schließen, dass da ein Zertifikat sein musste, das nicht hätte dort sein dürfen. Dann war es auch nur eine Sache von Minuten, das Zertifikat aus der Software herauszulösen, weil es während des Betriebs im Arbeitsspeicher lag. Man konnte ihn auslesen, hatte also einen privaten Geheimschlüssel, der nicht hätte öffentlich sein dürfen. Das Zertifikat ist quasi ein digitaler Ausweis, mit dem sich jemand als die Webseite ausgeben kann. Wenn es in falsche Hände gerät, könnte man eine gefälschte Webseite aufmachen und dadurch Phishing-Attacken auslösen. Man könnte auch die Anfragen auf eine vermeintlich verifizierte Seite umleiten und Nutzer dazu bringen, ihre Zugangsdaten einzutippen. Das habe ich dann am 20.12.17 gemeldet. Die Telekom hat es daraufhin gesperrt und ab diesem Tag war auch das beA nicht mehr nutzbar.

"Die Dokumentationen zu den Anforderungen des beA waren technisch unlogisch."

Welche Risiken hätten noch entstehen können?

Wir haben noch weitere Lücken gefunden. Das Programm, das man sich als Anwalt zur Nutzung des beAs herunterlädt, die beA Client-Security, hatte eine Sicherheitslücke. Darüber hätten Angreifer auch den Computer des Nutzers übernehmen können. Bevor das Zertifikat gesperrt worden ist, hat die BRAK ein neues veröffentlicht, ein sogenanntes Wurzelzertifikat. Das sollte die Anwaltschaft dann am 22.12.17 installieren. Das war quasi eine Ausgabestelle für digitale Ausweise und damit hätte man sich gefälschte Ausweise machen können für alle Webseiten, von Google über Facebook bis hin zur Sparkasse. Über diese hätte man Daten mitlesen und Zugriff auf Passwörter, PINS, TANS oder Social Media-Zugangsdaten bekommen können, weil die verschlüsselten Verbindungen dann nicht mehr sicher gewesen wären. Dann haben wir noch weitere, leicht auffindbare Lücken auf der Webseite bea.brak.de gefunden, die eigentlich in jedem Fehlerprotokoll hätten auftauchen müssen. Die Lücke war nicht schwerwiegend. Aber das hätte dennoch auffallen müssen. Immerhin wurden ja Risiko- und Schwachstellenanalysen durchgeführt.

Wie erklären Sie sich diese Sicherheitslücken als Softwareentwickler? Wie konnte es soweit kommen?

Die Software wurde einmal gebaut und nicht weiter aktualisiert. Es gab offenbar keinen Prozess, die Software dauerhaft zu pflegen. Man hat die Software von 2014 bis heute entwickelt. Sie ist einmal veröffentlicht worden und wurde dann nicht mehr aktualisiert. Man hat zwar einen Wartungsvertrag mit dem Hersteller abgeschlossen, aber der Hersteller hat das Produkt nicht nach dem Stand der Technik aktualisiert. Da hätte es regelmäßige Sicherheitsupdates geben müssen. Und bei diesen schnellen Updates am 22.12.17 war einfach jemand Unqualifiziertes dabei. Da hat man die Risiken nicht betrachtet, die daraus entstanden sind. Es ist außerdem nach wie vor nicht bekannt, welche Lücken vor den Überprüfungen der BRAK gefunden wurden und welche wir zuerst gefunden haben. Was genau wurde geprüft? Das kann man bis heute nicht sagen, da die Unterlagen nicht zugänglich sind. Es wurde nur gesagt: Man hat einen Test gemacht. Aber nicht, wie umfangreich dieser Test gewesen ist.

"Es gab offenbar keinen Prozess, die Software dauerhaft zu pflegen."

Wie hat die BRAK reagiert?

Es gab wenig Kommunikation. Ich habe am Anfang viele Pressemitteilungen der BRAK gelesen, in denen das Wording über die Entdeckungen nicht ganz so freundlich war. Dann gab es aber ein Telefonat mit dem Vize-Präsidenten der BRAK, Dr. Martin Abend, in dem er sich bedankt hat, dass ich das gemeldet habe. Er hat mir auch mitgeteilt, dass man diese Formulierung über mich, von einem Berater übernommen hat. Von daher waren die kritischen Töne von der BRAK wohl nicht so gemeint, weil sie selbst nicht verstanden haben, was sie dort beschrieben haben. Sie mussten ja auch erst einmal einordnen, was das überhaupt ist. Erst später haben sie dann begriffen, dass das eine gute Sache ist.

Was können Anwälte tun, um ihre IT-Sicherheit zu wahren?

Da sind zunächst die Klassiker: Man sollte die Systeme regelmäßig aktualisieren. Man sollte seine Mitarbeiter schulen, dass sie nicht auf Spam klicken, auf Phishing reinfallen oder auf unsichere Webseiten landen. Das gilt genauso für das beA, durch das ebenso Spam oder Viren ins System kommen können. Da muss man einfach vorsichtig sein, was man da öffnet. Es ist auch ratsam, nicht jedes Programm zu installieren, das im Netz rumfliegt. Generell sollten auf dem Arbeitsrechner möglichst wenige Programme installiert sein, abgesehen von einem Virenscanner und der Software, die man für seine Arbeit braucht.

Unter dem Stichwort Legal Tech benutzen immer mehr Anwälte Cloud-Lösungen, Anwaltssoftware oder auch die E-Akte. Sind wir im Hinblick auf unsere IT-Sicherheit überhaupt bereit dafür?

Es gibt da das Stichwort „Security by design“. Es besagt, dass man die Sicherheit bei solchen Projekten von Anfang an einplant. Das sollte bei allen digitalen Lösungen geschehen, egal ob ein Anwalt, auf seiner Kanzleihomepage bestimmte Services anbietet, oder für die Auswertung von Texten Software benutzt. Vor allem im Hinblick auf die DSGVO ist es wichtig, dass die Dienstleister, die man für derartige Lösungen beauftragt, die Daten sicher behandeln. Aber ich glaube nicht, dass die Vorfälle um das beA im Widerspruch zur Digitalisierung oder Legal Tech stehen. Das ist wie wenn man ein Haus baut: Hier muss man auch von Anfang an auf die Statik achten. Genauso ist es auch bei der Software mit der Sicherheit. Dann ist das in der Regel kein Problem.

"Ich glaube nicht, dass die Vorfälle um das beA im Widerspruch zur Digitalisierung oder Legal Tech stehen."

Sie haben in Ihren Vorträgen auch bei der Benutzerfreundlichkeit des beA Kritik geübt. Was genau war da die Kritik?

Da gab es zum Beispiel das Problem, wenn man im Verzeichnis nach einer Adresse gesucht hat und man dann Behördenkonten angezeigt bekommen hat, aber auch Konten von Bürgern. Die Bürger konnten nämlich ihre Namen frei wählen. Wenn sich ein Bürger mit dem Namen „Amtsgericht Berlin Mitte“ einträgt, ist es schwer zu erkennen, welcher Account nun zum echten Amtsgericht gehört und welcher gefälscht ist. Das hat natürlich auch Auswirkungen auf die Sicherheit. Ein Anwalt könnte aus Versehen einen Schriftsatz an die falsche Adresse schicken, mit der Absicht, dass er eine Frist einhält. Das hat natürlich schwerwiegende Konsequenzen.

Was sollte die BRAK Ihrer Ansicht nach jetzt tun?

Sie sollte natürlich die aktuellen Lücken, die wir gefunden haben, schließen. Dafür soll es ja ein Update und eine Risiko- und Schwachstellenanalyse geben. Gleichzeitig müsste man auch mit der Entwicklung des „beA 2.0“ beginnen. Es hat vier Jahre gedauert, bis das jetzige beA fertig war. Hier muss man zum Beispiel prüfen, ob die Software noch auf der aktuellen Windows-Version läuft oder ob man etwas für mobile Geräte oder Tablets braucht. Diese werden immer mehr genutzt.

Welche Schlussfolgerungen ziehen Sie im Nachhinein aus dieser Erfahrung?

Man könnte natürlich auch eine Frage an die Politik stellen. Man hat jetzt eine elektronische Post für Anwälte. Auf lange Sicht brauchen wir aber auch eine elektronische Post für Notare, Steuerberater, Ärzte, Bürger- und Ausländeramt usw. Überall hat man hier die Anforderung, Nachrichten sicher von A nach B zu kriegen. Es gibt eigentlich keinen Grund dafür, eine Spezialanwendung zu entwickeln, die super teuer ist und wenig Benutzer hat. Es würde doch mehr helfen, eine Lösung für all diese Berufsgruppen zu entwickeln. Das wäre effizienter und deutlich günstiger.

Herr Drenger, ich danke Ihnen vielmals für das Gespräch!

Foto: Fotolia.com/Production Perig
Weitere Beiträge

Markus Drenger ist Software-Entwickler und engagiert sich als Vorstandsmitglied beim Chaos Computer Club Darmstadt e.V. (CCC) für Netzpolitik.

Nach oben scrollen

Immer up-to-date in Sachen Legal Tech
mit dem Legal Tech-Newsletter!

Abonnieren Sie jetzt unseren
Newsletter und erhalten Sie
alle Magazinausgaben und
die neusten Beiträge des Blogs direkt in Ihr Postfach: