beA: Die BRAK empfiehlt allen Anwältinnen und Anwälten, ihre bisherige Client Security zu deaktivieren

Die Deaktivierung der beA Client Security kann auf zwei Weisen geschehen:

1. Entweder durch Deinstallation oder

2. durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners. Die von Herrn Drenger aufgedeckte mögliche Sicherheitslücke wird darüber hinaus mit der im Rahmen des beAthon vorgestellten neuen Version der Client Security automatisch behoben werden.

Anleitungen für die Deinstallation für Windows und MacOS

Hintergrund dieser Empfehlung sind auf dem am Freitag durchgeführten beAthon diskutierten Bedenken von Herr Drenger vom Chaos Computer, dass die gegenwärtig bei den Anwältinnen und Anwälten installierte Client Security eine Lücke für einen externen Angriff darstellen könne. Danach erfolge ein Zugriff der aktuellen beA Client Security auf veraltete JAVA-Bibliotheken. Dies stelle nach Ansicht von Herrn Drenger für die bisherige beA Client Security ein weiteres Sicherheitsrisiko dar.

Die BRAK hatte ihren Entwickler bereits 2017 auf seine Verpflichtung hingewiesen, diese Sicherheitslücken zu schließen. Atos hat nach eigenen Angaben in der neuen Version der Client Security sichergestellt, dass der Zugriff auf aktuelle JAVA-Bibliotheken erfolgt. Die BRAK sichert zu, dass die Überprüfung dieses Problems in der neuen beA-Version Gegenstand des Sicherheitsgutachtens der vom BRAK beauftragten Gutachter sein wird. Dieses Gutachten wird Grundlage der Entscheidung der BRAK sein, wann das beA wieder in Betrieb geht.

Ein weiteres erstes Ergebnis des beAthon war auch, dass die Installation eines individuellen, lokalen Zertifikats auf dem Rechner des Nutzers prinzipiell eine sichere Lösung darstellen kann. Die zuvor kritisierte Sicherheitslücke wird so geschlossen. Die von der BRAK beauftragten Gutachter erhielten mehrere Hinweise, welche Fragen bezüglich dieser Lösung in der Umsetzung besonders zu prüfen seien.

Comments are closed.