Soeben erreichte mich eine eMail der Atos Presse:
Ich gebe sie mal zum Abschuß frei nachfolgend vollständig wieder:
München, 26. Januar 2018 – Atos, ein führender Anbieter für die digitale Transformation, ist von der Bundesrechtsanwaltskammer (BRAK) mit der Entwicklung, der Implementierung und dem Betrieb des „besonderen elektronischen Anwaltspostfachs (beA)“ beauftragt worden. Die Lösung besteht aus einer zentralen Anwendung, die sich in deutschen Atos-Rechenzentren befindet, einer Browserbasierten Web-Anwendung und einer lokal installierten Client-Anwendung. Darüber hinaus gibt es Schnittstellen zu den entsprechenden Systemen der Justiz, der Rechtsanwaltskammern sowie Kanzleisoftware-Anwendungen. Der Vertragsbeginn war Oktober 2014. Seit Projektbeginn Ende 2014 wurden in mehreren Zwischenschritten Entwicklungsstufen der Lösung eingeführt und Elemente weiterentwickelt. Die Umsetzung des beA erfolgte gemäß konzeptioneller Vorgabe der BRAK und berücksichtigte jeweils gültige gesetzliche Vorgaben. Am 28. November 2016 hat die BRAK als Auftraggeber die Lösung den Rechtsanwälten zur Verfügung gestellt.
Am 21. Dezember 2017 wurde durch externe IT-Experten eine Sicherheitslücke bei der sicheren Kommunikation zwischen Browser und Client-Anwendung festgestellt. Ein Zertifikat war zusammen mit dem zugehörigen privaten Schlüssel Bestandteil der installierten Client-Anwendung und wurde damit öffentlich gemacht. Hierdurch war die Sicherheit des Zertifikates nicht mehr gewährleistet und es wurde durch den Anbieter gesperrt. Es handelte sich allein um ein Problem in der Kommunikation des lokalen Browsers mit der Client-Anwendung auf dem Client des Anwalts – die Sicherheit der zentralen Anwendung in den Rechenzentren sowie der Schnittstelle zu den Kanzleisoftware-Anwendungen war hiervon nicht betroffen. Die sichere Kommunikation zwischen den beA-Postfächern war zu jedem Zeitpunkt gewährleistet.
Um sicherzustellen, dass das beA schnellstmöglich wieder verfügbar ist, hat Atos kurzfristig ein neues Zertifikat zur Verfügung gestellt. Am 22. Dezember 2017 hat Atos allerdings festgestellt, dass dieses neue Zertifikat mit zu weitreichenden Rechten ausgestattet war. Angreifer wären mit diesem Zertifikat in der Lage gewesen, Identitäten zu fälschen (Man-in-the-middle Attacken). Atos informierte den Kunden BRAK umgehend. Am gleichen Tag hat die BRAK das beA offline genommen.
Mittlerweile hat Atos dem Kunden BRAK eine neue Version der beA Client-Anwendung zur Verfügung gestellt. Diese Version ist wie folgt überarbeitet:
Die Client-Anwendung erstellt bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet. Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht. Die Funktionstüchtigkeit und die Sicherheit der Lösung soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden.
Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen. Die Entscheidung über die erneute Inbetriebnahme des Systems liegt bei der BRAK. Die Rechte an dem Quellcode liegen ebenfalls bei der BRAK beziehungsweise bei den Herstellern der genutzten Standardsoftware-Komponenten.
Die identifizierten Sicherheitsprobleme betrafen ausschließlich die lokale Kommunikation zwischen dem Browser und der Client-Anwendung – weder die zentralen Anwendungen noch die Schnittstelle zu Fachanwendungen waren hiervon direkt betroffen.Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig.
Über Atos
Atos ist ein weltweit führender Anbieter für die digitale Transformation mit circa 100.000 Mitarbeitern in 72 Ländern und einem Jahresumsatz von rund 12 Milliarden Euro. Als europäischer Marktführer für Big Data, Cybersecurity, High Performance Computing und Digital Workplace unterstützt Atos Unternehmen mit Cloud Services, Infrastruktur- und Datenmanagement sowie Business- und Plattform-Lösungen. Hinzu kommen Services der Tochtergesellschaft Worldline, dem europäischen Marktführer für Zahlungsverkehrs- und Transaktionsdienste. Mit innovativen Technologien, umfassender digitaler Kompetenz und tiefgreifendem Branchenwissen begleitet Atos die digitale Transformation von Kunden aus unterschiedlichen Marktsegmenten: Banken, Bildung, Chemie, Energie und Versorgung, Gesundheit, Handel, Medien und Verlage, Öffentlicher Sektor, Produktion, Telekommunikation, Transport und Logistik, Versicherungen und Verteidigung.
Der Konzern ist der weltweite IT-Partner der Olympischen und Paralympischen Spiele. Atos firmiert unter den Marken Atos, Atos Consulting, Atos Worldgrid, Bull, Canopy, Unify und Worldline. Atos SE (Societas Europaea) ist an der Pariser Börse als eine der 40 führenden französischen Aktiengesellschaften (CAC40) notiert.
Na denn. Dann ist ja alles wieder gut.
Mööp… Selbst erstellte Zertifikate sind nicht von einer vertrauensvollen CA signiert und damit ist nicht sichergestellt, dass es nicht gefälscht ist oder heimlich durch ein anderes ausgetauscht wurde -> keine Verbesserung.
Und? Abmahnung wegen SPAM schon raus? Oder hatten Sie die Stellungnahme angefordert?
Lol. Erstmal stell ich mir gerade die Frage, wofür es ein Zertifikat für die Kommunikation Client – Browser braucht (eigentlich sollte ich mich vermutlich fragen, warum es überhaupt Client UND Browser braucht…). Ich denke, das ganze läuft per Chip- / Smartcard?
Wie kann man aber behaupten, trotzdem wäre alles sicher gewesen?!? Eine Kette ist nun mal nur so stark wie sein schwächstes Glied. Nach dem Statement kann ich Atos nicht mehr ernst nehmen.
Wir auch immer: Was heisst hier, es war Man-in-the-Middle „war“ möglich? Das ganze Ding ist Man-in-the-Middle by Design: Das Rechenzentrum entschlüsselt die Nachricht des Absenders und verschlüsselt sie dann für den Empfänger. Kann man machen. Nur: Warum???
Für diese ebenso absonderliche wie offenbar vermeidbare Konstruktion leuchtet mir eigentlich nur eine Erklärung wirklich ein. Ein Wunsch der Dienste.
@WPR_bei_WBS:
Nun, da die Client-Anwendung irgendwie zugleich einen Webserver mit der Domain https://bealocaldomain.de auf dem Localhost (127.0.0.1) betreibt, braucht es für die verschlüsselte Kommunikation ein Zertifikat, ohne geht SSL bzw. https nicht. Das lokale Problem ist halt, wie man den über USB angebundenen Smartcardreader sicher ansprechen kann. Das können, bzw. sollten aus sehr guten Gründen Webbrowser nicht können. Und so werden halt diverse Mechanismen mehr oder weniger durchdacht miteinander verknüpft, um das Ziel zu erreichen.
Äh, https://bealocalhost.de sollte es heißen.
@Lemmy
Die Frage ist doch: warum in aller Welt braucht es eine Clientsoftware *und* einen Browser ?
Wenn ich sowieso schon eine Clientsoftware brauche, kann ich alles Browserfeatures dort integrieren.h
Gar nichts ist ok. Das ist ein handfester IT-, Politik- und Justiz-Skandal. Ich hoffe, hier können sich die Anwälte erfolgreich gegen Ihre gesetzlichen Zwangsvertreter wehren.
Mehr zum technischen: https://youtu.be/Od5WAah-ktk
Talk von Markus Drenger vom CCC auf dem 34. Chaos Communication Congress, zwischen den Jahren.
@ Lemmy
Die Sinnhaftigkeit der ganzen Konstruktion erschließt sich mir immer noch nicht. Fragen u. a.:
1) Wozu braucht es Client UND Browser bzw. wozu braucht es zwei Client-Applikationen (ein Browser ist auch nichts anderes als ein Client) auf dem lokalen Rechner? Wenn ich eh eine dedizierte Client-Applikation habe kann ich mir den Browser auch gleich knicken.
2) Warum sollte der Browser den Kartenleser nicht direkt ansprechen dürfen?
2a)Wenn ich bei der Architektur davon ausgehe, dass der Browser komprimiert sein kann (was die richtige Vorgehensweise ist), so muss ich genau so davon ausgehen, dass der Rechner insgesamt, damit auch die spezielle Client-Applikation, komromitiert ist
2b) Wenn der Kartenleser (btw, hat der ein Display?) und die Smartcard als sicher betrachtet werden, ist eine Kompromitierung des Rechners unerheblich. Logisch, das ist ja überhaupt erst der Grund für das ganze Smartcard-Gerödel. Also hat man entweder auf Entwicklerseite dieses Grundprinzip nicht verstanden, oder man dort schon Mist gebaut.
3) Wie in aller Welt konnten HBCI, Gesundheitskarten und andere Smartcard Anwendungen bis dato nur ohne so einen „Innovation“ bestehen? Oder warum nutzt das beA nicht die bekannten Architekturen?
Na immerhin hat man dran gedacht, diese „lokale“ Domain zu registrieren..
Wie sieht das geplante Vorgehen für den User eigentlich aus? Ich gehe im Browser auf bealocalhost.de und arbeite dann von dort aus? In dem Fall: Viel Spaß! DNS-Spoofing ist dann jedenfalls nicht wirkliche komplex – und das für einen lokalen Dienst, bei dem das garnicht nötig waere…
Hallo zusammen,
WPR_bei_WBS führt hier ja schon wesentliche fragwürdige „Lösungen“ der Software an. Richtig albern wird das ganze, wenn man sich vor Augen führt, dass es seit Dekaden gute Lösungen für End-to-End-Verschlüsselungen gibt.
Die Herangehensweise von Atos, insbesondere die Ignoranz sämtlicher good practices der Kryptographie, zeigt vor allem, dass sie eines nicht wollten: dass jemand ihnen über die Schulter guckt. Meiner Erfahrung nach geschieht das bei Software-Entwicklung vor allem dann, wenn die Entwickler wenig bis keine Ahnung von dem haben, was sie da tun. Da hätte auch die BRAK schon vorher drauf kommen können.
Zum Verständnis für die Laien: ein Verschlüsselungsalgorithmus ist dann sicher, wenn ein Spion („Man in the middle“), der potentiell die Nachrichten unbemerkt mitschneiden kann, genau weiß mit welchem Algorithmus sie verschlüsselt wurden, aber ohne den entsprechenden Schlüssel den Text nicht dechiffrieren kann. Softwarelösungen, die diese Sicherheit gewähren, sind in der Regel alle öffentlich einsehbar, weil genau auf diese Art von jedem getestet werden kann, ob der Algorithmus noch sicher ist, oder nicht. Proprietäre Lösungen gaukeln vor, „sicher“ zu sein, haben aber den entscheidenden Nachteil, dass eben nicht öffentlich getestet wird, ja, noch schlimmer: Menschen, die es schaffen, solche Algorithmen zu knacken, werden dann gerne auch mal mit Klagen überzogen, weil sie ja angeblich Systeme unsicher gemacht haben.
Artos glänzt hier gerade mit monumentaler Inkompetenz, aber auch die BRAK bekleckert sich nicht mit Ruhm.
Schöne Grüße,
Hend
„1) Wozu braucht es Client UND Browser bzw. wozu braucht es zwei Client-Applikationen (ein Browser ist auch nichts anderes als ein Client) auf dem lokalen Rechner?“
In dem seltsamen Konzept ist vorgesehen, dass in der Browsersitzung sowohl Teile des externen beA-Servers als auch Teile des lokalen beA-Clients gemischt dargestellt werden.
Während die Verbindungen zu dem externen Server sauber per HTTPS mit passenden Zertifikat hergestellt werden, stammen die Verbindunge des Clients halt von einer anderen Quelle. Wenn diese nicht ebenfalls HTTPS transportverschlüsselt sind, gibt es häßliche Meldungen des Browsers und man muss bestätigen, dass Teile der Webseite ungesichert übertragen werden.
Um das zu umgehen, hat Atos die bescheuerte Idee gehabt die Kommunikation zwischen Webrowser und lokalen Client, der ja selbst einen eigenen Webserver beinhaltet, ebenfalls per HTTPS transportzuverschlüsseln. Dazu muss aber der Client sowohl den privaten Schlüssel des Servers als auch das darauf basierende Zertifikat im Client besitzen.
Und das ist ein NoGo, denn kundige Leute können dann beides extrahieren und für man-in-the-middle Attacken misbrauchen. Die Kommunikationsicherheit wäre nicht mehr gegeben.
… und weil „der Hersteller“ nja gar keine Probleme sieht,k nimmt er auch am Krisengipfel, dem beAthlon, nicht teil.
http://www.spiegel.de/netzwelt/web/bea-hersteller-atos-nimmt-stellung-zum-besonderen-elektronischen-anwaltspostfach-a-1189974.html
Der Popcorn-industrielle Komplex wird gar nicht wissen, wohin mit dem schönen Geld …
Es ist richtig, das das ganze System äußerst fragwürdig ist. (Meiner Meinung nach sollte man es einstampfen, und zuerst nochmal mit klarem Kopf überlegen, wofür was für eine Art System benötigt wird. Ich bin auch Anwalt, sah vor ein paar Tagen mal wieder die 58,00 EUR für die Umlage verschwinden, und fühle mich irgendwie unsauber ums Geld gebracht.)
Ein Grund für dieses sonderbare Client-lokaler-Webserver-Browser-Gewurstel ist, dass man – und das unbedingt und zurecht – nicht einem Webbrowser Zugriff auf USB-Geräte geben will. Wenn man einmal den Zugriff des Browsers auf USB öffnet, dann wird es ein Freudenfest für alle böswilligen Menschen, Rechner und dessen Inhalt sind für alle Interessierten mit Grundkenntnissen offen.
Und daher ist es nötig, die Einbindung des Smartcard-Readers (USB) auf einem anderen Weg herzustellen. Hier eben über einen lokalen Webserver, der eben für die lokal verschlüsselten Kommunikation mit dem Browser ein Zertifikat braucht.
@Lemmy
Da gibt es eine gehörige Portion Missverständnis: ich hinterfrage nicht, warum man Broswern den Zugriff auf die Smartcard verweigert — ich zweifle den Sinn der Browsernutzung an. Das ist nämlich ziemlich grober Unfug und niemand, der sich mal mit Verschlüsselung und Cybersicherheit auseinandergesetzt hat, kann nachvollziehen, warum das ausgerechnet in diesem Fall nicht ganz großer Unfug sein soll, sondern der große Wurf.
Schöne Grüße,
Hend
@hend:
Jepp, an dieser Stelle einen Browser verwenden zu wollen, halte ich auch für einen großen Wurf ins Klo. Ich verstehe es auch nicht.
Die Ausführungen zum USB-Zugriff für Webbrowser beziehen sich auf die Anmerkungen von WPR_bei_WBS weiter oben, ich war halt recht spät dran.
Atos verhält sich völlig richtig. Jede Diskussion in der Öffentlichkeit vertieft nur den entstandenen PR-Schaden. Es ist nutzlos, sich hier in weitere technische Details zu verlieren. Ich hatte bislang jedenfalls nicht den Eindruck, dass die beA-Architektur etwa unsolide oder man sich bei der Sicherheit zu wenig Gedanken gemacht hat. Tatsächlich ist gerade letzterer Punkt der Grund, warum seine Anbindung so kompliziert ist.
Interessant (und lehrreich) finde ich allerdingsden Aspekt, dass dem CCC offenbar alles geglaubt wird, auch wenn es objektiv falsch ist. Niemand traut sich, Herrn Drenger einmal zu fragen, auf welcher Basis er eigentlich zu der Feststellung kommt, die in der Client Security verwendeten Bibliotheken seien „veraltet“ oder hätten „bekannte Sicherheitslücken“, ohne dafür irgendwelche Beweise antreten zu müssen. Bei den von ihm so plakativ genannten gibt es tatsächlich *überhaupt* keine CVEs (und eine davon ist noch dazu lediglich eine API-Spezifikation). Vom CCC hätte ich schon etwas mehr Kompetenz oder zumindest entsprechende Sorgfalt erwartet, bevor man mit so etwas an die Öffentlichkeit geht. Enttäuschend und peinlich, das war auch schon mal besser.
Zur grundlegenden (und absehbar nicht auf die Schnelle behebbaren) technischen Fehlkonstruktion ist in vielen IT-Publikationen schon alles gesagt. Aber ein paar schöne Stellen hat der Text trotzdem zu bieten:
„Anbieter für die digitale Transformation“ — solte als neues Feld im Bullshit-Bingo eingeführt werden.
„berücksichtigte jeweils gültige gesetzliche Vorgaben“ — zumindest ein paar davon, mehr ist hier nicht gesagt.
„Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht.“ — nur mal so theoretisch: von 0.1% auf 0.4% Sicherheit ist auch eine massive Erhöhung (um sage-und-schreibe 300%, jawoll!!!)
„soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden“ — wer die Musik zahlt, …
„weder die zentralen Anwendungen noch die Schnittstelle zu Fachanwendungen waren hiervon direkt betroffen“ — nur leider massivst auf indirektem Wege, aber das ist ja etwas ganz anderes.
„Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig.“ — der Mut zur Aussage korrelliert nicht immer mit der Kompetenz.
„Als europäischer Marktführer für Big Data, Cybersecurity, High Performance Computing und Digital Workplace“ — Bingo! Bingo! Bingo!
Planieren und begrünen, das Ganze. Und dann eine neue Ausschreiobung, die von kompetenten Leuten geleitet wird.
Achtung!
Die BRAK selbst empfiehlt jetzt die Deinstallation bzw. zumindest „Deaktivierung“ des BeA-Client. Hintergrund ist, dass bei laufendem BeA-Client auf dem Rechner jeder Webseitenbesuch potenziell dazu führen kann, dass die fremde Webseite den Rechner mit Schadsoftware infiziert.
Quelle:
http://www.brak.de/fuer-journalisten/pressemitteilungen-archiv/2018/presseerklaerung-04-2018/
Nur bleibt die Frage:
Woher weiß man, ob das nicht bereits passiert ist?
Die Lücke ist tatsächlich ziemlich trivial ausnutzbar und nur weil man nicht gleich oberflächlich was merkt, kann man daraus nicht schlussfolgern, dass der Rechner wo ein BeA-Client drauf läuft/lief und Webseiten besucht wurden nun sicher ist.
Gruß,
asca
Ich fange langsam an froh zu sein, kein Anwalt zu sein (und diesen Mist mitmachen zu müssen).
Chapeau!
Dass der Createur de malheur an CRH persönlich schreibt, das ist echter Kundendienst!
Der lumpige Rest des Anwaltsvolks muss sich mit Sekundärberichterstattung – den Pressemitteilungen der BRAK – zufrieden geben, oder GOLEM lesen.
Auch ich möchte in Zukunft direkt informiert werden.
Darum ein Herzenswunsch:
Lieber Carsten, verrätst Du den 164.999 davon noch ungeküssten Berufskollegen bitte, wie man selbst auf den Verteiler von ATOS kommt, um in Zukunft brühwarm, direkt und persönlich über die neusten Errungenschaften dieses Elktroschrotthändlers informiert zu werden?
@ RA André Feske
Vielleicht mal eine Email an atos@h-b-a.de schicken – einen Versuch ist’s auf jeden Fall wert.
[…] Heute Vormittag trudelte hier die „Stellungnahme zum besonderen elektronischen Anwaltspostfach (beA)“ ein, per eMail an unsere Kanzlei-Adresse. Ich bin davon aus gegangen, nur einer der 165.000 Anwälte zu sein … […]
Die BRAK hat hier vor der Beauftragung ihre Hausaufgaben nicht gemacht. Ich hatte leider immer mal wieder das Missvergnuegen von Kunden gebeten zu werden bei Problemen mit eingekaufter Atos-Software zu helfen, die der Atos-Support nicht loesen konnte.
Wenn man sich deren existierendes Zeug mal grob angeschaut hat ist das was hier abgeliefert wurde ziemlich exakt das was man erwarten wuerde wenn man Atos mit der Entwicklung beauftragt.
Als unbeteiligter Zuschauer ist das ganze aber wenigstens ordentlich unterhaltsam.
Naja, sie haben vieleicht eine Lücke gestopft – aber die ganz grundlegenden Konzeptionsfehler bleiben bestehen, zB:
https://foss-erv.blogspot.de/2018/01/bea-quellen-tku-leicht-gemacht.html
Ich bleibe weiterhin bei meiner Einschäzung: Totalschaden.