Aktuell in CR
Das Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (beA) (Möllers/Hessel, CR 7/2018, 413)Die Bundesrechtsanwaltskammer (BRAK) hat das von dem Unternehmen secunet erstellte Gutachten zur Sicherheit des beA im Juni 2018 publiziert. Das 92-seitige Dokument enthält Details zu insgesamt 56 gefundenen Schwachstellen sowie zur Überprüfung der sechs bereits vom Chaos Computer Club gemeldeten Probleme. Zusammen mit dem Gutachten veröffentlichte die BRAK ein Begleitschreiben ihres Präsidenten Ekkehart Schäfer, das zur Diskussion der Wiederinbetriebnahme des beA eine außerordentliche Präsidentenkonfrerenz einberief. Die Präsidentenkonferenz hat die Wiedeinbetriebnahme zum 3.9.2018 beschlossen. Der Beitrag beleuchtet die wesentlichen Punkte im Gutachten und im Begleitschreiben sowohl aus technischer als auch aus rechtlicher Sicht. Hierbei werden insbesondere die Fragen angesprochen, welche konkreten Aspekte bei der Entwicklung derart sicherheitskritischer Software beachtet werden müssen und wie der aktuelle sowie der beabsichtigte Stand des beA aus Sicht der Forschung zu bewerten sind.
Inhaltsverzeichnis:
I. Das im Auftrag der BRAK erstellte Gutachten
1. Zur Methodik
a) Untersuchte Schutzziele
b) Fokus der Beauftragung
c) Prüfungsansatz für Sicherheitslücken
d) Menschliche Fehler
e) Eingeschränkte Überprüfbarkeit
2. Zu den Schwachstellen
a) Zaghaftes Verschlüsselungskonzept
b) Kein geschlossenes Sicherheitskonzept
c) Typische allgemeine Schwachstellen
d) Typische besondere Schwachstellen
II. Rechtlicher Maßstab
1. Vertragliche Beschaffenheitsvereinbarung
2. Gewöhnliche Beschaffenheit
III. Erste Bewertung
IV. Fazit und Ausblick
I. Das im Auftrag der BRAK erstellte Gutachten
[1] Nachdem es zuletzt noch Streit über den Zeitpunkt der Veröffentlichung der Sicherheitsanalyse zum beA gab, werden im Folgenden wesentliche Gesichtspunkte des veröffentlichten Gutachtens betrachtet. Dabei wird zunächst auf die Methodik eingegangen, die der Sicherheitsanalyse zu Grunde lag. Anschließend werden exemplarisch ausgewählte im Gutachten beschriebene Schwachstellen analysiert. Statt einer ausführlichen Diskussion aller gefundenen Sicherheitslücken, die den Rahmen dieses Beitrags sprengen und für die eine Einsicht zumindest in Teile des Quelltextes der Software-Komponenten notwendig wäre, werden die vorhandenen Informationen zusammengefasst und einige besondere, sich daraus ergebende Schlussfolgerungen formuliert.
1. Zur Methodik
[2] Das Gutachten von secunet folgt insgesamt lege artis sowohl Industrie- als auch wissenschaftlichen Standards. Dabei wird zunächst ein sog. Angreifermodell definiert und, wo notwendig, konkretisiert. Ein Angreifermodell beinhaltet eine genaue Skizzierung der erwarteten Fähigkeiten und Ausstattung möglicher Angreifer sowie ihrer Rolle gegenüber dem betrachteten System. Der Umfang des Gutachtens und die verwendeten Testmethoden (bspw. Quelltext- oder konzeptuelle Analyse) werden klar umrissen. So ist für den Leser von vornherein ersichtlich, auf welche Bereiche sich die Funde erstrecken und wo die (beabsichtigten) Grenzen der Untersuchung liegen.
a) Untersuchte Schutzziele
[3] Auffallend ist, dass von den klassischen drei Schutzzielen der IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) nur zwei Schutzziele Teil der Analyse waren. So führt secunet im Abschnitt 1.6 aus, dass „eine Betrachtung der ‚Verfügbarkeit‘ nur dort erfolgte, wo eine gefundene Schwachstelle diese unmittelbar bedroht“. Dies ist insbesondere vor dem Hintergrund der passiven Nutzungspflicht kritisch zu sehen, zumal die Verfügbarkeit des beA derzeit nicht gegeben ist. Bereits in der Vergangenheit wurde außerdem die Möglichkeit von Denial-of-Service-Angriffen aufgezeigt. Diese dürften zwar im Zuge der Verbesserungen ebenfalls behoben werden, eine explizite Überprüfung auf derartige Schwachstellen wäre jedoch wünschenswert.
b) Fokus der Beauftragung
[4] In anderen Bereichen hat secunet ebenfalls die Analyse begrenzt und dies mit dem Auftrag der BRAK begründet. So wurden etwa mögliche Schwachstellen bezüglich SQL Injection (Abschnitt 4.5.1) nicht genau nachvollzogen und das HSM (= Hardware-Sicherheitsmodul) selbst nicht begutachtet. Auf das Fehlen einer Überprüfung der SQL-Injection-Schwachstellen hat die BRAK schnell reagiert und diese nachträglich beauftragt.
c) Prüfungsansatz für Sicherheitslücken
[5] Die bereits vom Chaos Computer Club gemeldeten Sicherheitslücken werden explizit im Gutachten aufgeführt und einzeln noch einmal geprüft. Das Vorgehen bestätigt, dass die Meldungen ernst genommen wurden und untermauern den Versuch seitens secunet, eine möglichst vollständige Analyse vorzulegen. Weniger prominente Schwachstellen, wie etwa die Tatsache, dass ein Anwalt beim Surfen im Web als solcher erkannt werden kann, werden nicht aufgegriffen. Gerade bei dieser Problematik wäre noch zu prüfen, ob die vorgenommen Nachbesserungen an der Software das Datenschutzproblem verhindern.
d) Menschliche Fehler
[6] Ebenfalls interessant ist, dass secunet menschliches Fehlverhalten auf Seiten der BRAK oder von Atos explizit als Möglichkeiten in Betracht zieht. Dies stellt keine Wertung in der kontroversen Debatte um Verantwortung und Kompetenzen dar. Vielmehr wird insoweit dem Risiko Rechnung getragen, dass fehlbare Menschen die Kontrolle über sicherheitskritische Daten wie kryptographische Schlüssel und Zugangsdaten haben. Selbst wenn die Akteure nicht mutwillig handeln, so können beispielsweise Social Engineering oder eine Infektion der Rechner der entsprechenden Geheimnisträger mit Malware dazu führen, dass Daten kompromittiert werden. Eine Beachtung dieser Szenarien ist daher zwingend Bestandteil einer umfangreichen Sicherheitsanalyse.
e) Eingeschränkte Überprüfbarkeit
[7] Zuletzt bleibt anzumerken, dass die Ergebnisse des Gutachtens aufgrund der wenigen öffentlich einsehbaren Informationen nur eingeschränkt verifizierbar sind. Bis zu einer möglichen Offenlegung der Quelltexte muss deshalb das vorgelegte Gutachten zunächst hingenommen werden. Als bislang unbeteiligter Dritter dürfte secunet in der Diskussion um das beA einen Vertrauensvorsprung gegenüber der BRAK und Atos im Kreise der Anwender genießen, da dem Unternehmen keine Verantwortung für die bisherigen Ereignisse rund um das beA zugerechnet werden kann.
[8] Zusammenfassend gibt es aktuell trotz der fehlenden Überprüfbarkeit der Schwachstellen keinen Anlass, an der Aussagekraft und Seriosität des Gutachtens zu zweifeln.
2. Zu den Schwachstellen
[9] Soweit exemplarisch auf einige der im Gutachten beschriebenen Schwachstellen näher eingegangen werden kann, konzentriert sich dieser Beitrag nicht ausschließlich auf die schwerwiegendsten unter ihnen, sondern strebt eine ausgeglichene Übersicht über allgemeine Probleme und die sich daraus ergebenden Schlussfolgerungen an.
a) Zaghaftes Verschlüsselungskonzept
[10] ...
Hier geht's direkt zum Aufsatz:
- im Beratermodul CR: Login für CR-Print-Abonnenten & registrierte Kunden
- im juris PartnerModul IT-Recht: Login für registrierte Kunden
Weiterlesen können Sie auch im CR Schnupperabo.