beA - Warnung vor Anleitung der BRAK
Gespeichert von Dr. Thomas Lapp am
Die BRAK hat in ihrem Sondernewsletter vom 22.12.2017 darauf aufmerksam gemacht, dass die weitere Funktion des beA nur bei Installation eines Zertifikats gewährleistet ist, das auf der Website der BRAK zum Download angeboten wurde.
In der zugehörigen Anleitung wird empfohlen, das Zertifikat zu den "vertrauenswürdigen Stammzertifizierungsstellen" hinzuzufügen. Einem Medienbericht [1] zufolge führt das Befolgen der Anleitung zu einem schwerwiegenden Sicherheitsproblem. Der EDV-Gerichtstag hat dieses Sicherheitsproblem nachvollzogen. Es kann dazu führen, dass die Schutzwirkung von SSL- bzw. TLS-Verschlüsselung in der Kommunikation mit beliebigen Websites (nicht nur mit dem beA) aufgehoben wird.
Wir raten daher dringend davon ab, die genannte Anleitung zu befolgen.
Sollten Sie dies bereits getan haben, entfernen Sie das Zertifikat wieder aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen, wie in [1] beschrieben.
Nach unserem Kenntnisstand ist die Anleitung der BRAK für die Installation des Zertifikats in Firefox korrekt; die Warnung richtet sich daher an Nutzer von Browsern, die den Zertifikatsspeicher von Windows bzw. MacOS nutzen (Internet Explorer, Edge, Chrome, Safari).
Unter https://bea.tlsfun.de/ finden Sie einen Test, ob Ihr System von dem Problem betroffen ist. Der Test stammt nicht vom EDV-Gerichtstag, wir übernehmen keine Gewähr für die Richtigkeit des Testergebnisses.
[1]
https://www.golem.de/news/bea-bundesrechtsanwaltskammer-verteilt-https-hintertuere-1712-131845.html
(Autor: Prof. Dr. Christoph Sorge, EDV-Gerichtstag, juris-Stiftungsprofessur für Rechtsinformatik, Universität des Saarlandes)