Am 9. Februar 2018 fand an der Universität des Saarlandes im Gebäude des CISPA eine Informationsveranstaltung der saarländischen Rechtsanwaltskammer zum Thema "Das beA aus Sicht der IT-Sicherheit" statt.
Im Rahmen dieser Veranstaltung referierten die Mitarbeiter des Instituts für Rechtsinformatik, Stefan Hessel und Frederik Möllers (beide Mitarbeiter der juris-Stiftngsprofessur für Rechtsinformatik und Geschäftsführer der Defendo GbR), zu der Frage "Wie sicher ist das beA?".
Am 27.12.2017 hatte die Bundesrechtsanwaltskammer (BRAK) in einer Pressemitteilung (Nr. 15/2017) bekannt gegeben, dass das besondere elektronische Anwaltspostfach (beA) vorerst nicht wie geplant am 1. Januar 2018 online ginge, und die beA-Webanwendung vom Netz genommen.
Grund hierfür war ein als unsicher eingestuftes Sicherheitszertifikat. Es sollte ein neues Sicherheitszertifikat installiert werden, was sich aber gleichfalls als unsicher herausstellte. In einer Pressemitteilung (Nr. 04/2018) vom 26. Januar 2018 wies die BRAK zusätzlich darauf hin, dass die Client Security eine Lücke für einen externen Angriff darstellen könne und deshalb deaktiviert werden solle.
Stefan Hessel und Frederik Möllers erklärten in ihrem Vortrag anhand der beA-Architektur, wie das verschlüsselte Versenden von Nachrichten funktioniert und wo Sicherheitsrisiken und die beanstandete Sicherheitslücke liegen. Anhand einer Live-Demo zeigten sie einen Angriff auf den beA-Schlüssel. Auch gingen sie auf weitere Probleme des beA, wie z.B. die Nutzungslimitierung, und die Frage der weiteren Entwicklung ein.
Eine Zusammenfassung des Vortrages als ca. 20-minütiger Podcast ist hier abrufbar.