Hil­fe­sei­te im War­tungs­mo­dus

Wer die Sup­port-Web­sei­te der BRAK für das be­son­de­re elek­tro­ni­sche An­walts­post­fach (beA) unter https://​bea.​brak.​de be­sucht, be­kommt den Hin­weis zu sehen, dass die Seite auf­grund von War­tungs­ar­bei­ten mo­men­tan (Stand 29.09.) nicht ver­füg­bar ist. Was war pas­siert?

Un­ge­schütz­te Neu­in­stal­la­ti­on

Am 28.9. ver­brei­te­te sich um die Mit­tags­zeit auf Twit­ter ein Screen­shot der beA-Hil­fe­sei­te, auf der die un­ge­schütz­te, of­fen­bar neu auf­ge­setz­te Wor­d­press-In­stal­la­ti­ons­sei­te zu sehen war. Spä­ter wurde ein Feh­ler beim Auf­bau der Da­ten­bank­ver­bin­dung ge­mel­det. Der Rechts­an­walt und IT-Ex­per­te Ste­fan Hes­sel von der Kanz­lei Reu­schlaw äu­ßer­te dazu die Ver­mu­tung, dass die da­zu­ge­hö­ri­ge Da­ten­bank ge­löscht oder ver­scho­ben wor­den sei. Of­fen­bar in­stal­lier­te also je­mand die beA-Hil­fe­sei­te neu - ob dies die BRAK selbst oder eine nicht au­to­ri­sier­te drit­te Per­son war, blieb für die Be­su­cher der Seite un­klar. Und es kam noch di­cker: Aus­weis­lich eines wei­te­ren auf Twit­ter ver­öf­fent­lich­ten Bild­schirm­fo­tos war zwi­schen­zeit­lich das für die In­stal­la­ti­on er­for­der­li­che Pass­wort sicht­bar, bevor schlie­ß­lich ein User na­mens „root“ die In­stal­la­ti­on ab­schloss.

Aus Sicht der BRAK war dies ein un­pro­ble­ma­ti­scher Vor­gang. Grund sei die rou­ti­ne­mä­ßi­ge Neu­in­stal­la­ti­on der In­fo­sei­te durch den zu­stän­di­gen Dienst­leis­ter der BRAK ge­we­sen, so eine Spre­che­rin der Kam­mer auf Nach­fra­ge der NJW. Wegen eines Aus­falls des Da­ten­bank­ser­vers sei die Seite nicht er­reich­bar ge­we­sen. „Die Um­lei­tung er­folg­te au­to­ma­tisch auf eine In­stal­la­ti­ons­sei­te/War­tungs­sei­te; selbst mit dem dort vor­ge­schla­ge­nen Pass­wort hätte man die In­fo­sei­te weder än­dern noch eine neue ein­rich­ten kön­nen“, sagte sie.

Rechts­an­walt Ste­fan Hes­sel sieht die Ak­ti­on wei­ter­hin kri­tisch: „Da­durch, dass die In­stal­la­ti­ons­sei­te zu­min­dest vor­über­ge­hend un­ge­schützt auf­ruf­bar war, hätte ein Drit­ter die Kon­fi­gu­ra­ti­on der Web­sei­te vor­neh­men und in der Folge die voll­stän­di­ge Kon­trol­le über die Seite er­lan­gen kön­nen.“ Dabei wäre es aus sei­ner Sicht auch mög­lich ge­we­sen, über bea.​brak.​de be­lie­bi­ge In­hal­te und etwa auch Schad­soft­ware zu ver­brei­ten. Für ihn of­fen­bart der jüngs­te Vor­fall, dass die Ad­mi­nis­tra­ti­on der Seite man­gel­haft ist. „Sol­che Än­de­run­gen dür­fen nicht im Live-Be­trieb vor­ge­nom­men wer­den.“

Sper­rung der Seite weist auf ver­al­te­te Soft­ware hin

Als die In­fo­sei­te zwi­schen­zeit­lich ge­sperrt wurde, of­fen­bar­te die „For­bid­den“-Mel­dung ein wei­te­res De­tail: Da­nach sah es so aus, als ver­wen­de die BRAK mit PHP 5.6 eine ver­al­te­te Skript­spra­che, für die es schon seit Ende 2018 keine Up­dates mehr gibt. Dabei gilt, so Hes­sel, „die Ak­tua­li­tät der ein­ge­setz­ten Soft­ware und das re­gel­mä­ßi­ge In­stal­lie­ren von Si­cher­heit­sup­dates als wich­ti­ge Maß­nah­me zur IT-Si­cher­heit“. Bei ver­al­te­ten Sys­te­men hät­ten An­grei­fer leich­tes Spiel. Die BRAK de­men­tiert die Nut­zung von PHP 5.6.: Der Pro­duk­tiv­ser­ver ver­fü­ge über PHP 7.3 und werde ge­ra­de auf 7.4 um­ge­stellt.

Spä­ter wurde die Seite end­gül­tig ge­sperrt, seit ges­tern Abend be­fin­det sie sich im War­tungs­mo­dus.

Das beA selbst ist nicht be­trof­fen

Die BRAK weist ge­gen­über der NJW dar­auf hin, dass das beA selbst, das mit bea-brak.de unter einer an­de­ren URL zu er­rei­chen ist, nicht be­trof­fen war. „Das beA wird von einem an­de­ren Dienst­leis­ter auf an­de­ren Sys­te­men be­trie­ben und war stets er­reich­bar“, so die Spre­che­rin der Kam­mer.