Sicherheitslücke bei beA-Supportseite?
anwalt_post_mail_CR undrey adobe
© undrey / stock.adobe.com
anwalt_post_mail_CR undrey adobe

Die Hilfeseite der BRAK für das besondere elektronische Anwaltspostfach (beA) wurde am 28.9.2020 im Live-Modus neu aufgesetzt. Dabei stand die Wordpress-Installationsseite zeitweilig für alle offen sichtbar im Netz, einschließlich eines Passworts und einem Nutzernamen. Die BRAK bestreitet, dass es zu irgendeinem Zeitpunkt eine Sicherheitslücke gegeben habe.

Hilfeseite im Wartungsmodus

Wer die Support-Webseite der BRAK für das besondere elektronische Anwaltspostfach (beA) unter https://bea.brak.de besucht, bekommt den Hinweis zu sehen, dass die Seite aufgrund von Wartungsarbeiten momentan (Stand 29.09.) nicht verfügbar ist. Was war passiert?

Ungeschützte Neuinstallation

Am 28.9. verbreitete sich um die Mittagszeit auf Twitter ein Screenshot der beA-Hilfeseite, auf der die ungeschützte, offenbar neu aufgesetzte Wordpress-Installationsseite zu sehen war. Später wurde ein Fehler beim Aufbau der Datenbankverbindung gemeldet. Der Rechtsanwalt und IT-Experte Stefan Hessel von der Kanzlei Reuschlaw äußerte dazu die Vermutung, dass die dazugehörige Datenbank gelöscht oder verschoben worden sei. Offenbar installierte also jemand die beA-Hilfeseite neu - ob dies die BRAK selbst oder eine nicht autorisierte dritte Person war, blieb für die Besucher der Seite unklar. Und es kam noch dicker: Ausweislich eines weiteren auf Twitter veröffentlichten Bildschirmfotos war zwischenzeitlich das für die Installation erforderliche Passwort sichtbar, bevor schließlich ein User namens „root“ die Installation abschloss.

Aus Sicht der BRAK war dies ein unproblematischer Vorgang. Grund sei die routinemäßige Neuinstallation der Infoseite durch den zuständigen Dienstleister der BRAK gewesen, so eine Sprecherin der Kammer auf Nachfrage der NJW. Wegen eines Ausfalls des Datenbankservers sei die Seite nicht erreichbar gewesen. „Die Umleitung erfolgte automatisch auf eine Installationsseite/Wartungsseite; selbst mit dem dort vorgeschlagenen Passwort hätte man die Infoseite weder ändern noch eine neue einrichten können“, sagte sie.

Rechtsanwalt Stefan Hessel sieht die Aktion weiterhin kritisch: „Dadurch, dass die Installationsseite zumindest vorübergehend ungeschützt aufrufbar war, hätte ein Dritter die Konfiguration der Webseite vornehmen und in der Folge die vollständige Kontrolle über die Seite erlangen können.“ Dabei wäre es aus seiner Sicht auch möglich gewesen, über bea.brak.de beliebige Inhalte und etwa auch Schadsoftware zu verbreiten. Für ihn offenbart der jüngste Vorfall, dass die Administration der Seite mangelhaft ist. „Solche Änderungen dürfen nicht im Live-Betrieb vorgenommen werden.“

Sperrung der Seite weist auf veraltete Software hin

Als die Infoseite zwischenzeitlich gesperrt wurde, offenbarte die „Forbidden“-Meldung ein weiteres Detail: Danach sah es so aus, als verwende die BRAK mit PHP 5.6 eine veraltete Skriptsprache, für die es schon seit Ende 2018 keine Updates mehr gibt. Dabei gilt, so Hessel, „die Aktualität der eingesetzten Software und das regelmäßige Installieren von Sicherheitsupdates als wichtige Maßnahme zur IT-Sicherheit“. Bei veralteten Systemen hätten Angreifer leichtes Spiel. Die BRAK dementiert die Nutzung von PHP 5.6.: Der Produktivserver verfüge über PHP 7.3 und werde gerade auf 7.4 umgestellt.

Später wurde die Seite endgültig gesperrt, seit gestern Abend befindet sie sich im Wartungsmodus.

Das beA selbst ist nicht betroffen

Die BRAK weist gegenüber der NJW darauf hin, dass das beA selbst, das mit bea-brak.de unter einer anderen URL zu erreichen ist, nicht betroffen war. „Das beA wird von einem anderen Dienstleister auf anderen Systemen betrieben und war stets erreichbar“, so die Sprecherin der Kammer.

Redaktion beck-aktuell; Dr. Susanne Reinemann, Mitglied der NJW-Redaktion, 29. September 2020.