Weitere Sicherheitslücke im beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

5 Gedanken zu „Weitere Sicherheitslücke im beA“

  1. Hallo Andreas, wer ist denn eigentlich für Schäden durch das beA haftbar zu machen? Ich denke z.B. an nun anfallende Portokosten oder ähnliches. Die regionale Anwaltskammer? Die BRAK? Ist das dann aus Vertrag oder § 839 BGB? Das sind zwar nur geringe Beträge, wenn man da aber eine Welle lostritt….

    1. Ich tue mir etwas schwer, ein Vertragsverhältnis zur BRAK zu konstruieren. Es handelt sich ja um eine Körperschaft des öffentlichen Rechts, die das System gegen eine Umlage anbietet. Auch besteht ein Anschluss- und Benutzungszwang. Zwischen der BRAK und Atos besteht auf jeden Fall ein Vertrag. Schadensersatz neben der Leistung setzt hier allerdings ein Verschulden voraus. Da hier der Stand der Technik nicht eingehalten wurde, liegt hier auf jeden Fall Fahrlässigkeit vor. Die BRAK hätte also sicherlich Schadensersatzansprüche.

  2. Guten Abend Herr Nöhr,
    Sie schrieben, dass der BRAK wohl Schadenensersatzansprüche gegenüber Atos zustehen. Worin liegt dann der Schaden, der konkret bei der BRAK eingetreten ist ? Der Schaden tritt im Fall von Portokosten doch viel eher bei den einzelnen Rechtsanwälten ein.

    Viele Grüße

    1. Guten Abend! Der Schaden liegt darin, dass der Betrieb des Systems monatlich 500.000 € kostet und das System nicht zur Verfügung steht. Darüber hinaus könnten einzelne RAe evtl. einen Schaden gegenüber der BRAK geltend machen, sodass ein Regress gg. Atos in Betracht kommt. Hier ein ganz interessanter Artikel von heute hierzu https://www.lto.de/recht/juristen/b/besonderes-elektronisches-anwaltspostfach-bea-ende-maerz-schadensersatzansprueche-brak-rechtsausschuss/. Beste Grüße, Andreas Nörr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert