Nach dem beA ist nun auch das Bundesweite Amtliche Anwaltsverzeichnis (BRAV) offline. Kollegen von Golem hatten sich den Quellcode der Website angeschaut und dort eine veraltete Version der Open Source User Interface Library PrimeFaces gefunden. Die Bundesrechtsanwaltskammer (BRAK) hat darauf hin das BRAV ebenfalls abgeschaltet und will es erst wieder in Betrieb nehmen, wenn diese neu entdeckte Lücke geschlossen ist.

Das BRAV ist eng mit dem beA (besonderes elektronisches Anwaltspostfach) verbunden. Es enthält die Stammdaten des Anwalts wie Namen, Kontaktadresse, Kommunikationsdaten und die Safe-ID für das beA. Das BRAV speist sich aus Informationen, die von den regionalen Kammern täglich aktualisiert werden.

Seit Ende Dezember ist der beA-Server abgeschaltet, im Januar empfahl die BRAK nach entsprechenden Hinweisen auch die De-Installation der Client Security, um die Anwalts-PCs nicht weiter verwundbar zu halten. Mit dem BRAV ist nun auch die dritte Komponente abgeschaltet. Eine genaure Untersuchung des BRAV steht jedoch anders als beim beA derzeit nicht im Raum.

Bereits vor zwei Jahren hatte Minded Security eine Remote Execution Lücke in PrimeFaces gefunden, die Angreifern die Einschleusung eigenen Codes ermöglichte. Diese Lücke wurde im Juni 2016 geschlossen. Der Dienstleister Atos hatte jedoch weiter die veraltete Version genutzt.

Alte Software - alte Lücken

Hier erkennt man Parallelen zu den Sicherheitsproblemen des beA. Markus Drenger und seine Mitstreiter von Chaos Darmstadt hatten Ende letzten Jahres ebenfalls veraltete Java-Bibliotheken in der Client Security des beA gefunden. Das beA sollte ursprünglich bereits Anfang 2016 starten. Die Entwicklung liegt also weiter zurück als viele der aufgedeckten Sicherheitslücken. Es ist zu erwarten, dass bei einer gründlichen Untersuchung des Quellcodes noch mehr solcher Lücken zu Tage treten. Auch die Server-Software könnte solche Sicherheitsprobleme haben.

Die BRAK wäre gut beraten, eine solche Untersuchung nicht nur einmal, sondern regelmäßig durchzuführen. Jede Software, inbesondere eine so sicherheitsrelevante wie die Kommunikation der Rechtspflege in Deutschland, bedarf einer ständigen Wartung.

Für diesen Sonntag, den 15. April, hat die BRAK eine außerordentliche Präsidentenkonferenz zum Thema Anwaltspostfach einberufen. Auf der Tagesordnung stehen die Kommunikation mit den Präsidenten der regionalen Kammern und der Wunsch nach mehr Personal für das beA. (vowe)