Das sogenannte besondere elektronische Anwaltspostfach (BeA) ist eine Kommunikationslösung, mit der Rechtsanwälte verschlüsselt kommunizieren können. Ab Januar 2018 ist die Nutzung des BeA für Rechtsanwälte verpflichtend. Die Anwender wurden von der Bundesrechtsanwaltskammer aufgefordert, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel zugänglich ist.

Die BeA-Software betreibt auf dem lokalen Port 9998 einen HTTPS-Server, sobald sie installiert ist. Ursprünglich wurde ein echtes, von Browsern akzeptiertes und von Telesec signiertes Zertifikat genutzt, damit Verbindungen nicht zu Zertifikatswarnungen führen. Dafür wurde die Domain bealocalhost.de registriert, die jedoch auf keine Adresse im Netz, sondern auf die Localhost-Adresse (127.0.0.1) verweist. Dieses Zertifikat und der dazugehörige private Schlüssel wurde von Markus Drenger vom Chaos Computer Club Darmstadt entdeckt und er meldete das Problem an Telesec, welches daraufhin zurückgezogen wurde.

Die Firma Atos, der Hersteller der BeA-Software, musste nun schnell reagieren. Allerdings wurde anstatt eines von Browsern akzeptiertes Zertifikat nun ein selbstsigniertes Zertifikat genutzt. Nutzer wurden in einem Newsletter dazu aufgefordert, das entsprechende Zertifikat in den Root-Zertifikatsspeicher von Windows zu importieren, damit sie eine Verbindung aufbauen können.

(ts, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE