tldr: Die beA Client Security hilft bei der Identifikation von Anwälten, die im Internet surfen, da sich von jeder beliebigen Webseite aus überprüfen lässt, ob die lokale beA-Anwendung gestartet wurde. Ebenso besteht die Möglichkeit den Rechner, auf dem die Client Security läuft, mittels gefälschter Anfragen teilweise zu blockieren (DoS).
Das besondere elektronische Anwaltspostfach (beA) ist vorgeblich so gestaltet worden, dass Nachrichten, die versendet werden, nachweisbar ohne Manipulation und geheim übermittelt werden. Niemand Drittes, auch nicht die BRAK, darf Kenntnis vom Inhalt der Nachricht erhalten können[1]. Darüber hinaus erlaubt das beA die eindeutige Authentifizierung des Absenders einer Nachricht sowohl hinsichtlich seiner Person als auch seiner Funktion als Rechtsanwalt. Dieser Nachweis der Anwaltseigenschaft wird dabei über das angebundene tagesaktuelle bundeseinheitliche Rechtsanwaltsregister sichergestellt[2].
Sicherlich entgegen der Intention der BRAK und ihrer Dienstleister ist dabei die Feststellung der Anwaltseigenschaft für das gesamte Internet geöffnet worden.
Hintergrund dieser Möglichkeit ist die Software namens "beA Client Security", die notwendigerweise auf jedem Rechner installiert werden muss, von dem das beA aus angesprochen werden soll. Die beA Client Security ist eine Art Brücke zwischen der Webanwendung des beA und dem Kartenlesegerät, das sich nicht direkt über den Internetbrowser ansprechen lässt. Sie stellt nach der Installation einen lokalen Dienst zur Verfügung, der über die Domain "bealocalhost.de" aufgerufen werden kann. Dieser Dienst startet per Standardeinstellung bei jedem Einschalten des Computers.
Beim Einloggen in das beA unter www.bea-brak.de wird die beA Client Security aktiv, in dem sie als erstes verrät, ob sie überhaupt gestartet wurde. Des weiteren sorgt sie dann für das Öffnen des Authentifzierungsdialogs mit der beA-Karte. Da bei diesem Vorgang nicht überprüft wird, von welcher Domain die jeweiligen Aufrufe an die beA Client Security kommen, kann auch jede andere Webseite diese Vorgänge initiieren. Über Javascript-Komponenten lässt sich dann abfragen, ob auf einem Computer, von dem aus gerade auf eine Webseite zugegriffen wird, die beA Client Security läuft. In einem weiteren Schritt lässt sich auch der Anmeldedialog von außen starten.
Dies impliziert nun drei Probleme, die die Software im Moment nicht ausreichend löst:
Im Moment empfehle ich meinen Kollegen die beA Client Security nur auf ausgewählten Rechnern in ihrer Kanzlei zu installieren. Und nicht auf denen, die zum Speichern sensibler Informationen dienen. Am besten eignet sich ein gesondertes beA-Terminal, von dem die Daten via Transfer auf einem USB-Stick abgerufen oder versendet werden. Wer soweit nicht gehen will, der sollte den Autostart der beA Client Security verhindern und nach der beA-Nutzung den Client beenden.
Videos des proof of concept:
beA läuft [Youtube] | beA DoS [Youtube]
Deaktivieren des beA-Client-Security-Autostarts (Windows 10):
[1] http://www.rak-sachsen.de/digitale-kommunikation-mit-den-gerichten-der-elektronische-rechtsverkehr-kommt/; kritisch dazu Die Ende-zu-Ende-Verschlüsselung des besonderen elektronischen Anwaltspostfachs
[2] ebenda