veröffentlicht am 26.11.2018 beA nicht von Sicherheitslücke beim elektronischen Personalausweis betroffen

Meldungen zu einer Sicherheitslücke bei der Authentifizierung mittels des elektronischen Personalausweises betreffen das besondere elektronische Anwaltspostfach (beA) nicht. Das IT-Magazin Golem hatte beschrieben, dass eine Bibliothek, die sog. Autent SDK der Firma Governikus, eine Sicherheitslücke aufweist, die in bestimmten Konstellationen dazu ausgenutzt werden könnte, dass ein Angreifer sich als eine andere Person ausgibt; Golem hatte es als unklar bezeichnet, welche Rolle dies für das beA spiele.
Diese den elektronischen Personalausweis betreffende Sicherheitslücke war für das beA aber nie relevant, denn im beA-System wird die betroffene Funktion der Autent SDK gar nicht genutzt. Governikus hat die Autent SDK aktualisiert und die Sicherheitslücke geschlossen; das beA-System verwendet ohnehin bereits die aktualisierte Version. Dies hat sich die BRAK von der Entwicklerin des beA-Systems, der Firma Atos, und der Governikus KG (s. auch hier) bestätigen lassen.