Die Kanzleisoftware RA-MICRO Essentials sieht sich als Marktführer bei Rechtsanwaltssoftware. Geschäftsprozesse für Rechtsanwälte im Browser verwalten, so das Versprechen. Der Chaos Computer Club (CCC) hat sich die Software vorgenommen und erschreckende Schwachstellen gefunden, die die Sicherheit vertraulicher Daten gefährdet.
Was ist Kanzleisoftware RA-MICRO Essentials?
RA-MICRO Essentials ist eine Kanzleisoftware für Rechtsanwälte, die von der RA-MICRO Software AG mit Sitz in Berlin entwickelt wird. Die Software bietet, laut Anbieter, "höchstes Sicherheitsniveau" durch Verschlüsselung und 2-Faktor-Authentifizierung. Durch regelmäßige Sicherungskopien werde eine hohe Datensicherheit gewährleistet.
Das Ganze läuft in der Cloud – man kann aber Akten als PDF auch "für Orte ohne Internet" lokal speichern lassen. Der Hersteller garantiert eine DSGVO-konforme Datenhaltung in einem deutschen Rechenzentrum.
Die 1982 von einem Rechtsanwalt gegründete Firma hat 140 Mitarbeiter und sieht sich als deutschen Marktführer für Anwaltskanzlei-EDV. Die Gesellschaft sei spezialisiert und ausschließlich geschäftlich auf den deutschen Kanzlei-EDV Markt der Rechtsanwälte und Anwaltsnotare sowie angrenzende Märkte wie Inkassobüros und Rechtsabteilungen fokussiert, heißt es auf der Webseite. Die Software werde fast ausschließlich eigenentwickelt und supportet. Die EDV-Ausstattung der Kanzleien übernimmt das deutsche RA-MICRO Vertragshändlernetz. Dort kann man auf 270 Mitarbeiter im RA-MICRO Vertriebs- und Servicebereich zugreifen.
Der CCC wirft einen Blick auf RA-MICRO Essentials
Der Chaos Computer Club schaut sich immer wieder Software für Kanzleien im Hinblick auf Schwachstellen an. Im März 2026 hatte ich im Beitrag Chaos Computer Club: Advocado – wenn die Anwaltsplattform "offen steht" über ein Problem bei einer Anwaltsplattform berichtet. Aber da geht noch mehr – ein Blog-Leser hatte mich in diesem Kommentar auf die neuesten Forschungsergebnisse des CCC hingewiesen (danke dafür).
Unter der Prämisse "Der Chaos Computer Club (CCC) setzt seine Serie von Sicherheitsanalysen bei Legal-Tech-Anbietern fort." haben sich zwei der dort aktiven Sicherheitsforschend*innen einfach mal RA-MICRO Essentials vorgenommen und einen genaueren Blick auf die Softwarelösung geworfen. Was kann da schon schief gehen.
Im Beitrag Kanzleisoftware in der Cloud lässt Daten regnen plaudern die Beteiligten dann ein wenig aus dem Nähkästchen. Die Kanzleisoftware RA-MICRO Essentials konnte mit einer Vielzahl Schwachstellen aufwarten. Dank dieser war es den Experten möglich, auf schlecht verschlüsselte Backups, Ermittlungsakten aus Strafverfahren, Adressdaten, E-Mails und Zugangsdaten zuzugreifen.
Unsicheres Verschlüsselungsverfahren und frei zugreifbare Backups
Die laut Anbieter auf "höchstem Sicherheitsniveau" mit Verschlüsselung und 2-Faktor-Authentifizierung arbeitende Software verwendete dazu ZipCrypto. Das ZipCrypto- Verschlüsselungsverfahren wird laut CCC seit Jahren als veraltet und unsicher eingestuft.
Erster Fehler: Backups ließen sich frei aus dem Internet herunterladen. Die Backups waren zwar teilweise verschlüsselt. Allerdings waren Ordnerstrukturen und Dateinamen sichtbar, die sensible Informationen wie die Namen von Mandanten verrieten und Rückschlüsse auf Verfahren zuließen.
Anhand bekannter Inhalte der verschlüsselten Daten ließen sich die Backup-Archive vollständig per Known-Plaintext-Angriff entschlüsseln. Dadurch wurden beispielsweise Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel mit Mandantschaft oder Dritten sowie Zugangsdaten zu IMAP-Postfächern oder dem besonderen elektronischen Anwaltspostfach (beA) einsehbar. Im Mai 2025 gab es dann eine erste Meldung an den Entwickler.
Zugangsdaten in JavaScript-Code
In einer weiteren Analyse fanden die Sicherheitsforscher und -forscherinnen in frei zugänglichen JavaScript-Dateien, Installationsskripten und im Quellcode des RA-MICRO-Backends diverse Zugangsdaten. Es gelang die für die Zugriffskontrolle des Backends verwendeten JSON Web Token (JWT) zu rekonstruieren. So ließen sich gültige JWT für eine beliebige Instanz ausstellen. Auch auf die Passwörter der Anwender konnte zugegriffen werden, da diese ungehasht in der Datenbank gespeichert wurden.
Als Administrator arbeitest Du freier
Der CCC schreibt, dass es auch über eine (mutmaßlich für Test-Accounts gedachte) Funktion gelang, Administratorzugänge einzurichten. Die Sicherheitsexperten des CCC konnten Subdomains übernehmen und die URL ccc-dot-es-dot-ra-micro-dot-de zu Demonstrationszwecken vorübergehend auf die Website des CCC umleiten.
Weiterhin war es möglich, private TLS-Schlüssel für mehrere ra-micro.de-Subdomains über eine API abzurufen und E-Mails im Namen von RA-MICRO zu versenden. Schließlich gelang über eine andere Schnittstelle erneut der Zugriff auf die Backups beliebiger Instanzen. All diese Schwachstellen wurden im August 2025 gemeldet. Es war also das "volle Programm in Sachen Sicherheitslücken", mit dem der CCC konfrontiert wurde.
Mit einem Bein im Knast
Hintergrund, warum der CCC involviert war: Die Sicherheitsexperten Poschi und Smeky schoben den Chaos Computer Club vor, als ihnen die Brisanz der Sicherheitslücken und die Möglichkeiten zum Datenzugriff bewusst wurde. Denn nach deutscher Rechtsprechung machten sie sich nach § 202c möglicherweise strafbar. Der CCC übernahm die Kommunikation mit dem Hersteller, und fordert, dass Sicherheitsforschung legalisiert werden muss. Der CCC zeigt sich gespannt, wie die juristisch bewanderte Kundschaft des Unternehmens diese Vielzahl fahrlässiger Verstöße gegen technische und rechtliche Grundanforderungen bewerten wird. Die Details der gefundenen Sicherheitsprobleme sind in separaten Beiträgen, die auf der Seite des CCC verlinkt sind, zu finden.
MVP: 2013 – 2016
