![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Die Kanzleisoftware RA-MICRO Essentials sieht sich als Marktf\u00fchrer bei Rechtsanwaltssoftware. Gesch\u00e4ftsprozesse f\u00fcr Rechtsanw\u00e4lte im Browser verwalten, so das Versprechen. Der Chaos Computer Club (CCC) hat sich die Software vorgenommen und erschreckende Schwachstellen gefunden, die die Sicherheit vertraulicher Daten gef\u00e4hrdet.<\/p>\n
<\/p>\n
Das Ganze l\u00e4uft in der Cloud – man kann aber Akten als PDF auch \"f\u00fcr Orte ohne Internet\" lokal speichern lassen. Der Hersteller garantiert eine DSGVO-konforme Datenhaltung in einem deutschen Rechenzentrum.<\/p>\n Die 1982 von einem Rechtsanwalt gegr\u00fcndete Firma hat 140 Mitarbeiter und sieht sich als\u00a0deutschen Marktf\u00fchrer f\u00fcr Anwaltskanzlei-EDV. Die Gesellschaft sei spezialisiert und ausschlie\u00dflich gesch\u00e4ftlich auf den deutschen Kanzlei-EDV Markt der Rechtsanw\u00e4lte und Anwaltsnotare sowie angrenzende M\u00e4rkte wie Inkassob\u00fcros und Rechtsabteilungen fokussiert, hei\u00dft es auf der Webseite. Die Software werde fast ausschlie\u00dflich eigenentwickelt und supportet. Die EDV-Ausstattung der Kanzleien \u00fcbernimmt das deutsche RA-MICRO Vertragsh\u00e4ndlernetz. Dort kann man auf 270 Mitarbeiter im RA-MICRO Vertriebs- und Servicebereich zugreifen.<\/p>\n Der Chaos Computer Club schaut sich immer wieder Software f\u00fcr Kanzleien im Hinblick auf Schwachstellen an. Im M\u00e4rz 2026 hatte ich im Beitrag\u00a0Chaos Computer Club: Advocado \u2013 wenn die Anwaltsplattform \"offen steht\"<\/a> \u00fcber ein Problem bei einer Anwaltsplattform berichtet. Aber da geht noch mehr – ein Blog-Leser hatte mich in diesem Kommentar<\/a> auf die neuesten Forschungsergebnisse des CCC hingewiesen (danke daf\u00fcr).<\/p>\n Unter der Pr\u00e4misse \"Der Chaos Computer Club (CCC) setzt seine Serie von Sicherheitsanalysen bei Legal-Tech-Anbietern fort.\" haben sich zwei der dort aktiven Sicherheitsforschend*innen einfach mal RA-MICRO Essentials vorgenommen und einen genaueren Blick auf die Softwarel\u00f6sung geworfen. Was kann da schon schief gehen.<\/p>\n Im Beitrag\u00a0Kanzleisoftware in der Cloud l\u00e4sst Daten regnen<\/a> plaudern die Beteiligten dann ein wenig aus dem N\u00e4hk\u00e4stchen. Die Kanzleisoftware RA-MICRO Essentials konnte mit einer Vielzahl Schwachstellen aufwarten. Dank dieser war es den Experten m\u00f6glich, auf schlecht verschl\u00fcsselte Backups, Ermittlungsakten aus Strafverfahren, Adressdaten, E-Mails und Zugangsdaten zuzugreifen.<\/p>\n Die laut Anbieter auf\u00a0\"h\u00f6chstem Sicherheitsniveau\" mit Verschl\u00fcsselung und 2-Faktor-Authentifizierung arbeitende Software verwendete dazu ZipCrypto. Das ZipCrypto- Verschl\u00fcsselungsverfahren wird laut CCC seit Jahren als veraltet und unsicher eingestuft.<\/p>\n Erster Fehler: Backups lie\u00dfen sich frei aus dem Internet herunterladen. Die Backups waren zwar teilweise verschl\u00fcsselt. Allerdings waren Ordnerstrukturen und Dateinamen sichtbar, die sensible Informationen wie die Namen von Mandanten verrieten und R\u00fcckschl\u00fcsse auf Verfahren zulie\u00dfen.<\/p>\n Anhand bekannter Inhalte der verschl\u00fcsselten Daten lie\u00dfen sich die Backup-Archive\u00a0 vollst\u00e4ndig per Known-Plaintext-Angriff entschl\u00fcsseln. Dadurch wurden beispielsweise Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel mit Mandantschaft oder Dritten sowie Zugangsdaten zu IMAP-Postf\u00e4chern oder dem besonderen elektronischen Anwaltspostfach (beA) einsehbar. Im Mai 2025 gab es dann eine erste Meldung an den Entwickler.<\/p>\n In einer weiteren Analyse fanden die Sicherheitsforscher und -forscherinnen in frei zug\u00e4nglichen JavaScript-Dateien, Installationsskripten und im Quellcode des RA-MICRO-Backends diverse Zugangsdaten. Es gelang die f\u00fcr die Zugriffskontrolle des Backends verwendeten JSON Web Token (JWT) zu rekonstruieren. So lie\u00dfen sich\u00a0g\u00fcltige JWT f\u00fcr eine beliebige Instanz ausstellen. Auch auf die Passw\u00f6rter der Anwender konnte zugegriffen werden, da diese ungehasht in der Datenbank gespeichert wurden.<\/p>\n Der CCC schreibt, dass es auch \u00fcber eine (mutma\u00dflich f\u00fcr Test-Accounts gedachte) Funktion gelang, Administratorzug\u00e4nge einzurichten. Die Sicherheitsexperten des CCC konnten\u00a0Subdomains \u00fcbernehmen und die URL ccc-dot-es-dot-ra-micro-dot-de zu Demonstrationszwecken vor\u00fcbergehend auf die Website des CCC umleiten.<\/p>\n Weiterhin war es m\u00f6glich, private TLS-Schl\u00fcssel f\u00fcr mehrere ra-micro.de-Subdomains \u00fcber eine API abzurufen und E-Mails im Namen von RA-MICRO zu versenden. Schlie\u00dflich gelang \u00fcber eine andere Schnittstelle erneut der Zugriff auf die Backups beliebiger Instanzen. All diese Schwachstellen wurden im August 2025 gemeldet. Es war also das \"volle Programm in Sachen Sicherheitsl\u00fccken\", mit dem der CCC konfrontiert wurde.<\/p>\n Hintergrund, warum der CCC involviert war: Die Sicherheitsexperten Poschi und Smeky schoben den Chaos Computer Club vor, als ihnen die Brisanz der Sicherheitsl\u00fccken und die M\u00f6glichkeiten zum Datenzugriff bewusst wurde. Denn nach deutscher Rechtsprechung machten sie sich nach \u00a7 202c<\/a> m\u00f6glicherweise strafbar. Der CCC \u00fcbernahm die Kommunikation mit dem Hersteller, und fordert, dass Sicherheitsforschung legalisiert werden muss. Der CCC zeigt sich gespannt, wie die juristisch bewanderte Kundschaft des Unternehmens diese Vielzahl fahrl\u00e4ssiger Verst\u00f6\u00dfe gegen technische und rechtliche Grundanforderungen bewerten wird. Die Details der gefundenen Sicherheitsprobleme sind in separaten Beitr\u00e4gen, die auf der Seite des CCC verlinkt<\/a> sind, zu finden.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Die Kanzleisoftware RA-MICRO Essentials sieht sich als Marktf\u00fchrer bei Rechtsanwaltssoftware. Gesch\u00e4ftsprozesse f\u00fcr Rechtsanw\u00e4lte im Browser verwalten, so das Versprechen. Der Chaos Computer Club (CCC) hat sich die Software vorgenommen und erschreckende Schwachstellen gefunden, die die Sicherheit vertraulicher Daten gef\u00e4hrdet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459],"tags":[1171,4328,3836],"class_list":["post-323555","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","tag-cloud","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323555"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323555\/revisions"}],"predecessor-version":[{"id":323558,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323555\/revisions\/323558"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}RA-MICRO Essentials<\/a> ist eine Kanzleisoftware f\u00fcr Rechtsanw\u00e4lte, die von der RA-MICRO Software AG<\/a> mit Sitz in Berlin entwickelt wird. Die Software\u00a0bietet, laut Anbieter, \"h\u00f6chstes Sicherheitsniveau\" durch Verschl\u00fcsselung und 2-Faktor-Authentifizierung. Durch regelm\u00e4\u00dfige Sicherungskopien werde eine hohe Datensicherheit gew\u00e4hrleistet.<\/p>\n
![\"RA](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/RA_MICRO_ESSENTIAL.jpg\")
<\/a><\/p>\nDer CCC wirft einen Blick auf\u00a0RA-MICRO Essentials<\/h2>\n
![\"CCC](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/RA_MICRO_ESSENTIALS-CCC.jpg\")
<\/p>\nUnsicheres Verschl\u00fcsselungsverfahren und frei zugreifbare Backups<\/h3>\n
Zugangsdaten in JavaScript-Code<\/h3>\n
Als Administrator arbeitest Du freier<\/h3>\n
Mit einem Bein im Knast<\/h2>\n