Warum der CCC vor Risiken bei Legal-Tech warnt
Die Kanzleisoftware RA-MICRO Essentials stand laut CCC wegen mehrerer Sicherheitslücken im Fokus.
Der Chaos Computer Club berichtet, dass zwei Sicherheitsforscher die Cloud-Lösung RA-MICRO Essentials untersucht und dabei zahlreiche Schwachstellen gefunden haben. Laut CCC sollen dadurch Backups, Akten aus Strafverfahren, Adressdaten, E-Mails und Zugangsdaten zugänglich gewesen sein. Die ersten Hinweise auf Probleme seien demnach bereits im Mai 2025 gemeldet worden.
Nach Darstellung des CCC konnten Backup-Dateien frei aus dem Internet heruntergeladen werden. Teilweise seien diese verschlüsselt gewesen, die verwendete Methode ZipCrypto gelte jedoch seit Jahren als unsicher.
Laut den Forschern ließ sich die Verschlüsselung mit bekannten Dateiinhalten aufheben, wodurch unter anderem Akten, interne Vermerke sowie Zugangsdaten zu Postfächern und zum beA einsehbar gewesen seien.
Sicherheitslücken bei RA-MICRO Essentials
Zusätzlich nennt der CCC weitere Lecks in JavaScript-Dateien, Installationsskripten und im Backend. Demnach sollen sich Zugangsdaten rekonstruieren, gültige Authentifizierungs-Token erzeugen und Passwörter auslesen lassen haben.
Außerdem sei es möglich gewesen, Administrator-Konten anzulegen, Subdomains zu übernehmen, TLS-Schlüssel abzurufen und erneut auf Backups anderer Instanzen zuzugreifen. Diese weiteren Funde seien laut CCC im August 2025 gemeldet worden.
Der CCC erklärt zudem, dass die beiden Forscher wegen möglicher rechtlicher Risiken zunächst anonym geblieben seien und die Kommunikation über den Club lief. Dazu bekräftigt man die Forderung nach mehr Rechtssicherheit für Sicherheitsforscher.
Ich finde, der Vorgang zeigt vor allem, wie relevant nachvollziehbare Meldestrukturen und unabhängige Prüfungen bei sensibler Legal-Tech-Software sind.
in Tarife
in Tarife | Update
in Dienste
in Kommentar
in Smartphones
in Dienste
in Mobilität
in Mobilität
in Mobilität
in Mobilität