Thought Leadership
Der Chaos Computer Club (CCC) hat im Rahmen seiner laufenden Analyse-Serie zu Legal-Tech-Anbietern erhebliche Sicherheitsprobleme in RA-MICRO Essentials aufgedeckt.
Zwei Sicherheitsforscher, die aus rechtlichen Gründen anonym bleiben wollen, untersuchten die Cloud-Kanzleisoftware und fanden dabei laut CCC “einen ganzen Blumenstrauß verschiedener Sicherheitsprobleme”.
Backups frei zugänglich
Der Einstieg war demnach simpel: Backup-Archive ließen sich ohne jede Authentifizierung aus dem offenen Internet herunterladen. Zwar waren Teile der Archive verschlüsselt, doch das eingesetzte Verfahren ZipCrypto gilt laut CCC seit Jahren als veraltet. Über einen Known-Plaintext-Angriff, bei dem bekannte Inhalte eines Archivs genutzt werden, um den Schlüssel zu rekonstruieren, konnten die vollständigen Backups entschlüsselt werden. Darin enthalten waren laut CCC “Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel” sowie Zugangsdaten zu IMAP-Postfächern und dem besonderen elektronischen Anwaltspostfach (beA). Bereits die sichtbaren Ordnerstrukturen und Dateinamen verrieten sensible Informationen wie Mandantennamen. Diese Schwachstellen meldeten die Forscher im Mai 2025.
JWT-Geheimnis rekonstruierbar, Passwörter im Klartext
Bei der weiteren Analyse stießen die Forscher auf klassische Entwicklungsfehler mit schwerwiegenden Folgen. In frei zugänglichen JavaScript-Dateien, Installationsskripten und im Quellcode des Backends fanden sich Zugangsdaten im Klartext. Das zur Nutzerauthentifizierung eingesetzte Verfahren JSON Web Token (JWT) war ebenfalls kompromittierbar: Das Signierungsgeheimnis ließ sich rekonstruieren, sodass sich gültige Tokens für beliebige Instanzen ausstellen ließen. Nutzerpasswörter waren zudem “ungehasht in der Datenbank gespeichert”, wie der CCC schreibt.
Subdomain-Übernahme und Administrator-Accounts auf Knopfdruck
Über einen Mechanismus, der mutmaßlich für das Anlegen von Test-Accounts gedacht war, gelang es, beliebige Administrator-Konten anzulegen. Subdomains des Unternehmens ließen sich übernehmen. Über eine API waren zudem private TLS-Schlüssel für mehrere ra-micro.de-Subdomains abrufbar, und E-Mails konnten im Namen von RA-MICRO versendet werden. Eine weitere Schnittstelle ermöglichte erneut den Zugriff auf die Backups beliebiger Instanzen. Diese zweite Gruppe von Schwachstellen meldeten die Forscher im August 2025.
Hackerparagraph bremst Sicherheitsforschung aus
Die beiden Forscher, die der CCC als Poschi und Smeky nennt, traten bewusst nicht selbst an die Öffentlichkeit. Aus Sorge vor strafrechtlichen Konsequenzen durch die sogenannten Hackerparagraphen übernahm der CCC die Kommunikation mit dem Hersteller. Verurteilungen von Sicherheitsforschern seien zwar selten, Ermittlungsverfahren kommen jedoch vor. Der CCC kritisiert, dass allein die Sorge davor dazu führe, “dass manche Lücken gar nicht erst gemeldet würden”. Er fordert eine gesetzliche Absicherung für Responsible-Disclosure-Tätigkeiten.
