Der Chaos Computer Club (CCC) hat heute schwere Sicherheitslücken in der Cloud-Kanzleisoftware RA-MICRO Essentials veröffentlicht. Laut einem Bericht des Spiegel sind rund 130 Kanzleien von den Schwachstellen betroffen. Zwei Sicherheitsforschende hatten die Probleme bereits Mitte 2025 entdeckt und über den CCC verantwortungsvoll an den Hersteller gemeldet. Die Lücken ermöglichten es, auf Backup-Archive, Mandantendaten, Strafverfahrensakten, E-Mails und Zugangsdaten zuzugreifen.

Was ist passiert?

RA-MICRO Essentials ist die browserbasierte Cloud-Variante der marktführenden deutschen Kanzleisoftware. Anwaltskanzleien speichern dort Mandatsdaten, Gerichtsakten, Korrespondenz und Abrechnungen. Genau diese Daten standen durch eine Reihe von Fehlern im System offen.
Der Einstieg war denkbar simpel: Backup-Archive ließen sich ohne Authentifizierung aus dem Internet herunterladen. Ein Teil davon war zwar verschlüsselt, jedoch mit ZipCrypto. Dieses Verfahren gilt seit Jahren als veraltet und unsicher. Über einen sogenannten Known-Plaintext-Angriff, bei dem bekannte Dateiinhalte genutzt werden, um das Passwort zu rekonstruieren, konnten die Forschenden die Archive vollständig entschlüsseln. Bereits die unverschlüsselten Ordnerstrukturen und Dateinamen verrieten Mandantennamen und ließen Rückschlüsse auf laufende Verfahren zu. Diese ersten Schwachstellen wurden im Mai 2025 gemeldet.

Viele weitere Probleme

Im August 2025 folgte ein zweiter Report mit noch gravierenderen Befunden. In frei zugänglichen JavaScript-Dateien, Installationsskripten und im Backend-Quellcode fanden sich Zugangsdaten im Klartext. Das zur Nutzerauthentifizierung eingesetzte Verfahren JSON Web Token (JWT) war ebenfalls kompromittiert: Das Signaturgeheimnis ließ sich rekonstruieren, sodass die Forschenden gültige Token für beliebige Kanzlei-Instanzen ausstellen konnten. Obendrauf wurden Nutzerpasswörter ungehasht in der Datenbank gespeichert. Über einen wahrscheinlich für Test-Accounts gedachten Mechanismus gelang es, Administrator-Accounts anzulegen. Subdomains konnten übernommen werden. Der CCC demonstrierte das, indem er „ccc.es.ra-micro.de“ vorübergehend auf die eigene Website umleitete. Private TLS-Schlüssel für mehrere ra-micro.de-Subdomains waren über eine API abrufbar. Damit hätten Angreifer E-Mails im Namen von RA-MICRO versenden können. Über eine weitere Schnittstelle war erneut der Zugriff auf Backups beliebiger Instanzen möglich.

Konkret konnten Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel mit Mandanten oder Dritten sowie Zugangsdaten zu IMAP-Postfächern und dem besonderen elektronischen Anwaltspostfach (beA) eingesehen werden. Für Kanzleien bedeutet das nicht nur ein DSGVO-Problem, sondern einen potenziellen Verstoß gegen die anwaltliche Verschwiegenheitspflicht. Betroffene Kanzleien müssen prüfen, ob eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und gegebenüber Mandanten besteht.

Der Hersteller wurde in zwei Runden informiert und hat die Lücken nach eigenen Angaben geschlossen. Eine proaktive, umfassende Information der betroffenen Kanzleien blieb laut Berichten jedoch aus. Betroffene mussten teilweise selbst aktiv werden. Die beiden Forschenden, die im CCC-Bericht unter den Pseudonymen Poschi und Smeky auftreten, blieben aus Sorge vor den deutschen Hackerparagraphen zunächst anonym. Der CCC übernahm die Kommunikation mit dem Hersteller. Der Fall ist ein weiteres Beispiel dafür, wie die rechtliche Unsicherheit rund um Paragraph 202a StGB dazu führt, dass Sicherheitsforschende Risiken scheuen und Lücken möglicherweise gar nicht erst gemeldet werden.