Unwirksame Verschlüsselung sensibler Daten

Endlich gibt es in dieser Reihe von Meldungen zu Legal-Tech nicht nur ein technisch langweiliges Einfallstor durch Fehlkonfiguration, sondern einen ganzen Blumenstrauß verschiedener Sicherheitsprobleme. Der Einstieg war simpel: Backups ließen sich frei aus dem Internet herunterladen. Zwar waren diese teilweise verschlüsselt, doch bereits die sichtbaren Ordnerstrukturen und Dateinamen verrieten sensible Informationen wie die Namen von Mandantschaft und ließen Rückschlüsse auf Verfahren zu.

Die eingesetzte Verschlüsselung basiert auf ZipCrypto, einem Verfahren, das seit Jahren als veraltet und unsicher eingestuft wird. Anhand von bekannten Inhalten der verschlüsselten Daten konnten die vollständigen Backup-Archive entschlüsselt werden (sog. Known-Plaintext-Angriff). So wurden beispielsweise Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel mit Mandantschaft oder Dritten sowie Zugangsdaten zu IMAP-Postfächern oder dem besonderen elektronischen Anwaltspostfach (beA) einsehbar.

Diese ersten Schwachstellen wurden bereits im Mai 2025 gemeldet.

Es geht nicht ohne Datenleck

Doch damit nicht genug: Natürlich identifizierten die beiden Forschenden auch verschiedene Datenlecks: In frei zugänglichen JavaScript-Dateien, Installationsskripten und im Quellcode des RA-MICRO-Backends waren diverse Zugangsdaten zu finden.

RA-MICRO benutzt JSON Web Token (JWT), um Nutzende gegenüber dem Backend zu authentifizieren. Das Geheimnis für die JWT-Signatur ließ sich rekonstruieren, sodass gültige JWT für eine beliebige Instanz ausgestellt und benutzt werden konnten. Auch auf die Passwörter der Nutzenden konnte zugegriffen werden, da diese ungehasht in der Datenbank gespeichert wurden.

Über einen Mechanismus, der wahrscheinlich für das Anlegen von Test-Accounts gedacht war, gelang es, Administrator-Accounts anzulegen. Außerdem konnten Subdomains übernommen werden – https://ccc.es.ra-micro.de führte zu Demonstrationszwecken vorübergehend auf die Website des CCC. Private TLS-Schlüssel für mehrere ra-micro.de-Subdomains konnten über eine API abgerufen und E-Mails im Namen von RA-MICRO versendet werden. Schließlich gelang über eine andere Schnittstelle erneut der Zugriff auf die Backups beliebiger Instanzen.

All diese Schwachstellen wurden im August 2025 gemeldet.

Wir sind gespannt, wie die juristisch geschulte Kundschaft des Unternehmens diese Vielzahl fahrlässiger Verstöße gegen technische und rechtliche Grundanforderungen bewerten.

Sicherheitsforschung muss legalisiert werden

Aus Sorge vor rechtlichen Risiken durch die sogenannten Hackerparagraphen zogen die beiden Sicherheitsforschenden Poschi und Smeky vor, zunächst im Hintergrund zu bleiben. Der CCC übernahm die Kommunikation mit dem Hersteller.

Der Fall zeigt, wie wichtig unabhängige Sicherheitsforschung ist und wie sehr sie durch rechtliche Unsicherheiten erschwert wird. Auch wenn Sicherheitsforschende für ihre kostenlosen Dienste extrem selten verurteilt werden, so kommt es zwar selten, aber oft genug zu Ermittlungsverfahren und den damit einhergehenden Ärgernissen und Kosten.

Schon die Sorge davor führt dazu, dass manche Lücken gar nicht erst gemeldet würden, wenn nicht z. B. wir bei der Meldung unterstützen. Es wäre sehr viel zielführender für betroffene Unternehmen, Kundschaft, Wirtschaft und Gesellschaft, wenn Sicherheitsforschende nach getaner Arbeit sorgenfrei das Vergnügen der Meldung übernehmen könnten.

Beide Reports veröffentlichen wir hier:

1. Report vom 26.05.2025
2. Report vom 19.08.2025