Kanzleisoftware RA-Micro: Chaos Computer Club veröffentlicht massive Sicherheitslücken
© Adobe Stock / Aytana

Der Chaos Computer Club hat Schwachstellen in der cloudbasierten Kanzleisoftware von RA-Micro offengelegt. Nach Angaben der Hacker waren Backups, Mandantendaten und Zugangsdaten abrufbar. Das Unternehmen war bereits 2025 informiert worden. 130 Kanzleien seien betroffen gewesen.

Der Chaos Computer Club (CCC) hat Sicherheitslücken in der cloudbasierten Kanzleisoftware "RA-MICRO Essentials" öffentlich gemacht. Nach Darstellung des Vereins haben zwei Hacker Zugriff auf teils sensible Daten erhalten, darunter Ermittlungsakten aus Strafverfahren, interne Aktenvermerke, Adressdaten sowie E-Mail- und Postfachzugänge.

Beim CCC handelt es sich um die größte europäische Hackervereinigung, die sich u. a. im sogenannten White-Hat-Hacking betätigt. Dabei suchen Hacker in der IT-Infrastruktur von Unternehmen und Behörden nach Schwachstellen – nicht jedoch aus unlauteren Motiven, sondern um die Betroffenen zu warnen. RA-Micro ist der führende Anbieter für Kanzlei-EDV in Deutschland. Minderheitsgesellschafter des Unternehmens ist der Verlag C.H. Beck, zu dem auch beck-aktuell. HEUTE IM RECHT gehört.

Die Untersuchung gehöre zu einer laufenden Reihe von Analysen zu Legal-Tech-Angeboten, teilte der CCC am Donnerstag mit. Der Einstieg sei recht einfach gewesen: Backup-Archive hätten ohne Zugriffsbeschränkung aus dem Internet heruntergeladen werden können. Zwar seien Teile der Daten verschlüsselt gewesen, die eingesetzte ZipCrypto-Verschlüsselung gelte jedoch seit Jahren als unsicher. Auf dieser Grundlage hätten sich die Archive mittels sogenannter Known-Plaintext-Angriffe vollständig entschlüsseln lassen. Bereits die Ordnerstrukturen und Dateinamen hätten Rückschlüsse auf Mandantschaft und laufende Verfahren ermöglicht. Dem CCC zufolge seien diese Schwachstellen bereits im Mai 2025 an den Hersteller gemeldet worden.

Weitere Lecks im Quellcode und Backend

Bei der weiteren Analyse seien zusätzliche Sicherheitsprobleme hinzugekommen. In frei zugänglichen JavaScript-Dateien, Installationsskripten und im Backend-Quellcode habe man Zugangsdaten gefunden. Die eingesetzte Authentifizierung über JSON Web Token habe es ermöglicht, gültige Tokens für beliebige Instanzen zu erstellen.

Zudem seien Nutzerpasswörter ungehasht in der Datenbank gespeichert gewesen. Über einen mutmaßlich für Testzwecke vorgesehenen Mechanismus hätten Administrator-Accounts angelegt werden können. Auch Subdomains seien übernehmbar gewesen; zu Demonstrationszwecken habe man eine Subdomain zeitweise auf die Website des CCC verweisen lassen.

Nach Angaben des Vereins hätten sich schließlich auch private TLS-Schlüssel über eine Programmierschnittstelle abrufen lassen. Dadurch sei es möglich gewesen, E-Mails im Namen des Anbieters zu versenden und erneut auf Backups beliebiger Instanzen zuzugreifen. Diese zweite Gruppe von Schwachstellen sei dem Unternehmen im August 2025 gemeldet worden. 

Der CCC hat beide technischen Berichte auf seiner Website veröffentlicht.

RA-Micro: 130 Kanzleien betroffen, Lücken bereits geschlossen

Der Spiegel, der zuerst über den Vorgang berichtet hatte, schrieb, RA-Micro habe mitgeteilt, dass man die gemeldeten Sicherheitslücken durch eine externe IT-Sicherheitsfirma unverzüglich habe prüfen und schließen lassen. Betroffen gewesen seien 130 Kundinnen und Kunden. 

Die Berliner Datenschutzbehörde monierte gegenüber dem Spiegel, RA Micro habe die Kanzleien, die nach Angaben des Magazins laut der Behörde als Nutzer der Software datenschutzrechtlich verantwortlich seien, "nicht unverzüglich über die Verletzung des Schutzes personenbezogener Daten bei einer der Lücken informiert".

RA-Micro widerspricht nach Angaben des Spiegel der Darstellung der Behörde: Es gebe keine Hinweise auf einen Missbrauch von Daten, so ein Sprecher demnach, und damit auch keine Pflicht zur Meldung gemäß Datenschutz-Grundverordnung. Man habe die betroffenen Kanzleien Ende August über "das Vorliegen möglicher Sicherheitsrisiken" informiert und Ende Januar eine "weitere E-Mail mit ergänzenden Informationen" verschickt. Weitere Angaben zum Inhalt der Mail habe das Unternehmen auf Nachfrage nicht gemacht, so das Magazin.

Auch auf Anfrage von beck-aktuell war RA Micro bis zur Veröffentlichung dieses Artikels am Freitag um 18.30 Uhr für eine Stellungnahme nicht zu erreichen. Der Minderheitsgesellschafter C.H. Beck teilte auf Anfrage der beck-aktuell-Redaktion mit, die Geschäftsführung dränge auf eine Klärung.

Redaktion beck-aktuell, mam, 10. April 2026.

Mehr zum Thema

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.