Original-URL des Artikels: http://www.golem.de/news/egvp-2-8-gekapseltes-java-fuer-anwaelte-und-gerichte-1302-97520.html    Veröffentlicht: 12.02.2013 14:34

EGVP 2.8

Gekapseltes Java für Anwälte und Gerichte

Das Elektronische Gerichts- und Verwaltungspostfach (EGVP) arbeitet demnächst mit einer gekapselten Version von Java. Damit löst das Oberverwaltungsgericht Münster für Anwälte, Bundes- und Landesgerichte einige Probleme, denn bisher kümmerte sich das OVG nur unzureichend um die Sicherheit seiner Nutzer.

Das vom Oberverwaltungsgericht für das Land Nordrhein-Westfalen (OVG) in Münster angebotene Elektronische Gerichts- und Verwaltungspostfach (EGVP) stellt bald von der installierten Java-Laufzeitumgebung auf gekapseltes Java um. Die Software wird von zahlreichen Bundes- und Landesgerichten sowie Anwälten und Verwaltungsmitarbeitern genutzt und soll eigentlich "Sichere Kommunikation mit Gerichten und Behörden" bieten. Doch mit der aktuellen Version 2.7 muss der Anwender noch Java installieren und bei Sicherheitsproblemen in Java mit einem erhöhten Risiko durch das Browser-Plugin rechnen, das automatisch mitinstalliert wird und von der überwiegenden Anzahl der Webexploits verwendet wird.

EGVP sorgt vor allem dafür, dass Dokumente und Schriftsätze rechtswirksam übermittelt werden. Wichtige Fristen orientieren sich an dem Eingang eines Schriftstücks.

Mit der kommenden Version 2.8 fällt die Installation der Java-Laufzeitumgebung für Anwälte und Mitarbeiter von Gerichten ab März 2013 weg. Die Software verwendet zwar weiterhin die Java-Laufzeitumgebung, bringt aber selbst eine gekapselte Java-Version mit. Das heißt, wer auf die EGVP-Software angewiesen ist, installiert sich nicht automatisch das Java-Browser-Plugin. Zudem nutzt EGVP dann Java 7 statt Java 6. Das ist auch notwendig, da Oracle die Unterstützung in diesem Februar offiziell einstellt.

Die neue Version verwendet das gekapselte Java 1.7 Update 11. Das funktioniert technisch so, dass die herunterladbare EGVP-Software in das Programmunterverzeichnis des EGVP-Classic-Clients die Laufzeitumgebung installiert. Tatsächlich besteht der Installer von EGVP größtenteils aus der Java-Laufzeitumgebung. Der eigentliche Client wird erst nach dem Start von EGVP per Java heruntergeladen. Variablen der ini-Datei des Programms verweisen bei der Version 2.8 nicht mehr auf die globale Java-Installation, sondern auf die mitgelieferte Laufzeitumgebung im EGVP-Unterverzeichnis.

Für die Entwickler dürften sich ab März weitere Vorteile ergeben. Eventuell inkompatible Java-Versionen sollten kein Problem mehr darstellen, da sich der Entwickler auf die eine mitgelieferte Java-Version verlassen kann. Außerdem muss die Software nicht mit jedem Sicherheitsupdate von Java validiert werden. Das dürfte die Entwickler von Bremen Online Services aber nicht von der Notwendigkeit entbinden, Java aktuell zu halten. Im Gegenteil, sie müssen nun umso mehr darauf achten, da eine globale Updateroutine und der Anwender, der sie bedienen könnte, fehlen. Und genau bei der Aktualität haperte es bei allen Beteiligten und der für diesen Monat noch aktuellen Version 2.7 bisher.

Nicht nur, dass EGVP bis zum letzten Unterstützungsmonat auf Java 6 setzt. Anwälte, die Java so installieren, wie es die Webseite vorschlägt, setzen sich einem erhöhten Risiko durch Schadsoftware und das Browser-Plugin aus. Obendrein verwies das OVG Münster als Webseitenbetreiber kürzlich tagelang auf eine veraltete Java-Version.

Das OVG Münster bot veraltete Java-Version an

Das OVG NRW bietet Java nämlich bislang selbst zum Download an. Nachdem der Nutzer das Binary Code License Agreement der Firma Sun Microsystems abgenickt hat, wird die Software über einen Direktlink vom EGVP-Server heruntergeladen. Das OVG ist also selbst verantwortlich dafür, eine aktuelle Java-Version bereitzustellen, tut es aber zu langsam.

Unserer Beobachtung zufolge brauchte der Betreiber von egvp.de mehrere Tage, um die Java-Version zu aktualisieren. Java 6 Update 39 wurde von Oracle am 1. Februar 2013 veröffentlicht, wir konnten erst am 6. Februar die aktuelle Version sehen. Noch am 5. Februar wurde Java 6 Update 38 mit mehr als zwei Dutzend Sicherheitslücken verteilt. Dank des Browser-Plugins waren also die EGVP-Anwender unnötig lange einem Risiko ausgesetzt. Besser wäre es, auf den Download bei Oracle zu verweisen, der zeitnah aktualisiert wird.

Weder in den aktuellen Meldungen noch anderswo auf der Webseite konnten wir Hinweise auf die Probleme, die eine Java-Installation mit sich bringen kann, entdecken. Ein Hinweis, dass das für EGVP nicht notwendige Browser-Plugin abgeschaltet werden sollte, fehlt und auch vor den gefährlichen Sicherheitslücken werden Anwälte und Richter nicht gewarnt. Damit verhält sich das OVG Münster deutlich anders als andere Anbieter. Beispielsweise haben der deutsche Zoll und das Landesamt für Steuern im vergangenen Jahr aktiv vor Problemen im Umgang mit Java auf ihren Webseiten gewarnt.

Eine Anfrage von Golem.de, die wir noch am 2. Februar 2013 abschickten, hat uns das OVG Münster bis heute nicht beantwortet. Wir wollten unter anderem wissen, warum die Nutzer nicht gewarnt werden und ob es Alternativen für Anwälte gibt, die auf die Warnungen des Bundesamts für Sicherheit in der Informationstechnik gehört und Java deinstalliert haben. Auch eine Stellungnahme zu den Sicherheitsproblemen und der Frage, ob bereits Anwälte aufgrund einer veralteten Java-Installation angegriffen worden sind, blieb aus. Eine vorläufige Antwort kam erst am 6. Februar 2013. Da die "Anfrage nicht nur rein redaktionelle Fragestellungen betrifft", so das OVG Münster, sei sie an den Vorsitz des Lenkungskreises EGVP weitergeleitet worden.

Geantwortet hat uns auf die Nachfrage dafür das Bundesministerium der Justiz (BMJ). Es konnte aber keinen Kommentar abgeben, da das OVG Münster nicht verpflichtet ist, dem BMJ Auskunft zu erteilen. Das Bundesministerium verwies aber auf die neue EGVP-Version mit gekapseltem Java und den Umstand, dass das OVG mittlerweile die Java-Version 1.6u39 anbietet.

Wer will, kann EGVP 2.8 schon als Betaversion herunterladen und testen. Unterstützt werden sowohl Windows als auch Linux. Ab März 2013 soll EGVP 2.8 dann die aktuelle Version, die noch Java Webstart nutzt, ablösen. Damit dürfte sich die Anzahl der Anwälte und Notare, die berufsbedingt global Java samt Browser-Plugin installieren, deutlich reduzieren. Die gekapselte Version ist zudem nicht durch andere Anwendungen verwendbar, wie der Anbieter in der Dokumentation versichert. Das Installationspaket ist etwa 43 MByte groß und lädt beim ersten Start noch einmal etwa 35 MByte aus dem Netz.

Nachtrag vom 13. Februar 2013, 23:35 Uhr

Mittlerweile erreichte uns auch eine Stellungnahme im Auftrag des Arbeitskreises IT-Standards in der Justiz und des Vorsitzes des Lenkungskreis EGVP. Das im Auftrag handelnde Projektbüro EGVP versicherte uns, "dass für die Nutzer der EGVP-Software zu keinem Zeitpunkt ein Sicherheitsrisiko bestand". Zudem ist der Arbeitskreis der Meinung, dass EGVP 2.7 "jederzeit unter einer als sicher bekannten Java-Version - z. B. Java 1.6_38 eingesetzt" wurde. Die Entwickler bedauern, dass wegen Sicherheitsproblemen regelmäßig neue Java-Versionen bereitgestellt werden mussten. "Wir haben deshalb entschieden, das EGVP ab Version 2.8 als sog. Installer-Variante bereitzustellen", so das Projektbüro. Ab März wird dann Java 7u13 verwendet. Angriffe auf EGVP über das Internet sollen dann "technisch praktisch ausgeschlossen" sein.  (as)


Verwandte Artikel:
Google vs. Oracle: Oracle legt Berufung gegen Java-Urteil ein   
(13.02.2013 17:13, http://www.golem.de/news/google-vs-oracle-oracle-legt-berufung-gegen-java-urteil-ein-1302-97573.html)
Sicherheitslücken: Nächster Patch für Java kommt noch im Februar 2013   
(11.02.2013 10:43, http://www.golem.de/news/sicherheitsluecken-naechster-patch-fuer-java-kommt-noch-im-februar-2013-1302-97506.html)
Cisco Security Report: 87 Prozent der Web-Exploits greifen Java an   
(07.02.2013 11:52, http://www.golem.de/news/cisco-security-report-87-prozent-der-web-exploits-greifen-java-an-1302-97439.html)
Java: Petition soll Oracle von der Ask-Toolbar abbringen   
(06.02.2013 12:31, http://www.golem.de/news/java-petition-soll-oracle-von-der-ask-toolbar-abbringen-1302-97414.html)
Notfallpatch: Java-Update wegen Exploit-Verbreitung vorgezogen   
(01.02.2013 23:51, http://www.golem.de/news/notfallpatch-java-update-wegen-exploit-verbreitung-vorgezogen-1302-97333.html)

© 2014 by Golem.de