Abo
  • Services:

Gerichtspostfach: EGVP-Client wird zum Jahreswechsel eingestellt

Der Client für das Elektronische Gerichts- und Verwaltungspostfach hat ausgedient. Die Software kann nur noch kurze Zeit verwendet werden. Grund ist teilweise das besondere elektronische Anwaltspostfach, das kürzlich mit Sicherheitslücken aufgefallen ist.

Artikel veröffentlicht am ,
Der EGVP-Client kann nur noch bis Mitte Februar 2018 genutzt werden.
Der EGVP-Client kann nur noch bis Mitte Februar 2018 genutzt werden. (Bild: Governikus/Screenshot: Golem.de)

Ein Teil der Software für das Elektronische Gerichts- und Verwaltungspostfach (EGVP) wird eingestellt. Die "Bereitstellungen einer Sende-und Empfangskomponente (EGVP-Classic-Client-Software) wird künftig den Softwareherstellern überlassen", heißt es auf der EGVP-Webseite des verantwortlichen Oberverwaltungsgerichts für das Land Nordrhein-Westfalen in Münster.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg vor der Höhe
  2. Fraunhofer-Institut für Solare Energiesysteme ISE, Freiburg im Breisgau

Der Client lief bereits mit veraltetem Java und ist schon vorher durch Sicherheitsprobleme aufgefallen. Andere Teile der Infrastruktur werden weiterverwendet. Dazu gehört das besondere elektronische Anwaltspostfach (BeA), das derzeit aufgrund einer Sicherheitslücke nach einem Hinweis von Golem.de offline ist. Zugleich ist das derzeit nicht nutzbare BeA einer der Gründe für die Aufgabe des EGVP-Clients, da BeA auch für den elektronischen Rechtsverkehr auf Client-Seite zuständig und sogar mit EGVP verwandt ist. Rechtsanwälte müssen ab dem 1. Januar 2018 statt auf EGVP ohnehin auf BeA setzen. Die BeA-Software ist mit dem Jahreswechsel für den elektronischen Rechtsverkehr von Anwälten auf Client-Seite zuständig.

Laxer Umgang mit der Sicherheit

Golem.de wurde bereits 2013 darauf aufmerksam gemacht, dass die EGVP-Client-Software erhebliche Probleme habe. So wurde etwa von Anwälten verlangt, ein Java Runtime Environment zu installieren. Die Projektteilnehmer von EGVP nahmen es mit der Sicherheit allerdings nicht besonders ernst und verteilten veraltete Java-Versionen mit bekannten Sicherheitslücken. Der Download wurde über die EGVP-Webseite direkt angeboten statt auf das Downloadportal des Herstellers der Laufzeitumgebung zu verweisen. Während unserer damaligen Recherchen fielen uns einige Probleme auf.

Noch am 28. Februar 2013, also lange nach der Publizierung, wiesen wir das Projektbüro EGVP darauf hin, dass das Anbieten über die eigene Webseite nicht sinnvoll sei. Das war der Projektgruppe EGVP offenbar bewusst, sie empfahl ihren Anwendern sogar, den Download von der EGVP-Webseite nicht zu nutzen, allerdings nur in der PDF-Dokumentation. Während unserer Recherche verteilte die EGVP-Projektgruppe noch Java 6 Update 38. Nach einer Nachfrage von Golem.de wurde fünf Tage nach Veröffentlichung Java 6 Update 39 auf der Webseite bereitgestellt.

Die Praxis wurde aber, wie sich bis Donnerstag noch zeigte, nicht abgeschafft. Wie eine Nachkontrolle ergab, räumte das Gericht bis heute nicht auf. Die damals von uns verlinkte Downloadseite war noch aktiv und belegte den laxen Umgang mit Sicherheitsanforderungen. Auf unseren Hinweis wurde sie am heutigen Freitag vom Oberverwaltungsgericht gelöscht. Zwar war sie ohnehin nicht mehr direkt verlinkt, doch fand sich dort noch Java 6 Update 41. Eine dringend notwendige Warnung für Anwälte, die etwa die veraltete Software noch einsetzen und über Umwege die Laufzeitumgebung auf der EGVP-Webseite entdecken, fehlt allerdings. Oracle beispielsweise handhabt das anders und warnt vor dem Einsatz. Zudem wäre zumindest der Austausch des Downloads auf das Update 45 notwendig.

In der Praxis wurden die Probleme damals umgangen, indem die Laufzeitroutine Teil des EGVP-Clients wurde. Dadurch installierten sich die Anwälte nicht mehr unnötig das Browser-Plugin und machten sich angreifbar. Allerdings erkannte die EGVP-Projektgruppe ohnehin nicht die Gefahr von veralteten Browser-Plugins mit bekannten Sicherheitslücken. Trotz der verzögerten Bereitstellung des Java-Updates versicherte uns die Projektgruppe, "dass für die Nutzer der EGVP-Software zu keinem Zeitpunkt ein Sicherheitsrisiko bestand".

Die Kapselung von Java hatte jedoch ihre Tücken. Zwar setzte der Entwickler auf eine neuere Version, die kurz nach unserem Artikel finalisiert wurde, doch sie blieb veraltet. Selbst heute ist das der Fall. Der Client wurde offenkundig längst technisch aufgegeben: Er läuft derzeit mit Java 7 Update 51 aus dem Jahr 2014.

Eine Alternative zu BeA fällt weg

Mit der Einstellung des EGVP-Clients verlieren Juristen eine teilweise Alternative zum besonderen elektronischen Anwaltspostfach (BeA). Der EGVP-Client wurde seinerzeit von Bremen Online Services entwickelt. Heute ist das seit 1999 bestehende Unternehmen als Governikus bekannt und sieht sich als Spezialist für Sicherheit und Vertraulichkeit. Governikus ist zusammen mit Atos zuständig für das besondere elektronische Anwaltspostfach (beA-Präsentation als PDF) und hat auch die AusweisApp 2 in seinem Angebot.

Der EGVP-Client kann noch bis zum Jahreswechsel heruntergeladen werden und wird ab 14. Februar 2018 endgültig seinen Dienst einstellen. Support gibt es seit 2016 ohnehin nicht mehr. Als EGVP-Client-Alternativen gibt es aber eine Liste abgesegneter Software von Drittherstellern.



Anzeige
Blu-ray-Angebote

Mik30 30. Dez 2017

...mit veraltetem Java. Der Client bringt seine eigene JAVA VM static gelinkt mit. Der...

MIKOLA 29. Dez 2017

Die Übergang von EGVP auf Governikus ist sehr einfach. Es ist im Grunde das gleiche...


Folgen Sie uns
       


Dark Rock Pro TR4 - Test

Der Dark Rock Pro TR4 von Be quiet ist einer der wenigen Luftkühler für AMDs Threadripper-Prozessoren. Im Test schneidet er sehr gut ab, da die Leistung hoch und die Lautheit niedrig ausfällt. Bei der Montage und der RAM-Kompatibilität gibt es leichte Abzüge, dafür ist der schwarze Look einzigartig.

Dark Rock Pro TR4 - Test Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

    •  /