• IT-Karriere:
  • Services:

Gerichtspostfach: EGVP-Client wird zum Jahreswechsel eingestellt

Der Client für das Elektronische Gerichts- und Verwaltungspostfach hat ausgedient. Die Software kann nur noch kurze Zeit verwendet werden. Grund ist teilweise das besondere elektronische Anwaltspostfach, das kürzlich mit Sicherheitslücken aufgefallen ist.

Artikel veröffentlicht am ,
Der EGVP-Client kann nur noch bis Mitte Februar 2018 genutzt werden.
Der EGVP-Client kann nur noch bis Mitte Februar 2018 genutzt werden. (Bild: Governikus/Screenshot: Golem.de)

Ein Teil der Software für das Elektronische Gerichts- und Verwaltungspostfach (EGVP) wird eingestellt. Die "Bereitstellungen einer Sende-und Empfangskomponente (EGVP-Classic-Client-Software) wird künftig den Softwareherstellern überlassen", heißt es auf der EGVP-Webseite des verantwortlichen Oberverwaltungsgerichts für das Land Nordrhein-Westfalen in Münster.

Stellenmarkt
  1. Erzbistum Paderborn, Hardehausen bei Warburg
  2. MKL Ingenieurgesellschaft mbH, München

Der Client lief bereits mit veraltetem Java und ist schon vorher durch Sicherheitsprobleme aufgefallen. Andere Teile der Infrastruktur werden weiterverwendet. Dazu gehört das besondere elektronische Anwaltspostfach (BeA), das derzeit aufgrund einer Sicherheitslücke nach einem Hinweis von Golem.de offline ist. Zugleich ist das derzeit nicht nutzbare BeA einer der Gründe für die Aufgabe des EGVP-Clients, da BeA auch für den elektronischen Rechtsverkehr auf Client-Seite zuständig und sogar mit EGVP verwandt ist. Rechtsanwälte müssen ab dem 1. Januar 2018 statt auf EGVP ohnehin auf BeA setzen. Die BeA-Software ist mit dem Jahreswechsel für den elektronischen Rechtsverkehr von Anwälten auf Client-Seite zuständig.

Laxer Umgang mit der Sicherheit

Golem.de wurde bereits 2013 darauf aufmerksam gemacht, dass die EGVP-Client-Software erhebliche Probleme habe. So wurde etwa von Anwälten verlangt, ein Java Runtime Environment zu installieren. Die Projektteilnehmer von EGVP nahmen es mit der Sicherheit allerdings nicht besonders ernst und verteilten veraltete Java-Versionen mit bekannten Sicherheitslücken. Der Download wurde über die EGVP-Webseite direkt angeboten statt auf das Downloadportal des Herstellers der Laufzeitumgebung zu verweisen. Während unserer damaligen Recherchen fielen uns einige Probleme auf.

Noch am 28. Februar 2013, also lange nach der Publizierung, wiesen wir das Projektbüro EGVP darauf hin, dass das Anbieten über die eigene Webseite nicht sinnvoll sei. Das war der Projektgruppe EGVP offenbar bewusst, sie empfahl ihren Anwendern sogar, den Download von der EGVP-Webseite nicht zu nutzen, allerdings nur in der PDF-Dokumentation. Während unserer Recherche verteilte die EGVP-Projektgruppe noch Java 6 Update 38. Nach einer Nachfrage von Golem.de wurde fünf Tage nach Veröffentlichung Java 6 Update 39 auf der Webseite bereitgestellt.

Die Praxis wurde aber, wie sich bis Donnerstag noch zeigte, nicht abgeschafft. Wie eine Nachkontrolle ergab, räumte das Gericht bis heute nicht auf. Die damals von uns verlinkte Downloadseite war noch aktiv und belegte den laxen Umgang mit Sicherheitsanforderungen. Auf unseren Hinweis wurde sie am heutigen Freitag vom Oberverwaltungsgericht gelöscht. Zwar war sie ohnehin nicht mehr direkt verlinkt, doch fand sich dort noch Java 6 Update 41. Eine dringend notwendige Warnung für Anwälte, die etwa die veraltete Software noch einsetzen und über Umwege die Laufzeitumgebung auf der EGVP-Webseite entdecken, fehlt allerdings. Oracle beispielsweise handhabt das anders und warnt vor dem Einsatz. Zudem wäre zumindest der Austausch des Downloads auf das Update 45 notwendig.

In der Praxis wurden die Probleme damals umgangen, indem die Laufzeitroutine Teil des EGVP-Clients wurde. Dadurch installierten sich die Anwälte nicht mehr unnötig das Browser-Plugin und machten sich angreifbar. Allerdings erkannte die EGVP-Projektgruppe ohnehin nicht die Gefahr von veralteten Browser-Plugins mit bekannten Sicherheitslücken. Trotz der verzögerten Bereitstellung des Java-Updates versicherte uns die Projektgruppe, "dass für die Nutzer der EGVP-Software zu keinem Zeitpunkt ein Sicherheitsrisiko bestand".

Die Kapselung von Java hatte jedoch ihre Tücken. Zwar setzte der Entwickler auf eine neuere Version, die kurz nach unserem Artikel finalisiert wurde, doch sie blieb veraltet. Selbst heute ist das der Fall. Der Client wurde offenkundig längst technisch aufgegeben: Er läuft derzeit mit Java 7 Update 51 aus dem Jahr 2014.

Eine Alternative zu BeA fällt weg

Mit der Einstellung des EGVP-Clients verlieren Juristen eine teilweise Alternative zum besonderen elektronischen Anwaltspostfach (BeA). Der EGVP-Client wurde seinerzeit von Bremen Online Services entwickelt. Heute ist das seit 1999 bestehende Unternehmen als Governikus bekannt und sieht sich als Spezialist für Sicherheit und Vertraulichkeit. Governikus ist zusammen mit Atos zuständig für das besondere elektronische Anwaltspostfach (beA-Präsentation als PDF) und hat auch die AusweisApp 2 in seinem Angebot.

Der EGVP-Client kann noch bis zum Jahreswechsel heruntergeladen werden und wird ab 14. Februar 2018 endgültig seinen Dienst einstellen. Support gibt es seit 2016 ohnehin nicht mehr. Als EGVP-Client-Alternativen gibt es aber eine Liste abgesegneter Software von Drittherstellern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 19,95€
  2. 4,32€
  3. 6,63€
  4. (-60%) 23,99€

Mik30 30. Dez 2017

...mit veraltetem Java. Der Client bringt seine eigene JAVA VM static gelinkt mit. Der...

MIKOLA 29. Dez 2017

Die Übergang von EGVP auf Governikus ist sehr einfach. Es ist im Grunde das gleiche...


Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

    •  /