Gerichtspostfach: EGVP-Client wird zum Jahreswechsel eingestellt
Ein Teil der Software für das Elektronische Gerichts- und Verwaltungspostfach (EGVP) wird eingestellt. Die "Bereitstellungen einer Sende-und Empfangskomponente (EGVP-Classic-Client-Software) wird künftig den Softwareherstellern überlassen" , heißt es auf der EGVP-Webseite des verantwortlichen Oberverwaltungsgerichts für das Land Nordrhein-Westfalen in Münster(öffnet im neuen Fenster) .
Der Client lief bereits mit veraltetem Java und ist schon vorher durch Sicherheitsprobleme aufgefallen. Andere Teile der Infrastruktur werden weiterverwendet. Dazu gehört das besondere elektronische Anwaltspostfach (BeA), das derzeit aufgrund einer Sicherheitslücke nach einem Hinweis von Golem.de offline ist . Zugleich ist das derzeit nicht nutzbare BeA einer der Gründe für die Aufgabe des EGVP-Clients, da BeA auch für den elektronischen Rechtsverkehr auf Client-Seite zuständig und sogar mit EGVP verwandt ist. Rechtsanwälte müssen ab dem 1. Januar 2018 statt auf EGVP ohnehin auf BeA setzen(öffnet im neuen Fenster) . Die BeA-Software ist mit dem Jahreswechsel für den elektronischen Rechtsverkehr von Anwälten auf Client-Seite zuständig.
Laxer Umgang mit der Sicherheit
Golem.de wurde bereits 2013 darauf aufmerksam gemacht, dass die EGVP-Client-Software erhebliche Probleme habe. So wurde etwa von Anwälten verlangt, ein Java Runtime Environment zu installieren. Die Projektteilnehmer von EGVP nahmen es mit der Sicherheit allerdings nicht besonders ernst und verteilten veraltete Java-Versionen mit bekannten Sicherheitslücken. Der Download wurde über die EGVP-Webseite direkt angeboten statt auf das Downloadportal des Herstellers der Laufzeitumgebung zu verweisen. Während unserer damaligen Recherchen fielen uns einige Probleme auf.
Noch am 28. Februar 2013, also lange nach der Publizierung, wiesen wir das Projektbüro EGVP darauf hin, dass das Anbieten über die eigene Webseite nicht sinnvoll sei. Das war der Projektgruppe EGVP offenbar bewusst, sie empfahl ihren Anwendern sogar, den Download von der EGVP-Webseite nicht zu nutzen, allerdings nur in der PDF-Dokumentation. Während unserer Recherche verteilte die EGVP-Projektgruppe noch Java 6 Update 38. Nach einer Nachfrage von Golem.de wurde fünf Tage nach Veröffentlichung Java 6 Update 39 auf der Webseite bereitgestellt.
Die Praxis wurde aber, wie sich bis Donnerstag noch zeigte, nicht abgeschafft. Wie eine Nachkontrolle ergab, räumte das Gericht bis heute nicht auf. Die damals von uns verlinkte Downloadseite(öffnet im neuen Fenster) war noch aktiv und belegte den laxen Umgang mit Sicherheitsanforderungen. Auf unseren Hinweis wurde sie am heutigen Freitag vom Oberverwaltungsgericht gelöscht. Zwar war sie ohnehin nicht mehr direkt verlinkt, doch fand sich dort noch Java 6 Update 41. Eine dringend notwendige Warnung für Anwälte, die etwa die veraltete Software noch einsetzen und über Umwege die Laufzeitumgebung auf der EGVP-Webseite entdecken, fehlt allerdings. Oracle beispielsweise handhabt das anders und warnt vor dem Einsatz. Zudem wäre zumindest der Austausch des Downloads auf das Update 45 notwendig.
In der Praxis wurden die Probleme damals umgangen, indem die Laufzeitroutine Teil des EGVP-Clients wurde. Dadurch installierten sich die Anwälte nicht mehr unnötig das Browser-Plugin und machten sich angreifbar. Allerdings erkannte die EGVP-Projektgruppe ohnehin nicht die Gefahr von veralteten Browser-Plugins mit bekannten Sicherheitslücken. Trotz der verzögerten Bereitstellung des Java-Updates versicherte uns die Projektgruppe, "dass für die Nutzer der EGVP-Software zu keinem Zeitpunkt ein Sicherheitsrisiko bestand" .
Die Kapselung von Java hatte jedoch ihre Tücken. Zwar setzte der Entwickler auf eine neuere Version, die kurz nach unserem Artikel finalisiert wurde, doch sie blieb veraltet. Selbst heute ist das der Fall. Der Client wurde offenkundig längst technisch aufgegeben: Er läuft derzeit mit Java 7 Update 51 aus dem Jahr 2014.
Eine Alternative zu BeA fällt weg
Mit der Einstellung des EGVP-Clients verlieren Juristen eine teilweise Alternative(öffnet im neuen Fenster) zum besonderen elektronischen Anwaltspostfach (BeA) . Der EGVP-Client wurde seinerzeit von Bremen Online Services entwickelt. Heute ist das seit 1999 bestehende Unternehmen als Governikus bekannt(öffnet im neuen Fenster) und sieht sich als Spezialist für Sicherheit und Vertraulichkeit. Governikus ist zusammen mit Atos(öffnet im neuen Fenster) zuständig für das besondere elektronische Anwaltspostfach(öffnet im neuen Fenster) ( beA-Präsentation als PDF(öffnet im neuen Fenster) ) und hat auch die AusweisApp 2 in seinem Angebot.
Der EGVP-Client kann noch bis zum Jahreswechsel heruntergeladen werden und wird ab 14. Februar 2018 endgültig seinen Dienst einstellen. Support gibt es seit 2016 ohnehin nicht mehr. Als EGVP-Client-Alternativen gibt es aber eine Liste abgesegneter Software von Drittherstellern(öffnet im neuen Fenster) .