Blog

über aktuelle Entwicklungen der SOLE Software GmbH

Rückblick auf den 27. EDV-Gerichtstag

von Dominik Leibenger am 24. September 2018

Nach einem ereignisreichen Jahr seit Beginn der Vermarktung unserer Produkte waren wir auch in diesem Jahr wieder auf dem Deutschen EDV-Gerichtstag in Saarbrücken vertreten, der mit knapp 900 Teilnehmern nochmals besser besucht war als im Vorjahr. Hier hatten wir einerseits die Gelegenheit, mit zahlreichen bekannten Gesichtern sowie Bestandskunden vertiefende Dialoge zu führen und einige unserer in den vergangenen 12 Monaten umgesetzten technischen Neuerungen zu präsentieren. Andererseits konnten wir auch in diesem Jahr wieder zahlreiche neue, interessante Kontakte knüpfen.

Im Gespräch am Stand auf dem EDV-GT 2018 (Gesellschafter der SOLE Software GmbH v.r.n.l.: Prof. Dr. Christoph Sorge, Prof. Dr. Stephan Ory, Dominik Leibenger). (Foto: © Jennifer Weyland)

Unseren Stand hatten wir in diesem Jahr gemeinsam mit den Kollegen von Backes SRT, der Defendo GbR und jurmatix – als Teil der neu gegründeten Legal-Tech-Initiative Saarland, der wir angehören.


CEBIT, Teil 2

von Dominik Leibenger am 15. Juni 2018

Nach vier Tagen und vielen interessanten Gesprächen auf der CEBIT geht es für uns zurück ins Saarland. Neben (potentiellen) Kunden haben sich auch Vertreter der Politik und Wissenschaft über unser Unternehmen informiert. Zeit für ein Foto haben wir zwischendurch aber auch noch gefunden.

Unser Stand auf der CEBIT 2018 (v.l.n.r.: Prof. Dr. Stephan Ory, Bärbel Ruffing und Dominik Leibenger).

Unsere CEBIT-Bilanz? Es war uns eine Ehre, auf der bekanntesten IT-Messe vertreten zu sein – und doch freuen wir uns darauf, die nächsten Tage wieder voll und ganz an der Weiterentwicklung unserer Produktpalette arbeiten zu können. Es stehen einige Umstellungen an, um MavoRA/MavoBIZ/MavoTAX noch flexibler zu machen. Aber keine Sorge: Unser Anspruch ist und bleibt es, Ende-zu-Ende-Verschlüsselung nach dem neuesten Stand der Technik auch für den IT-Laien nutzbar zu machen. Daran wird sich auch mit zukünftigen Updates nichts ändern.


CEBIT

von Dominik Leibenger am 12. Juni 2018

Heute ist unser erster Tag auf der CEBIT 2018. Wir sind gemeinsam mit anderen Ausgründungen der Universität des Saarlandes in Halle 27, Stand G75, zu finden.

Ob das neue CEBIT-Konzept aufgeht, muss sich noch zeigen – wir sind jedenfalls gespannt! Auch, wenn einige Aussteller der CEBIT den Rücken gekehrt haben, hat die Messe doch viel zu bieten. Wir jedenfalls sind bereit: Unsere Besucher können schon einmal exklusiv einen Blick auf die neue Version von MavoRA werfen und sich von der Einfachheit sicherer digitaler Kommunikation überzeugen.

Auch unsere Nachbarn zeigen spannende Exponate: In unmittelbarer Nähe befinden sich beispielsweise die Stände des DFKI und des CISPA, die einen Einblick in ihre aktuelle Forschung geben.


Aus gegebenem Anlass: Eine Abgrenzung zum beA

von Dominik Leibenger am 5. Januar 2018

Im Kontext der aktuellen Berichterstattung über bekannt gewordene Sicherheitsmängel des von der BRAK betriebenen besonderen elektronischen Anwaltspostfachs beA (vgl. heise, Golem), dessen Nutzung ab dem 1. Januar 2018 verpflichtend für alle Rechtsanwälte werden sollte, erhielten wir Nachfragen verunsicherter Kunden, ob dort aufgedeckte Probleme auch für die von uns betriebene Kommunikationsplattform für Rechtsanwälte und Mandanten (MavoRA) von Relevanz sind. Dies ist nicht der Fall, wie wir im Folgenden kurz darlegen möchten.

MavoRA steht in keinerlei Beziehung zum beA, sondern ist ein eigenständig entwickeltes Softwareprodukt. Es basiert auf von uns am CISPA bzw. der Universität des Saarlandes durchgeführten Forschungsprojekten im Bereich angewandter Kryptographie und verwendet anerkannte und verbreitete kryptographische Verfahren und Open-Source-Bibliotheken. Die Sicherheit für unsere Kunden hat für uns stets höchste Priorität, was zu einer Reihe von Entwurfsentscheidungen führt, die unsere Produkte von vergleichbaren Lösungen abheben.

Verzicht auf Softwareinstallation

Auslöser der aktuellen Berichterstattung zum beA war ein privater Schlüssel zu einem Zertifikat, der als Teil des von allen beA-Nutzern lokal zu installierenden beA-Clients ausgeliefert wurde. Das Zertifikat sollte eine TLS-geschützte, vermeintlich sichere Kommunikation zwischen dem Browser des Nutzers und dem lokal installierten beA-Client ermöglichen. Wie heise berichtete, wurde das Zertifikat nach Bekanntwerden der Veröffentlichung des privaten Schlüssels, die diese Sicherheit unterwanderte, von der ausstellenden Zertifizierungsstelle zurückgezogen und somit die Kommunikation zwischen Browser und beA-Client unterbunden. Der Betreiber des beA empfahl daraufhin (vgl. Golem), das betroffene Zertifikat als Root-Zertifikat zu installieren, womit zwar die Nutzbarkeit des beA-Clients wiederhergestellt war, das Sicherheitsproblem aber auf sämtlichen HTTPS/TLS-Datenverkehr ausgeweitet wurde. (Ob Ihr System dadurch verwundbar ist, können Sie hier prüfen.) Aber auch über dieses konkrete Problem hinaus gibt es in jüngster Berichterstattung Kritik an dem zu installierenden beA-Client, etwa in Hinblick auf Gefährdungspotential durch veraltete Software (vgl. Golem).

Im Gegensatz zum beA erfordert MavoRA keinerlei Softwareinstallation oder sonstige Veränderungen an Endgeräten von Nutzern. Wir setzen ausschließlich auf Technologien, die in allen gängigen, modernen Browsern standardmäßig bereits verfügbar sind. So wird ein Gefährdungspotential durch veraltete oder fehlerhafte Softwarekonfigurationen auf Nutzerseite im Vorfeld ausgeschlossen. Da keine zusätzlichen Berechtigungen benötigt werden, ist die Nutzung von MavoRA nicht gefährlicher als der Besuch einer herkömmlichen Webseite.

Echte Ende-zu-Ende-Verschlüsselung

Beim beA werden – auf einem Hardware Security Module (HSM) – betreiberseitig Kopien privater Nutzerschlüssel vorgehalten, um eine Umschlüsselung von Nachrichten für andere Nutzer zu ermöglichen (Golem berichtet). Eine solche Funktion gibt es bei MavoRA nicht: Nutzerschlüssel liegen hier ausschließlich in den Browsern der jeweiligen Nutzer vor und werden unter keinen Umständen an uns als Betreiber übertragen. Auch eine gegebenenfalls erforderliche Umverschlüsselung etwa beim Gewähren von Zugriffsrechten an andere Nutzer wird bei uns konsequent im Browser berechtigter Nutzer durchgeführt.

Zur Sicherheit der Verschlüsselung im Browser

Einzig die Nutzung des Browsers zur Ver- und Entschlüsselung ausgetauschter Dokumente haben das beA und MavoRA gemein. Der für die Kryptographie zuständige JavaScript-Code ist dazu Teil des Webinterfaces und wird beim Aufruf der Kommunikationsplattform vom Anbieter bereitgestellt. Auch diese Vorgehensweise wird von Golem kritisiert – mit der Begründung, dass dadurch ein Vertrauen in den Betreiber der Serverinfrastruktur nötig sei.

Grundsätzlich gilt, dass bei Verwendung einer Verschlüsselungslösung ein Vertrauen in den jeweiligen Entwickler bzw. Anbieter erforderlich ist. Jedoch ist diese Einschränkung nicht speziell für die beschriebene und auch von uns verwendete Webinterface-Lösung. Auch bei Einsatz eines lokal zu installierenden Softwareprodukts, das die Verschlüsselung implementiert, müsste darauf vertraut werden, dass die Verschlüsselung korrekt durchgeführt wird. Ein zu installierendes Softwareprodukt, das regelmäßig oder gar automatisch mit Aktualisierungen versorgt wird (worauf aus Sicherheitsgründen nicht verzichtet werden sollte), würde sich aus dieser Sicherheitsperspektive nur marginal von einer webbasierten Verschlüsselungslösung unterscheiden.

Um uns Ihr Vertrauen zu verdienen, betreiben wir unsere technische Infrastruktur nach höchsten Sicherheitsstandards. Wir passen unsere Software fortlaufend an technische Entwicklungen an und unsere Prozesse umfassen auch eine regelmäßige Aktualisierung verwendeter Bibliotheken. Unsere Webserver übertragen ausschließlich gesichert via TLS; auf Einbindung von Daten (JavaScripts, Stylesheets, o.ä.) aus externen Quellen verzichten wir gänzlich. Nur so kann eine Manipulation durch Dritte effektiv ausgeschlossen werden, sodass ein Vertrauen lediglich in uns als Betreiber erforderlich ist. Die von uns eingesetzten Rechenzentren befinden sich zudem in Deutschland und sind zertifiziert nach ISO 27001 und ISO 27018.


Erster Eintrag: Startschuss & Impressionen vom 26. EDV-Gerichtstag

von Dominik Leibenger am 2. Oktober 2017

Nach mittlerweile 1,5 Jahren intensiver Entwicklungsarbeit und erfolgreicher, ausgiebiger Erprobung unserer Produkte durch (teilweise) ausgewählte Kundenkreise beginnen wir nun mit der Vorstellung unserer Produkte vor einem breiteren Publikum.

Vom 20. - 22. September 2017 haben wir MavoRA® (Mail vom Rechtsanwalt) erstmals auf dem 26. Deutschen EDV-Gerichtstag in Saarbrücken vorgestellt. MavoRA ermöglicht Rechtsanwaltskanzleien, über eine Webplattform sicher verschlüsselt mit ihren Mandanten zu kommunizieren. Das Produkt erreicht ein Vertraulichkeitsniveau, das vergleichbar zu E-Mail-Verschlüsselung ist, kommt allerdings ohne Einrichtungsaufwand auf Mandantenseite aus: Ein handelsüblicher Webbrowser und ein von der Kanzlei bereitgestelltes Passwort genügen zur sicheren Kommunikation. Interessierte Besucher konnten sich die Software an unserem Stand vorführen lassen und auch selbst ausprobieren. Wie von uns erhofft schätzten die Besucher dabei inbesondere unser sehr einfach gehaltenes Bedienkonzept. Wir erhielten aber auch wertvolles Feedback für zukünftige Weiterentwicklungen – etwa hinsichtlich gewünschter Schnittstellen zu existierender Rechtsanwaltssoftware, die einen Umstieg von unverschlüsselter E-Mail-Kommunikation zu MavoRA weiter erleichtern werden.

Neben potentiellen Geschäftspartnern und Kunden durften wir auch hohe Vertreter der Politik an unserem Stand willkommen heißen. Besonders gefreut haben wir uns über unsere Ministerpräsidentin Annegret Kramp-Karrenbauer und den Staatssekretär der Justiz des Saarlandes Roland Theis, denen wir unsere Software vorstellen durften.

Die saarländische Ministerpräsidentin Annegret Kramp-Karrenbauer (rechts) informiert sich bei Bärbel Ruffing (links) über MavoRA. (Foto: © EDV-GT)
Auch der Justiz-Staatssekretär des Saarlandes Roland Theis (2. von links) interessierte sich für unsere Software (Gesellschafter der SOLE Software GmbH v.l.n.r.: Prof. Dr. Stephan Ory, Geschäftsführer Dominik Leibenger, Prof. Dr. Christoph Sorge). (Foto: © EDV-GT)

Auch auf Twitter

Zeitgleich mit unserer Vorführung auf dem EDV-Gerichtstag haben wir außerdem auch unseren neuen Twitter-Account Twitter @solesoftware in Betrieb genommen, über den wir fortan kurz und knapp über Neuigkeiten zu unseren Produkten und weiteren Entwicklungen in unserem Unternehmen informieren werden.