Support

Um die neue XJustiz-Version 3.5.1, die am 30.04.2025 gültig wird, zu unterstützen, ist ein Update notwendig. Das Update stellt die rechtliche und technische Basis für die weitere Teilnahme am elektronischen Rechtsverkehr für Sie sicher.

Die Installation ist verpflichtend und muss bis spätestens 30.04.2025 abgeschlossen sein, um der Nutzungspflicht der neuen XJustiz-Version nachzukommen und die reibungslose ERV-Kommunikation zu gewährleisten.

Das Update richtet sich ausschließlich an procilon Kunden, die über die proGOV-Plattform (Gateway) am elektronischen Rechtsverkehr teilnehmen. Für Nutzer der eBO-Komplettpakte besteht kein Handlungsbedarf.

Alle Informationen zum Update und zur Installation finden Sie im procilon Support-Bereich:

Ab dem 6. Januar 2025 beginnt Microsoft, bei einigen Outlook-Versionen automatisch auf das neue „Outlook (new)“ umzustellen. Ob Sie von der Umstellung betroffen sind, erkennen Sie daran, dass sich die Erscheinung Ihrer Outlook-Oberfläche ändert.

Wichtig:
Mit der neuen Outlook-Version funktioniert Ihr eBO-Add-in nicht wie gewohnt.

Ihr Outlook wurde umgestellt? Das müssen Sie tun:

Um sicherzustellen, dass Ihnen alle Funktionen Ihres eBO-Add-ins wie gewohnt zur Verfügung stehen, ist es notwendig, das neue Outlook auszuschalten und somit zurück auf die klassische Ansicht umzustellen.

So geht’s:

1. Öffnen Sie Outlook.
2. Suchen Sie nach dem Umschalter „Das neue Outlook“ (oben rechts).
3. Klicken Sie darauf, um die klassische Variante wiederherzustellen.

Falls der Umschalter nicht sichtbar ist, finden Sie hier eine detaillierte Anleitung von Microsoft: So schalten Sie auf das klassische Outlook um. 

Im Gegensatz zur EDIFACT-basierten AS4-Kommunikation (hier werden pro Nachricht 10 Verbindungsversuche unternommen), wird im Fahrplanmanagement nur ein Verbindungsversuch durchgeführt. Sollte dieser nicht erfolgreich sein, bekommt man einen Trail zurück, der eine sprechende Fehlermeldung enthält.

Diese abweichende Behandlung ist notwendig, damit im Prozess FPM eine schnelle Reaktion des Marktteilnehmers erfolgen kann, z.B. einen weiteren Versandversuch oder Umschaltung auf Notfall-Kommunikation (bei S/MIME).

Scheitert der Verbindungsaufbau und damit die Übergabe der Nachricht, gibt das System einen sogenannten Trail in Form eines Attachments in JSON-Form zurück, der den kompletten Lebensweg der Nachricht in der AS4-Cloud enthält.

Dieser sieht aktuell wie folgt aus:

{
   "direction": "outbound",
   "events": [
       {
           "errorMessage": null,
           "errorReason": null,
           "event": "UPLOADED",
           "peerEndpoint": null,
           "timestamp": 1728895845.99388
       },
       {
           "errorMessage": null,
           "errorReason": null,
           "event": "ENQUEUED",
           "peerEndpoint": null,
           "timestamp": 1728895846.01434
       },
       {
           "errorMessage": null,
           "errorReason": null,
           "event": "DELIVERY_STARTED",
           "peerEndpoint": null,
           "timestamp": 1728895846.06824
       },
       {
          "errorMessage": "Unexpected network error communication with
             https://as4-9999995000009.as4test.com/as4",
          "errorReason": "NETWORK_ERROR",
           "event": "DELIVERY_ABORTED",
          "peerEndpoint": null,
          "timestamp": 1728895849.76746
       }
   ],
   "messageId": "7ddcd5f5-d2eb-4dcf-ac09-5e0cd84b8d21@as4energy. com",
   "nrr": null
}

Ausgewertet werden kann dann der rot markierte Block. Hier findet man für die blau markierte AS4-MessageID folgende Informationen:

• "DELIVERY_ABORTED": Nachricht konnte nicht zugestellt werden, Versand wurde nicht erfolgreich beendet
• Fehlerursache: Netzwerkfehler – URL nicht erreichbar.

Seit dem 01.08.2024 ist in der mailbasierten Marktkommunikation der Content Encryption Algorithmus AES128-GCM zulässig. In der proGOV Kernsystem Version <= 3.32.1 wird dieser noch nicht unterstützt.

Hierfür hat procilon die Kernsystem Version 3.34.0 des proGOV veröffentlicht, die den Content Encryption Algorithmus AES128-GCM unterstützt. Das Update ist für unsere Kunden über die bekannten Wege abrufbar.

Bis zum Einsatz der Version 3.34.0 bitten wir Sie, die betroffenen Marktpartner entsprechend zu informieren und zu bitten, weiterhin einen AESXXX-CBC Algorithmus zu verwenden. Die Anwendung dieser Algorithmen ist noch bis zum 01.10.2024 zulässig.

Die AS4-Kommunikation ist davon nicht betroffen.

Ergänzung:
Der BDEW hat dazu auch am 08.08.2024 auf eine Frage eines Martktteilnehmers wie folgt Stellung bezogen: Jetzt lesen auf edi-energy.de

Seit Mitte 2023 wird von Microsoft verbreitet das “neue Outlook” für Windows zum Test angeboten. Der Wechsel erfolgt über den Schalter “Testen Sie das neue Outlook” oben rechts im Anwendungsfenster.
Die hierdurch konfigurierte Outlook-Oberfläche ist eine Outlook-Web-App (OWA)-Version und beinhaltet aktuell einige Einschränkungen.
Im Nutzungsbereich des Elektronischen Rechtsverkehrs sind dies:

• fehlende Möglichkeit externe Adressbücher einzubinden und zu nutzen
• fehlende Möglichkeit der Nutzung des VSTO Add-Ins

Mit dieser Umstellung ist also keine Adressbuchanbindung an den SAFE-Verzeichnisdienst möglich, was die Nutzung des Produktes proTECTr-eBO verhindert.

procilon rät daher dringend von der Umstellung auf das "neue Outlook" ab bis dies alle bekannten Funktionen bereit stellt.

Neben einer positiven NRR (die den ordnungsgemäßen Empfang der versendeten Nachricht beim Kommunikationspartner signalisiert) gibt es auch negative NRR.
Diese wird immer dann gesendet, wenn zwar eine Verbindung aufgebaut und der Payload der Nachricht übergeben werden kann, der Kommunikationspartner aber aus bestimmten Gründen die Nachricht nicht verarbeiten kann.
Häufige Grunde sind beispielsweise:

• es wurde kein PathSwitch (Wechselprozess) durchgeführt
• der Empfänger kann die Nachricht nicht entschlüsseln
• der Empfänger kann die Signatur der Nachricht nicht prüfen

In diesem Fall wird in der NRR ein EBMS-Fehlercode sowie ein Klartextfehler mitgegeben, der wie folgt aussieht:

Die Fehlercodes sind durch die EU spezifiziert und können in den Veröffentlichungen unter eDelivery Services AS4 gefunden und nachgelesen werden.

In jedem Fall muss ein Neuversand der Nachricht durch Sie initiiert werden.

Kann über alle Verbindungsversuche keine Verbindung zur AS4-URL des Marktpartners aufgebaut werden, dann wird weiterhin der Nichtversand der AS4-Nachricht durch einen Transportreport signalisiert. Auch hier muss ein Neuversand durch Sie initiiert werden.

Entsprechend einer uns übermittelten Information des Projektbüros der BLK-AG IT-Standards in der Justiz möchten wir Sie darüber in Kenntnis setzen, dass ab dem 01. 01.2024 für die verschlüsselte Kommunikation im elektronischen Rechtsverkehr nur noch Zertifikate verwendet werden dürfen, die über eine Schlüssellänge von mindestens 3000 Bit verfügen. Diese abgestimmte Maßnahme dient der Aufrechterhaltung eines hohen Sicherheitsniveaus und folgt den Vorgaben der TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik.  

Die von procilon ab April 2023 ausgestellten Verschlüsselungszertifikate entsprechen vollumfänglich dieser Spezifikation und können problemlos weiterverwendet werden. 

Verschlüsselungszertifikate, die vor dem April diesen Jahres ausgestellt wurden, müssen zwingend ausgetauscht werden. Dazu wird procilon, gestaffelt nach Einsatzszenarien, Austauschinformationen bereitstellen und die betroffenen Zertifikatsinhaber entsprechend informieren. Soweit nötig, wird der procilon Support individuelle Aktivitäten vereinbaren und/oder Austauschanleitungen bereitstellen. Sobald diese finalisiert sind, wird procilon diese unaufgefordert übersenden und weitere Schritte vereinbaren.

Von Anfragen an den procilon Support bzgl. des Zertifikatsaustauschs bitten wir zum jetzigen Zeitpunkt Abstand zu nehmen.

Seit dem 01. November 2021 ist im elektronischen Rechtsverkehr die Verwendung von XJustiz-Datensätzen verpflichtend. Vor dem Hintergrund des ständig wachsenden Kommunikationsvolumens und einhergehender automatisierter Verarbeitung der Nachrichten in elektronischen Akten, weist procilon nachdrücklich auf diese Vorschrift und den jährlichen XJustiz Updateprozess, der jeweils bis zum 01.11. eines jeden Jahres abgeschlossen sein muss, hin. Die jeweiligen Änderungen und Aktualisierungen werden turnusgemäß auf der XJustiz-Webseite veröffentlicht.

Die Erzeugung der XJustiz-Datensätze erfolgt unter Verwendung des proTECTr ERV Add-in (E-Mail bzw. Outlook-Integration) in den Systemen proGOV oder proTECTr ERV eBO vollautomatisch.

Folgende Anwendergruppen werden dringend aufgefordert, ein entsprechendes Update durchzuführen bzw. geeignete Maßnahmen einzuleiten, um die Konformität zu den Vorgaben im ERV herzustellen:

• Anwender, die im ERV noch nicht die aktuelle Version von proGOV verwenden.
• Integratoren oder Softwarehersteller, die proGOV als sichere Kommunikationsplattform nutzen, sollten ihre Systeme demensprechend überprüfen bzw. anpassen. Rückfragen stellen Sie bitte via E-Mail an

Mehrere procilon Produkte enthalten die von der Schwachstelle betroffenen Apache Commons Text Bibliotheken. Die Versionen 1.5 bis 1.9 von Apache Commons Text sind anfällig für eine Sicherheitslücke, die bei erfolgreicher Ausnutzung zur Offenlegung sensibler Informationen, zur Hinzufügung oder Änderung von Daten führen kann. Darüber hinaus werden Denial of Service (DoS) Angriffe ermöglicht.

Nach Analyse unserer Softwarelösungen bzgl. der Sicherheitslücke CVE-2022-42889 haben wir für Sie die folgenden Updates für die von der Schwachstelle betroffenen Komponenten bereitgestellt:

• proGOV Kernsystem Version 3.24.3
• proGOV ArchivModul Version 3.24.3
• proGOV ArchivAdapter Version 3.40.1
• proGOV ServerKommunikationOSCI Version 3.52.1
• proGOV OSCIAdapter12 Version 3.32.2
• proNEXT SecureFramework Version 1.15.4 

Alle Versionen (proGOV/proNEXT) mit älteren Releaseständen enthalten Apache Commons Text  < 1.10.0.

Wir empfehlen dringend, das Update zeitnah durchzuführen oder durchführen zu lassen.

Betroffene Kunden können zur Updateunterstützung über die bekannten Kommunikationswege Kontakt mit dem procilon-Support aufnehmen.

Referenz: https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

Wie von der Justiz im letzten Jahr angekündigt, wird am 01.11.2022 die Nutzung der XJustiz-Version 3.3.1 verpflichtend. Dadurch entsteht für unsere Kunden die Pflicht, Ihre Systeme entsprechend zu aktualisieren bzw. aktualisieren zu lassen. Diese XJustiz-Version 3.3.1 wird mit der Version 3.50.3 des Moduls ServerKommunikationOSCI unterstützt.

Wir helfen Ihnen gerne bei diesem wichtigen System-Update. Gerne nehmen wir uns Zeit für einen gemeinsamen Termin mit Ihnen. Bitte bereiten Sie den Update-Termin vor, indem Sie ein VM-Snapshot Ihrer proGOV-Systeme erstellen.

Das ERV Add-In als Web Add-In ist nur noch mit Exchange Online nutzbar. Wenn Sie das ERV Add-In als Web Add-In zentral über einen lokalen Exchange nutzen oder bereitstellen, stellen Sie bitte auf Exchange Online um oder wechseln Sie auf das VSTO. Weitere Informationen dazu finden Sie in unserer Anwenderdokumentation. Bei Fragen kommen Sie gern auf uns zu.

Zentraler Bestandteil des elektronischen Rechtsverkehrs (ERV) ist der Versand von Nachrichten über einen sicheren Übermittlungsweg unter Einbeziehung des vertrauenswürdigen Herkunftsnachweises (VHN oder neu VHN 2). Mit der Veröffentlichung auf der Web-Site egvp.de wurde im ERV die Möglichkeit eingeräumt, den VHN 2 ab Einführung des eBO zu verwenden.

Vor diesem Hintergrund informiert die Bundesrechtsanwaltskammer darüber, dass ab dem 01.07.2022 die ERV-Kommunikation über das besondere elektronische Anwaltspostfach (beA) zentral auf VHN 2 umgestellt wird. Dadurch entsteht für Empfänger von entsprechender ERV-Kommunikation die Pflicht, Nachrichten im Format VHN 2 empfangen und prüfen zu können.

Zukünftig werden weitere Teilnehmer am ERV ihre Systeme auf VHN 2 umstellen. Deshalb stellt procilon ab sofort ein Update seiner Komponenten zur Verarbeitung des VHN 2 für ERV-Nutzer bereit.

Die Durchführung der Aktualisierung wird dringend empfohlen.

Parallel zu den durch des BSI erfolgten Veröffentlichungen zur kritischen Schwachstelle in log4j (CVE-2021-44228), haben wir eine Analyse unserer Softwarelösungen durchgeführt. Im Ergebnis ergibt sich nachfolgender Stand: Auswirkungen von Sicherheitslücke (CVE-2021-44228) auf procilon-Lösungen

• proDESK: keine
• proGOV ab Version 3.15.0:
  proGOV Datenbank-Adapter (alle Versionen bis einschließlich Version 3.3.0), Modul De-Mail (bestimmte Provider)
• proGOV vor Version 3.15.0:
  proGOV Datenbank-Adapter (alle Versionen bis einschließlich Version 3.2.0), proGOV Modul De-Mail (bestimmte Provider)
• proNEXT: keine
• proTECTr: keine

Ein Hot-Fix/Patch für die jeweils aktuelle Software Version ist in Bearbeitung und wird kurzfristig verfügbar gemacht. Betroffene Kunden können schon jetzt über die im Support-Vertrag festgelegten Kommunikationswege Kontakt mit dem procilon-Support aufnehmen. Weitere Informationen zu dieser kritischen Schwachstelle finden Sie auf der Website des BSI.

Betroffen sind möglicherweise alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Der Fehler "(502) Ungültiges Gateway" ist ein temporärer Fehler bei der Kommunikation mit dem jeweiligen Intermediär. Dies ist momentan leider unvermeidbar, da möglicherweise die Intermediäre in allen Bundesländern durch die jeweiligen Betreiber zeitweilig außer Betrieb genommen wurden, um die Schwachstelle zu beheben. Generelle Wartungshinweise erhalten Sie unter egvp.justiz.de

proGOV-Systeme, die mit einer Kernsystem-Version von 3.13.x (Angabe auf der proGOV-Webadmin Startseite) und kleiner betrieben werden, benötigen bis zum 21.11.2021 ein Pflichtupdate, damit diese nach dem angegebenen Datum auf Schlüssel aus der Zertifikatsverwaltung zugreifen können. Ohne dieses Update ist ein funktionaler Betrieb des Systems nicht gewährleistet! Sollten Sie eine entsprechende Version im Einsatz haben, wenden Sie sich bitte an unseren Support unter  oder nutzen Sie unser Anfrageformular.

Ursprünglich sollte der Beschluss BK6-18-032 der Bundesnetzagentur bereits ab 01.07.2020 in Kraft treten. Dieser besagt, dass der Austausch der Fahrplandaten seit 2019 sowohl signiert als auch zukünftig verschlüsselt übertragen werden muss. Durch Corona tritt der Beschluss nun erst ab 01.10.2020 in Kraft. Um Sie bestmöglich darauf vorzubereiten, vereinbaren Sie einfach einen Termin für die Anpassungen im proGOV Regelwerk unter  oder nutzen Sie unser Anfrageformular.

Ab 01.06.2022 können die in der XJustiz-Nachricht mit Sendungspriorität gekennzeichneten Nachrichten (Element "sendungsprioritaet" im Type.GDS.Nachrichtenkopf) von der Justiz auch als solche wahrgenommen werden. Der entsprechende Standard wurde vom IT-Planungsrat freigegeben und wird auf dessen Plattform XRepository bereitgestellt. Die für die Sendungspriorität zu verwendende Werteliste  (Code.GDS.Sendungsprioritaet.Typ3) soll dort rechtzeitig veröffentlicht werden.

Als Hersteller des Drittproduktes proDESK Framework 3 weisen wir insbesondere Hersteller von Fachanwendungen, Systemintegratoren und Anwender, welche den XJustiz Datensatz selber erstellen, auf die Notwendigkeit entsprechender Anpassungen hin.

Für Nutzer des proTECTr ERV AddIn wird ein Update zentral und automatisch ausgerollt.

Die von der PKI der procilon Zertifizierungsstelle (CA) stammenden Zertifikate sind für die Nutzung innerhalb der Marktkommunikation der Energieversorger geeignet und entsprechen den Sicherheitsvorgaben der AG FPM für die Nutzung in der Kommunikation Fahrplanmanagement bzw. den elektronischen Datenaustausch zwischen den Bilanzkreisverantwortlichen (BKV) und Übertragungsnetzbetreibern (ÜNB) im Rahmen des Fahrplandatenaustausches.

Sowohl die CA als auch alle davon abstammenden Zertifikate sind mit dem Signaturverfahren (Signature algorithm) RSASSA-PSS und dem Signaturhashalgorithmus SHA512 ausgestellt. Dies ist laut der Regelung zum Übertragungsweg in der Version 1.5 vom 10.10.2021 im Kapitel 5.3 erlaubt.

Möchten Sie diese Zertifikate konform bei Ihnen einsetzen, empfehlen wir Ihnen, dass die gemäß den Vorgaben der RFC 4056 im Abschnitt 3:

1. The hashAlgorithm field in the certificate subjectPublicKey.algorithm parameters and the signatureAlgorithm parameters MUST be the same.

den Signaturhashalgorithmus SHA512 auch für die Signatur der Nachrichten einsetzen. Dazu ist in der Regel eine Anpassung Ihrer Signaturparameter notwendig.

Am Samstag den 18.12.21 kam es im Zeitraum zwischen 13:30 -15:00 Uhr zu einer Störung der Signaturanwendungskomponente (SAK). Um Fehler auszuschließen, kontrollieren Sie bitte den Dienst bzw. starten Sie diesen neu.

Zur Gewährleistung der größtmöglichen Sicherheit beim Einsatz unserer Produkte setzt die procilon GROUP auf aktuelle Sicherheitsstandards und -technologien. Die Kommunikation der Signaturanwendungskomponente mit dem zentralen Managementservice erfolgt über verschlüsselte TLS-Verbindungen. Zum Aufbau dieser TLS-Verbindungen werden Zertifikate verwendet, die eine zeitlich befristetet Gültigkeit haben. Für die nachfolgend aufgeführten Produkte erlischt die Gültigkeit in den nächsten Wochen.

Produkt: Signaturanwendungskomponente (proNEXT Secure Framework ab der Version 1.7.0 und höher)

Ablaufzeitpunkt des Zertifikats: 28.5.2020

procilon stellt Ihnen kostenlos die neuen Zertifikate zur Verfügung, um nach o.g. Stichtag weiterhin eine reibungslose Funktion zu gewährleisten.

Notwendige Schritte: Austausch des aktuell eingesetzten Truststore
Der Austausch muss auf allen Systemen durchgeführt werden, die proNEXT Secure Framework einsetzen, unabhängig von dessen Version.

Vorgehensweise:
Bitte halten Sie sich an die Hinweise der separat versandten Support-E-Mail. 

Für Rückfragen steht Ihnen unser Support gern zur Verfügung.

procilon hat Maßnahmen ergriffen, um auch wie gewohnt zuverlässig die Service- und Supportqualität aufrecht zu erhalten. Einschränkungen gibt es zur Zeit nicht. Generell ist die Organisation des Support-Teams auf ein hohes Maß an Flexibilität ausgerichtet. Dies betrifft insbesondere die Ausstattung der Mitarbeiter für ortsunabhängiges Arbeiten.

Um auf weitere mögliche Entwicklungen angemessen reagieren zu können, hat procilon präventiv einen informellen, technischen und organisatorischen Maßnahmenkatalog definiert. Insbesondere für Kunden mit Service Level Agreement sind Vorkehrungen getroffen worden, die den Support ortsunabhängig sicher stellen.

Im Sinne der Gesundheit unserer Mitarbeiter, Kunden und Partner hofft procilon auf eine reduzierte Dynamik der Ereignisse. Sollten sich Veränderungen im Support ergeben, werden Informationen dazu an dieser Stelle veröffentlicht.

Für die Abgabe der elektronischen Empfangsbestätigung ist ab 01.09.2019 zwingend die XJustiz Version 2.4 zu verwenden. Siehe auch: https://xjustiz.justiz.de
Dies wird mit dem MP II - 2019 in den Komponenten ServerKommunikationOSCI und eEBManagerService unterstützt.

Aufgrund dringender Wartungsarbeiten werden am 04.07.2019 von 06:45 - voraussichtlich 11:00 Uhr die bei IT.NRW gehosteten Behörden-Postfächer - der Bundesgerichte und -behörden - der Länder

• Baden-Württemberg
• Nordrhein-Westfalen
• Saarland
• Sachsen-Anhalt (nur Justiz)

nicht erreichbar sein.

Am 25.06.2018 hat die Koordinierungsstelle für IT-Standards –KoSIT- einen zeitlichen Ablauf für den Umstieg auf AES-GCM bei der Verschlüsselung in der OSCI-Kommunikation veröffentlicht. Dort wurde ein präziser Umstellungstermin ohne Übergangsfristen festgelegt. Das bedeutet, dass bei der Verschlüsselung der Inhaltsdaten im Bereich XÖV:

• bis zum 31.10.2019 AES ausschließlich mit CBC zu verwenden ist und
• ab dem 01.11.2019 AES ausschließlich mit GCM zu verwenden ist.

Um einen sicheren Betrieb, insbesondere bei den Prozessen XMeld, XAuslaender und XPersonenstand zu ermöglichen, hat procilon in den OSCI-relevanten Technologiekomponenten die entsprechenden kryptographischen Verfahren eingearbeitet. Die Auslieferung der Komponenten erfolgte bereits mit der Version proGOV 3.7. Vor diesem Hintergrund ergeben sich folgende notwendigen Aktivitäten:

proGOV 3.6 und kleiner

proGOV Nutzern bis Version 3.6 oder kleiner wird dringend empfohlen, zeitnah ein proGOV-Systemupdate auf die aktuelle Version durchzuführen, da ansonsten zum Umstellungstermin keine OSCI-Kommunikation in den genannten Prozessen erfolgen kann!

proGOV 3.7 und größer

Zum oben genannten Umstellungszeitpunkt müssen proGOV Nutzer ab Version 3.7 die Änderung der OSCI Konfiguration in den Betriebsmodus GCM entsprechend ändern. Dazu muss vorab der proGOV OSCI Adapter in Version 3.11.x oder höher installiert sein.

Weitere Informationen zum zeitlichen Ablauf des Umstiegs auf AES-GCM in der OSCI-Transport Bibliothek finden sie unter https://www.xoev.de/downloads-2316

Generell empfiehlt procilon, Systeme aus Sicherheitsgründen stets auf dem aktuellen Stand zu halten und Updates zeitnah zu installieren.

proGOV Regelwerk in wenigen Schritten anpassen

Um Ihr proGOV System an den neuen Algorithmus anzupassen, gehen Sie bitte wie folgt vor:

• Wechseln Sie in der AdminConsole zum funktionalen Regelwerk
• Öffnen Sie die Aktion "EncryptSMIME"
• sofern im Feld "Key-Verschlüsselungsalgorithmus" der Wert "RSA/NONE/OAEPWITHSHA1ANDMGF1PADDING" steht, ändern Sie diesen bitte in "RSA/NONE/OAEPWITHSHA256ANDMGF1PADDING"

Hinweis: In der Beschreibung der Aktion ist der Wert als Standard aufgeführt, diesen können Sie einfach per Copy&Paste in das Feld übernehmen.

Oracle verändert Java-Releasezyklus und Supportmodell

Für das Jahr 2019 stehen maßgebliche Veränderungen im Java-Ökosystem an. Hintergrund ist die vollständige Überarbeitung des Java-Releasezyklus und des dazugehörigen Supportmodells durch Oracle. Der Hersteller folgt damit einem Trend, neue Funktionen in sehr kurzen Zyklen auf den Markt zu bringen. Begründet wird dies mit agilen Entwicklungsprozessen, die für die Anwender wesentliche funktionale Vorteile bringen sollen. Neben diesen technischen Aspekten sind aber auch kommerzielle Auswirkungen zu erkennen, denn spätestens ab Java 11 ist für den Einsatz der Oracle JRE in Produktivsystemen der Abschluss eines kostenpflichtigen Supportvertrags bei Oracle notwendig.

Im Sinne einer verlässlichen Produktpolitik hat sich procilon intensiv mit diesen Marktveränderungen auseinandergesetzt und die Auswirkungen unter zwei maßgeblichen Gesichtspunkten analysiert:

• Wie lassen sich procilon-Anwendungen auf dem jeweils aktuellen Stand der Java-Technologie realisieren?
• Wie können Zusatzkosten für Endanwender vermieden werden?

Im Ergebnis dieser Analyse ist festzustellen, dass die procilon-Produkte proGOV und proNEXT hinsichtlich der Server-Funktionalitäten und das Produkt proNEXT Secure Framework hinsichtlich der Client-Funktionen dem aktuellen Stand der Technik entsprechen.

Es ist aktuell kein Fall bekannt, in dem die von den procilon Produkten verwendeten JRE‘s von einer Sicherheitslücke betroffen sind, welche eine Aktualisierung der JAVA-Komponente erfordern. Darüber hinaus laufen die derzeit verwendeten JRE-Versionen stabil. Daher können die zum jetzigen Zeitpunkt verwendeten Java-Versionen auch über den Januar 2019 hinaus weiter genutzt werden.

Sollten für diese Java-Versionen sicherheitskritische Schwachstellen mit Auswirkungen auf procilon Produkte gemeldet werden, wird von procilon kurzfristig eine Alternative zur Verfügung gestellt. Für Anwender soll auch zukünftig der Weiterbetrieb von procilon Systemen ohne einen kostenpflichtigen Supportvertrag bei Oracle möglich sein.

Mit diesen Maßnahmen wird sichergestellt, dass die angestrebte hohe Produktqualität hinsichtlich der Stabilität und des IT-Sicherheitsniveaus erhalten bleibt. Über die jeweiligen funktionalen Neuerungen wird procilon im Freigabeprozess zum jeweils aktuellen MP informieren und veröffentlicht dies auf den Maintenance Pack Webseiten.

procilon ist davon überzeugt, damit ein transparentes und zukunftsorientiertes Vorgehensmodell gewählt zu haben, mit dem procilon-Kunden an technologischen Entwicklungen ohne zusätzlichen kommerziellen Mehraufwand partizipieren.

Aufgrund einer Störung auf Ausstellerseite, kommt es bei der OCSP Prüfung von Usertrust und Comodoca Zertifikaten vereinzelt zu Einschränkungen bei der Signaturanwendung mit proNEXT Secure Framework. Wir arbeiten an einer Lösung.

Störung ist behoben

Aufgrund einer Störung bei Microsoft, kam es in der Nacht auf den 20.06.18 zu Beeinträchtigungen in der Verfügbarkeit der AZURE Cloud Plattform.
Auch Services der procilon waren deshalb teilweise nur eingeschränkt verfügbar.

Seit den frühen Morgenstunden ist die Störung behoben.
Zur Sicherheit wird Kunden der procilon empfohlen, cloud-basierte Dienste neu zu starten und auf reibungslosen Betrieb zu prüfen.

Die Analyse unseres proGOV-Systems bzgl. der unter EFAIL (efail.de) beschriebenen Sicherheitslücken bei der E-Mail Kommunikation mit Ende-zu-Ende-Verschlüsselung (PGP/SMIME) hat ergeben, dass mit den beschriebenen Angriffsvektoren das proGOV-System selbst nicht abgreifbar ist. Dies betrifft insbesondere das proGOV Modul Konvertierung, das bei der Dateikonvertierung keine externen Quellen abruft.
Dennoch besteht für Anwender, in Abhängigkeit des eingesetzten Mailclients, das Risiko, von den in EFAIL beschriebenen Sicherheitslücken betroffen zu sein.
Daher wird procilon für das proGOV-Regelwerk einen zusätzlichen Matcher zur Verfügung stellen, der verschlüsselte Mails bzgl. der CBC/CFB Gadget Attack (siehe unten) filtern kann und entsprechend den Kundenanforderungen weiterverarbeitet. Über die Verfügbarkeit des Filters wird procilon separat informieren.

Die detaillierten Analyseergebnisse:

1. Direct Exfiltration
Bei der Direct Exfiltration versteckt ein Angreifer den zu entschlüsselnden Text in einer abgefangenen und verschlüsselten E-Mail im HTML-Format, in einem nicht geschlossenen HTML-Tag. Wird dann beim Empfänger im Client eine automatische Entschlüsselung durchgeführt, wird der verschlüsselte Code beim Öffnen der E-Mail entschlüsselt. Zurück zum Absender gelangt dieser Code per HTTP-Request.

Diese Art von Angriff führt zu keinem Problem bei unseren proGOV-Kunden. proGOV identifiziert verschlüsselte Parts einer Mail nicht. Kommt eine wie für den Angriff beschriebene Mail beim proGOV an, wird keine Entschlüsselung durchgeführt und der verschlüsselte Teil wird an den Mail-Client weitergeleitet.

FAZIT:

proGOV entschlüsselte solche Mails nicht.

2. The CBC/CFB Gadget Attack
Dieser Angriff zielt auf eine fehlende oder unzureichende Integritätsprüfung der verschlüsselten Nachricht vor der Entschlüsselung ab. So kann ein entsprechender Rückkanal eingebettet werden, ohne dass der Client bei der Entschlüsselung einen Fehler meldet. Dabei werden Schwächen in den Verschlüsselungsstandards und ihren Implementierungen ausgenutzt.
procilon wird für dieses Szenario einen Matcher implementieren, welcher die verschlüsselten Daten auf manipulierte Blöcke untersucht. Findet er solche, dann matched dieser und die Mail kann im Regelwerk entsprechend den Kundenanforderungen behandelt werden.

FAZIT:

proGOV entschlüsselt diese Mails, aber die Gefährdung ist abhängig vom eingesetzten Mail-Client.

Aufgrund einer Havarie bei einem DMDA, kommt es zur Zeit zu Störungen in der De-Mail Kommunikation.
Deshalb bestehen auch beim Nachrichtenversand Beeinträchtigungen. Unser Gateway ist weiterhin verfügbar und prüft permanent die Erreichbarkeit des DMDA. Angefallene Nachrichten werden sofort bearbeitet sobald dieser wieder online ist.

Störung ist behoben.

Ab 01.01.2018 gelten folgende kryptografischen Anforderungen an die sichere Übertragung von EDIFACT-Dateien für die Verschlüsselung und Signatur:

Signierung von Zertifikaten:
RSASSA-PSS

Signierung in S/MIME:
RSASSA-PSS

Schlüsselverschlüsselung in S/MIME:
RSAES-OAEP

Ab sofort entsprechen neu ausgegebene procilon Zertifikate diesen Bestimmungen. Ältere Zertifikate, die vor dem 01.01.2018 ausgestellt wurden, können bis zu deren Ablaufdatum weiterverwendet werden.

Wir möchten Sie darauf hinweisen, dass ungültige D-Trust Gateway-Zertifikate direkt bei D-Trust als "gesperrt" gemeldet werden müssen.

Telefonisch:
Die Sperrhotline ist unter der Rufnummer: +49 (0) 30 25 93 - 91 600 rund um die Uhr besetzt. Bitte legitimieren Sie sich durch die Angabe Ihres Sperrpassworts, das Sie bei der Antragstellung gewählt haben.

Schriftlich:
Einen schriftlichen Sperrauftrag richten Sie bitte an:
Bundesdruckerei GmbH
c/o D-TRUST GmbH
Sperrdienst
Kommandantenstraße 15
10969 Berlin.

procilon empfiehlt noch vorsichtigeren Umgang mit E-Mails

Erhöhte Gefahr durch Tesla, Locky, & Co.
Aktuell treiben zahlreiche (Krypto-)Trojaner ihr Unwesen, weshalb wir dringend empfehlen, die Einstellungen Ihrer Sicherheitsvorkehrungen zu justieren.
So sollten Sie ausführbare Dateien nicht mehr nur markieren sondern direkt löschen. Dies betrifft vor Allem *.bat, *.bin, *.chm, *.cmd, *.com, *.cpl, *.exe, *.hta, *.js, *.lnk, *.pif, *.scr, *.sys, *.vbs. E-Mails mit solchen Anhängen sollten vorsichtshalber komplett davon bereinigt und Anwender sichtbar durch einen Hinweis (Disclaimer) alarmiert werden. Sollten die gelöschten Dateien tatsächlich benötigt werden, können diese dann vom jeweiligen Absender erneut in einem passwortgeschützten ZIP-Archiv angefordert werden.

Schadsoftware kommt auf unterschiedlichsten Wegen
Anfangs versteckt in MS-Office-Makros, später in JavaScript-Dateien (meist in ZIP-Containern) tauchen die Trojaner neuerdings auch über infizierte Webseiten auf. Die ersten beiden Wege kann der jeweils eingesetzte Virenscanner sperren - den "Rest" muss der lokal installierte Client-Scanner abfangen, weshalb es unbedingt notwendig ist, diesen auf dem aktuellen Stand zu halten.

In letzter Zeit kommt es zunehmend zu Meldungen, dass ausgehende verschlüsselte Mails vom Kommunikationspartner nicht entschlüsselt werden können

Ursache
Bei Analysen haben wir festgestellt, dass es sich dabei um Kommunikationspartner handelt, die Zertifikate der beiden Trustcenter "Trustcenter" (ehemals TC Trust) und "Signtrust" einsetzen. Beide Anbieter haben inzwischen den Betrieb eingestellt und mitgeteilt, dass ihre Zertifikate ungültig sind. Dies wurde technisch allerdings nicht wie üblich so realisiert, dass alle Zertifikate für "zurückgezogen" erklärt wurden. Stattdessen hat Trustcenter die ausstellenden CA-Zertifikate zurückgezogen, Signtrust die OCSP- und CRL-Responder deaktiviert.

Resultat
In beiden Fällen werden die Prüfergebnisse der Zertifikatsprüfung vom proGOV als "nicht ermittelbar" interpretiert.

Empfehlung
Wir empfehlen Ihnen zeitnah eine komplette Deaktivierung aller Schlüssel der beiden oben genannten Trustcenter. Die meisten Marktpartner haben schon neue Zertifikate an ihre Kommunikationspartner versendet. Wenn Sie diese bereits in den proGOV importiert haben, achten Sie bitte darauf, den Index der neuen Zertifikate auf "0" zu stellen.