Die Kita-App von Stay Informed scheint in vielen Kindertagesstätten und Kindergärten im Einsatz zu sein. Eltern und Erzieherinnen können sich austauschen und informiert. Geworben wird mit Hosting in Deutschland und dass die Lösung DSGVO-konform sei. Nun kommt heraus, dass es gravierende Sicherheitslücken in der App [bzw. in der Speicherung der Daten] gab, so dass Daten unzureichend gesichert waren. Bis zu 800.000 Personen sind von diesem Datenschutz-GAU bei Stay Informed betroffen. Ergänzung: Mir liegt eine Stellungnahme des externen Datenschutzverantwortlichen von Stay Informed vor, die ich natürlich gerne nachtrage, da sie einige Hintergrundinformationen beinhaltet, die mir aus der Berichterstattung von heise unbekannt waren. Ergänzung 2: Stay Informed hat eine Infoseite eingerichtet.
Anzeige
Kita-App von Stay Informed
Die Stay Informed GmbH hat es sich zum Ziel gesetzt, die Zettelwirtschaft in Kitas, Schulen aber auch in Pflegeeinrichtungen für ältere Menschen, mit denen Angehörige oder Personen informiert werden, durch Apps abzulösen. Der aus Australien stammende Gründer Peter Horner kannte es aus seiner Heimat: Dort landen alle Informationen in einer App und die Nutzer können auf die Informationen zugreifen.
Mit diversen Apps greift die Stay Informed GmbH den obigen Gedanken auf und versucht den Informationsablauf zwischen Einrichtung (z.B. Kita, Grundschule) und Eltern zu managen. Auf der betreffenden Unternehmensseite findet der Interessierte auch zahlreiche Informationen, wie komfortabel das ist, dass das Ganze mit Erzieherinnen entwickelt wurde und DSGVO-konform sei. Das Hosting findet nach ISO/IEC 27001 in Deutschland statt. Alles vorbildlich und die Idee ist ja auch nicht schlecht.
Datenschutz- und Sicherheitsdesaster bei der Implementierung
Ich hatte es bereits Ende der Woche vernommen, und einige Nutzer haben mich darauf explizit hingewiesen – so zum Beispiel Singlethreaded (danke dafür): "Die Stayinformed Kindergarten-App ist auch von einem Datenschutzvorfall betroffen. Bin vermutlich betroffen, da unsere Kita ebenfalls auf diese App setzt. Bin mal gespannt was am Montag von der Kita-Leitung dazu kommt." Dennis Kipker hat es in nachfolgendem Tweet aufgegriffen – ich verlinke mal auf den entsprechenden heise-Beitrag dazu.
Anzeige
Ein anonymer Hinweisgeber hatte die c't Redaktion informiert, dass es bei der Stay Informed Kita-App-Lösung ein massives Datenleck gebe. Auf einem frei zugänglichen Webserver speicherte das Unternehmen ungeschützt große Mengen an Dateien, die laut heise zumindest teilweise von Nutzern der Stay-Informed-App stammten. Der Server war nicht nur ungeschützt und somit öffentlich erreichbar, die Kommunikation fand auch unverschlüsselte über http-Verbindungen statt.
Die c't Redaktion konnte die Dateien auf dem Server einsehen und fand fast 1500 CSV-Dateien mit persönliche Daten einer Vielzahl von Personen. Es waren auch Daten von Minderjährigen darunter. Die Daten umfassten Namen, Geburtsdaten und Anschriften, teilweise Herkunftsländer, Impfstatus, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr, schreibt heise.
Zudem stieß die Redaktion auf dem Server auf über 16.000 Avatarbilder für die von der Lösung bereitgestellt Chatfunktion. Als Avatare wurden auch Fotos von Kindern und Erwachsenen verwendet.
Weiterhin fanden sich auf dem Server PDF-Dateien und Fotos, die von den Einrichtungen für die Eltern hochgeladen wurden, schreibt die c't-Redaktion und ergänzt, dass auch digitale, aber verschlüsselte Unterschriften der Eltern gefunden wurden.
heise beziffert den Kreis der Betroffenen auf über 800.000 Nutzer, denn die App sei in 11.000 deutschen Kitas, Horten und Schulen im Einsatz. Die Redaktion informierte die Stay Informed GmbH am 18. März 2024 über den Sachverhalt. Inzwischen sollen die Daten auf dem Server geschützt sein.
Laut Geschäftsführer Jürgen Thiel bestand das Datenleck nach aktuellem Kenntnisstand "frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023". Betroffen waren "alle Kunden bezüglich Avataren, PDF-Anhängen und Unterschriften". Profilbilder hätten sich nur auf Nutzer des Messenger bezogen.
Datenschutzproblem liegt bei Einrichtungen
Mir ging sofort die spannende Frage im Kopf herum: "Wer ist für die DSGVO-Seite des Datenschutzvorfalls verantwortlich?". Das Unternehmen hat zwar die Fehlkonfiguration zu verantworten – schließt laut heise aber einen Auftragsverarbeitungsvertrag mit den Nutzern (Kitas, Horts etc.) ab. Damit ist die Stay Informed GmbH aus der DSGVO-Frage im Prinzip raus, die Nutzer (Kitas, Horts etc.) der Lösung sind für den DSGVO-Vorfall verantwortlich.
heise schreibt zwar, dass die Stay Informed GmbH die zuständige baden-württembergische Landesdatenschutzbehörde über den Vorfall informieren will. Auch die Einrichtungen, die die App bzw. den Dienst nutzen, wurden am 20. März 2024 informiert. Nun kommt auf die Einrichtungen die Aufgabe zu (eigentlich müsste das bereits erfolgt sein), die zuständigen Datenschutzaufsichtsbehörden und auch Nutzer der Lösung über den Vorfall zu informieren. Details lassen sich ggf. bei heise nachlesen.
Alles in allem eine äußerst unschöne Geschichte, die zeigt, was alles schief gehen kann. Gut gemeint ist nicht immer gut gemacht. Vom Bauchgefühl her dürften wir demnächst häufiger über solche Vorfälle lesen, je mehr digitalisiert wird, umso mehr Fehlermöglichkeiten gibt es.
Stellungnahme des Datenschutzverantwortlichen
Der bei Stay Informed für den Datenschutz extern Verantwortliche, Herr Olav Seyfarth, hat mich direkt per Mail kontaktiert, um einige Fehlinformationen klar zu stellen. Laut seiner Aussage wurde er weder vom Unternehmen dazu aufgefordert, noch wurden nachfolgende Aussagen abgesprochen. Ich trage natürlich gerne diese Informationen hier nach, um das Bild abzurunden und die technischen Sachverhalte aufzuhellen.
- Die in obigem Tweet angerissenen Aussachen von Hr. Kipker, der von "veralteter Software" schreibt, wird vom externen Datenschutzbeauftragten bezweifelt und es wird gefragt, woher er diese Information habe? Dem externen Datenschutzbeauftragten ist nicht bekannt, dass veraltete Software im Einsatz ist!
- heise schrieb (missverständlich und sensationsheischend), dass unverschlüsselt kommuniziert werde. Ich hatte das im Text als "Der Server war nicht nur ungeschützt und somit öffentlich erreichbar, die Kommunikation fand auch unverschlüsselte über http-Verbindungen statt." aufgegriffen, was aber wohl, gemäß nachfolgenden Aussagen, (zumindest für die Stay Informed-App) nicht zutrifft.
Herr Seyfarth führt von seiner Seite folgendes zum Sachverhalt aus: Die App kommuniziert (nach wie vor) durchgängig nur per HTTPS – außerhalb und innerhalb des RZ. Die betreffenden Punkte sind damit aus meiner Sicht abgeräumt und wir können uns auf die nachfolgenden Fakten beziehen.
Wie kam es zur http-Kommunikation?
Wie kam es also dazu, dass der Server per HTTP auf Port 443 diese Daten preisgab? Dazu liegt mir folgende Erklärung von Herr Seyfarth vor: "Beim Einbau des HA-Proxy wurde ein Konfigurationsfehler gemacht, der das RZ-Netz exponierte und aufgrund des am Loadbalancer terminierten vhosts auf Apache default zurückfiel. Daher auch das kurze Logging (debian default). Ohne Frage: 'gehärtet' sieht anders aus, und eine saubere Prüfung nach Changes auch. Dennoch sind es zwei Fehler, die nichts mit veralteter Software oder ungeeigneter Architektur zu tun haben. Heise wusste das und hat es dennoch so geschrieben."
Die Sache mit den 1500 CSV-Dateien
Sehr peinlich sei auch, dass die 1500 CSV-Dateien noch auf dem Server lagen, schreibt der externe Datenschutzbeauftragte. Zum Hintergrund folgende Erklärung: "Es handelt sich um aus Drittsystemen exportierte Dateien. Die Einrichtungen hatten versucht, diese (überbordenden) Daten zu importieren. Da dies fehlschlug, hätte die Datei sofort gelöscht werden müssen. Das fiel irgendwann auf und wurde behoben. Aber jemand hat vergessen, die Dateien zu löschen."
Seit Anfang 2022 erfolgt, laut externem Datenschutzbeauftragten, eine automatische sofortige Löschung nach erfolgreichem und nach abgebrochenem Import. Auch das ist peinlich für eine Firma, die mit "DSGVO-konform" wirbt, schreibt der Datenschutzbeauftragte und meint "Das will ich nicht beschönigen".
"Es liest sich aber so, als verarbeite die Stay Informed Lösung regulär solche Datenarten. Wenn das so wäre, dann müsste die Speicherung auch verschlüsselt erfolgen. Die Lösung ist aber bewusst weder zur Entwicklungsdokumentation vorgesehen noch für sensible Daten ("besondere Kategorien" i.S.d. DSGVO) ausgelegt."
"Explizit danken möchte ich für die in Ihrem Blog hohe Qualität der Kommentare – das liegt natürlich hauptsächlich an Ihren Richtigstellungen und der zugrunde liegenden tiefen Sachkenntnis. "
An dieser Stelle mein expliziter Dank an Herrn Olav Seyfarth für die Insights und Richtigstellungen. Habe ich selten – und im Grunde wird mein Bauchgefühl bestätigt: Von der Konzeption her scheint der Ansatz von Stay Informed (wie beworben) DSGVO-konform angelegt zu sein. Die Probleme liegen in der Praxis:
- Problem Nummer 1 ist auch mein persönlicher Alptraum: Du konfigurierst etwas auf dem Server, es passiert ein Fehler, und Du bekommst nicht mit, dass der Server oder ein Inhalt offen steht – so was passiert.
- Problem 2, was ich sehe: Die Anwenderschaft, die eigentlich ein DSGVO-Konzept haben müsste, welches festlegt, was überhaupt auf die Server von Stay Informed darf.
Zum zweiten Punkt wurde die Frage ja in den Kommentaren angerissen: Die Kommunikation zwischen Einrichtung und Eltern ist die eine Sache. Eventuell weitere, sehr sensible Daten aus dem persönlichen Bereich wie Religionszugehörigkeit oder Herkunft über die Anwendung zu speichern war bzw. ist in meinen Augen eher nicht so klug. Ich verweise diesbezüglich auf diese EU-Klassifizierung zur Rechtsgrundlage der Datenverarbeitung. Aber dazu hat der Datenschutzbeauftragte oben ja ja etwas geschrieben.
Stay Informed Infoseite
Ergänzung 2: Stay Informed hat eine Infoseite eingerichtet. Leser haben darauf hingewiesen und die Kollegen von heise haben in diesem Artikel einige Informationen daraus aufbereitet.
Da ich aus der Leserschaft mit "will sich der Anbieter aus der Verantwortung stehlen" direkt kontaktiert wurde, einige Worte. Ich habe die Infoseite von Stay Informed quer gelesen – der Inhalt der Infoseite spiegelt die Aussage des externen Stay Informed Datenschutzverantwortlichen, dass die Geschäftsführung auf maximale Transparenz setzt, in meinen Augen gut wieder. Die Leute legen offen, was sie offen legen können – hat man selten.
Es ist auch korrekt, dass Stay Informed keine direkte Information der Betroffenen (Eltern) vornehmen kann, da es schlicht keine Vertragsbeziehung gibt. Die Einrichtungen (Kitas, Schulen etc.) müssen Betroffene informieren und den Datenschutzvorfall melden. Hier liefert die Infoseite ja genügend Details. Was das alles an juristischen Implikationen zur Folge hat, wird nur ein Anwalt beantworten können.
Aber unter dem Strich eine ganz grobe Daumenregel, die ich in nachfolgenden Kommentaren und anderen Blog-Beiträgen schon mal reflektiert hatte: "Wer im Datenschutz-relevanten Umfeld persönliche Daten erfasst und verarbeitet, hat die DSGVO-Verantwortung, benötigt die Zustimmung der Personen, deren Daten verarbeitet werden, muss sich Gedanken um ein Datenverarbeitungskonzept machen, und hat besondere Pflichten/Obliegenheiten, wenn sensitive Daten wie Religion, Gesundheitsdaten, Herkunft etc. gespeichert werden."
Das alles mal eben offiziell per WhatsApp oder mit anderen Dienstleistern durch das Internet blasen, geht nicht bzw. wird den Verantwortlichen auf die Füße fallen. Besonders lustig wird es, wenn US-Software-Firmen (ich denke an Adobe mit dem Acrobat/Reader oder auch Microsoft mit Office 365) AI-Funktionen einführen und dort plötzlich Dokumente ausgewertet und Daten an externe AI-Modelle übertragen werden. Aber das ist ein Thema, das in den kommenden Monaten erst auf die IT-Verantwortlichen zukommt.
Zurück zum konkreten Fall: Kommt es zu einem DSGVO-Vorfall, muss die verarbeitende Stelle Betroffene nach Kenntniserhalt informieren und den Sachverhalt bei der zuständigen Datenschutzaufsicht (binnen 72 Stunden) melden.
Ob dann Auftragsdatenverarbeiter in Regress genommen werden können, ist letztendlich im Fall der Fälle eine Sache der Juristen. Das ist aber nur meine Sicht als Außenstehender – bestätigt von Datenschutzbeauftragten – aber trotzdem keine Datenschutz- und Rechtsberatung.
Anzeige
Gutes Beispiel für wie sinnlos die DSGVO ist.
Ja, der Gedanke kam mir auch. Wenn eine Kita oder ein Träger das Thema Kita-App als Dienstleistung einkauft, dann ist das erstmal positiv zu sehen. Besser etwas professionelles einkaufen, als selber etwas basteln von dem man keine Ahnung hat.
Problematisch sehe ich, dass sich der Anbieter in dem Falle mit dem Vertrag zur Auftragsdatenverarbeitung (vermeintlich) komplett aus der Affäre ziehen kann. Die Daten wurden durch Schlamperei schlicht veröffentlicht. Wenn es dafür keine Strafe / Bußgeld gibt, wie soll es jemals besser werden?
Ist leider ein weit verbreiteter Irrtum. Wenn ich mir ein Windows-System mit Office hinstelle, und dann beginne, persönliche Daten zu verarbeiten, bin ich dafür verantwortlich, wenn es zu einem Datenschutzvorfall kommt – und nicht Microsoft.
Und das ist auch logisch und gut so. Man stelle sich vor, es wäre anders: Jeder verarbeitet Daten und bei einem Vorfall ist dann die verwendete Software schuld? Ergo wäre die Datenschutzverantwortung ausgehebelt. Ich habe mal an einer Veranstaltung einer Kassenärztlichen Vereinigung als "Mäuschen" teilgenommen. Ein Jurist meinte: Verantwortlich ist der Arzt, wenn es einen DSGVO-Vorfall in seinem Umfeld gibt. Er kann aber den Ersteller des Praxisverwaltungssystems (PVS) und/oder den IT-Dienstleister, der das zu verantworten hat, in finanziellen Regress nehmen.
Kann man so sehen, muss man aber nicht. Wie viele Menschen prüfen denn ob eine Brücke "in Ordnung" aussieht bevor sie diese zu Fuß, per Rad oder mit dem Auto überqueren?
Müssten nach der aufgeführten Logik alle machen. Tut aber keiner. Das Prüfen der Brücken überlassen sie den zuständige Stellen und setzen voraus, dass es korrekt durchgeführt wird. Wenn überhaupt einer an so was denkt.
Warum sollten also "nur" Anwender – zu mal solche ohne jeglichen technischen Hintergrund – nicht darauf vertrauen dürfen, dass die bereitgestellten technischen Hilfsmittel korrekt konfiguriert und geprüft sind?
Ich wiederhole mich da gerne – IT-Sicherheit und Datenschutz fängt bei den Herstellen an – dann kommt Lichtjahre lang gar nix – und dann irgendwann die Administratorinnen und Administratoren und ganz zum Schluss die Nutzerschaft. Alles andere ist das Pferd von hinten Aufzuzäumen.
Zu "Kann man so sehen, muss man aber nicht." – die Juristen sind da imho klar. Eine Prüfbehörde gibt es ja leider nicht in diesem Bereich. Ist unbefriedigend, aber genau aus diesem Grund weise ich immer wieder darauf hin: "Verantwortlich bei einem DSGVO-Vorfall ist immer der, der die Daten erfasst und gespeichert hat".
Ja, deswegen ist es ja überfällig das sich die Rechtslage endlich ändert und zuvorderst mal ein Haftungsrecht für IT-Produkte-Hersteller eingeführt wird.
Geht es hier um eine Eingekaufte Software oder nicht doch um mehr? Eine Eingekaufte Dienstleistung als Ganzes?
Klar, wer mit einer Tabellenkalkulation Daten erfasst und speichert, muss selber dafür Sorgen, das der Speicher nicht offen im Netz steht. Aber wenn ich einen Dienstleister dafür bezahle ein rechtskonformes Angebot zur Verfügung zu stellen, dann soll ich am Ende doch selber dafür haften, das es auch wirklich rechtskonform ist? Obwohl der Kunde das ja gerade deshalb als Dienstleistung Einkauft, eben weil er selber das nicht kann und folglich wahrscheinlich auch nicht einmal überprüfen kann…
Das ist absurd !
Genauso absurd, wie die Autoindustrie -Lobbyisten es schon jetzt geschafft haben, auch künftig die Haftung für Unfälle dem Besitzer eines Autos zuzuschieben (Halter-Haftung), selbst dann wenn das Auto Level5 vollautonom fährt.
Das ist die übliche Methode der organisierten Verantwortungslosigkeit seitens der Industrie, die zwar Verkaufen aber für nichts haftbar gemacht werden will.
Im übrigen ist so eine Verantwortungsübertragung Innovationsfeindlich! Wer nicht für seinen Murks haften muss, wird weniger motiviert sein, das Produkt zu verbessern. Denn nur Verkaufen bringt Geld in die Kasse, Forschung und Entwicklung kosten ja nur …
Und – macht Glyphosat nun Krebs oder nicht? Um diese Frage wird immerhin noch gestritten. Die Haftung von vornherein von den Schultern der Software-Programmierung und Hardware-Herstellung zu nehmen, ist skandalös.
Und die öffentliche Wahrnehmung inzw. dermaßen abgestumpft, das es nicht mal mehr kritisiert wird.
Die Systematik dahinter kommt der Vorstellung gleich, das es einen Konzern gäbe, welcher weltweit Chauffeure zur Verfügung stellt. Und aufgrund seiner Marktmacht und seines vielen Geldes überall Gesetze lobbyieren würden, welche die Fahrfehler der angestellten Chauffeure grundsätzlich frei von jeglicher Verantwortung stellt. Da hätte der Nutzer sein Auto eben selbst steuern müssen … statt unsere Dienste zu buchen.
Ist sehr ähnlich wie mit den Weißkitteln, die nach wie vor nur sehr selten für Fehler haften. In dem Falle stark traditionell bedingt. Nach dem Motto: "Götter kritisiert man nicht" …
Sehe ich definitiv anders! Wer persönliche Daten verarbeitet, ist verantwortlich!
Aber wenn man doch damit schon wirbt:
"Stay Informed Kids ist ein in sich geschlossenes Informationsportal: eine Datenbank, die wir auf einem gesicherten Server für Sie einrichten."
Dann geht man doch als Kunde davon aus, dass alles sicher sein sollte.
Wieso sollte ich ein Produkt kaufen, bei dem ich Infos etc. im Netz für alle Elteren bereitstelle, die ich dann dann aber wieder alles schwärzen müsste damit ja nichts passiert.
Dann kann ich doch gleich im analogen Zeitalter verbringen.
Enthebt dich aber nicht von der Verantwortung. Du erhebst Daten, Du hast die Verantwortung und musst ggf prüfen, ob der Auftragsdatenverarbeiter auch zuverlässig ist. Dass das durchaus ein Problem darstellt, steht auf einem anderen Blatt. Für Stay Informed ist das der Gau, die können nur darauf hoffen, dass die Kunden sich "wegducken" und die Meldung vergessen, und die Datenschutzaufsicht sagt "ist nix passiert". Spannend wird sein, ob Anwälte drauf springen und aus dem Fall Kapital schlagen, indem sie betroffene Eltern "anwerben".
Ich hab etwas Probleme mir das konkret vorzustellen:
"Die Einrichtungen hatten versucht, diese (überbordenden) Daten zu importieren. Da dies fehlschlug, hätte die Datei sofort gelöscht werden müssen. Das fiel irgendwann auf und wurde behoben. Aber jemand hat vergessen, die Dateien zu löschen."
Es gab .csv-Dateien, die Irgendjemand (Sachbearbeiter/Kita-Personal?) importieren wollte. Das ganze vmtl. über die Weboberfläche(?) der Anwendung. Der Import schlug aufgrund der Größe fehl, die Daten lagen dann auf dem Server. Da wäre für mich die Frage, war es an der Stelle für den Nutzer erkennbar, was war das für eine Schnittstelle und was waren das für Daten?
Jetzt gab es den Auftragsdatenverarbeitungsvertrag. Wenn es darin geregelt war, dann gehe ich grundsätzlich auch mit. Ich frage mich aber an der Stelle wie das Ganze aufgebaut war? Welche Daten man wo und wie hochladen konnte und warum?
"Weiterhin fanden sich auf dem Server PDF-Dateien und Fotos, die von den Einrichtungen für die Eltern hochgeladen wurden, schreibt die c't-Redaktion und ergänzt, dass auch digitale, aber verschlüsselte Unterschriften der Eltern gefunden wurden."
Haben die Eltern hier ebenfalls Dokumente hochgeladen oder war es die Kita? Welche Aufgabe hat eigentlich der Server?
Wenn ich mit den Eltern kommuniziere dann ist es doch an bestimmten Stellen unvermeidbar, dass dass da irgendwelche schützenswerten Daten "ausgetauscht" werden. Oder hätte man grundsätzlich solche Daten gar nicht hochladen dürfen?
> die … Kitas, Horts … sind für den DSGVO-Vorfall verantwortlich.
Ich mache hin und wieder ehrenamtliche Naturführungen für Grundschulen und Kindergärten. Wie weltentrückt die holde Weiblichkeit in Gestalt der Erzieherinnen da vielfach unterwegs ist, ist atemberaubend. Man kokettiert geradezu mit Unkenntnis in Sachen Technik und Naturwissenschaften. M. E. sollten solche Anwendungen aus Kindergärten und Grundschulen verbannt werden. Die Mehrheit der Eltern und Erzieherinnen ist schlichtweg zu doof für Informationssicherheit.
Du kannst aber hier in diesem speziellen Fall nicht die Erzieher und Lehrer dafür verantwortlich machen. Die Anweisung zur Verwendung einer App oder eines Portals kommt von den zuständigen Ämtern, bzw. wird das auf Antrag von diesen abgesegnet. Ich verlange nicht von einem Pädagogen die Einhaltung von Informationssicherheit.
Ich denke das ist auch etwas falsch (auch von heise.de) ausgedrückt worden: Die Träger dieser Einrichtungen sind nun für diesen DSGVO Vorfall verantwortlich. Und das finde ich auch genau richtig!
Wenn ich oder meine Kinder betroffen wären, würde ich am Montag meinen Anwalt beauftragen, Schadenersatz einzufordern.
Zu "Ich verlange nicht von einem Pädagogen die Einhaltung von Informationssicherheit."
Wieso eigentlich nicht? Machen wir Informationssicherheit nach Nasenfaktor – Du bist Pädagoge und darfst tun und lassen wie dir beliebt? Kann es nicht sein – imho. Es kommt darauf an, ob es Verfahren und Regeln für Beschäftigte gibt, die eingehalten oder verletzt wurden. Der Träger wird aber die Meldung als Verantwortlicher machen müssen.
Wie hätte denn bitte der Pädagoge hier in diesem Fall das bitte verhindern sollen? Wie schon weiter unten der Vergleich mit der gebauten Brücke. Ich vertraue als Benutzer der App/Brücke, dass alles nach geltender Vorschrift/Sicherheit installiert/gebaut wird. Ich bin IT Dienstleister und habe mit Brückenbau aber so gar nichts am Hut und muss mich einfach darauf verlassen können.
Richtig ist aber, dass der Träger der Einrichtung den Einsatz prüfen (lassen) muss. Im Vergleich mit der Brücke könnte das vielleicht die Straßenmeisterei sein.
Es gibt auch Erzieher! Ist zwar recht selten, kommt aber vor. Ich schweife ab. Ich denke, dass es besser ist Benutzer zu schulen als zu versuchen sie vor sich selber zu schützen. Wir alle werden förmlich zu digital bzw. online gezwungen.
Dem Schulen sind aber enge Grenzen durch die Aufnahme- und Verständnisfähigkeit der zu Schulenden gesetzt. 90% des Personals in Kitas geraten bereits bei sehr simplen Anwenderaufgaben an ihre Grenzen und ob sie etwas auf ihrem Rechner oder einem Server oder einem externen Laufwerk speichern, können sie nicht nachvollziehen. Sie verstehen auch nicht den Unterschied zwischen einem lokal installierten Programm und einer Webanwendung. Auch die jüngere Generation nicht, die nur Handys und Tablets kennen. Du kannst die 24/7 schulen und trotzdem wird da in den meisten Fällen nicht viel ankommen. Ich spreche aus Erfahrung.
Aber trotzdem digitalisiert man diesen Bereich auf Teufel komm raus. Das wird noch lustig werden.
Dazu fällt mir wieder ein wie meine Schwester (Grundschullehrerin) gebeten wurde als IT-Beauftragte an ihrer Schule tätig zu werden. Sie hat mit IT halt wirklich gar nichts am Hut und kann halt nur so halbwegs mit ihren Smartphone umgehen und bekommt mit Word Dokumente erstellt.
Das lässt schon tief blicken. Wieso man es nicht hin bekommt auf Landkreisebene hier einfach Profis machen zu lassen die einheitliche Standards umsetzten verstehe ich einfach nicht. Jede Schule kocht ihr eigenes Süppchen, je nach zufälliger Kompetenz der Leute vor Ort.
Mich wundert diese Meldung leider wirklich nicht mehr. Ich hatte auch hier schon mehrfach die Arbeitsweise und das (mangelhafte) Know How der kummunalen Dienstleister kommentiert. Mich erschüttert auch immer wieder die Gleichgültigkeit der Mitarbeiter dieser Unternehmen. Einfach furchtbar. Sowas macht mich einfach nur noch wütend, weil ich leider auch noch zwei Kinder im Gymasium habe. Aber so wie es in der Bundespolitik läuft, so läuft es auch in den Ländern und Kommunen. Dieses Land ist durch und durch korrupt. Wir werden jahrzehnte brauchen, diesen Sumpf trockenzulegen.
Zu "Dieses Land ist durch und durch korrupt. Wir werden jahrzehnte brauchen, diesen Sumpf trockenzulegen."
Die Aussage würde ich definitiv so nicht stehen lassen – ist auch ein Sprachduktus, den ich so nicht im Blog als Kommentar haben möchte. Wenn es konkrete Korruptionsnachweise gibt, ist das eine strafbare Angelegenheit und gehört juristisch aufgearbeitet. Dass einiges im Kontext der Meldung IT-Technisch im Argen liegt, da bin ich bei dir. Korruption ist aber etwas anderes.
Es war ungeschickt, Korruption in den Zusammenhang dieses Vorfalls zu bringen. Meine Aussage zu Korruption im Allgemeinen bei der Vergabe von derartigen Dienstleistungen basiert aber auf eigenen Erfahrungen. Viele dieser Vergabeverfahren bewegen sich in der Grauzone, sodass man juristisch nur schwer dagegen vorgehen kann.
"ist auch ein Sprachduktus, den ich so nicht im Blog als Kommentar haben möchte."
Das ist deine Entscheidung, weil dein Blog. Nur wegschauen ist nicht die Lösung. Wir haben schon zu lang weggeschaut. Das Ergebnis sehen wir jetzt nicht nur in der IT.
"Korruptionsnachweise"
Augen auf machen und SELBER denken hilft.
Ein System (Führungsebene der Parteien und Wirtschaft) das sich selbst den Anstrich "demokratisch" gibt, muss sich an seinen Ergebnissen messen lassen. Das Ergebnis von 75 Jahren "Demokratie" ist nun, eine krasse und immer krasser werdende unausgewogene Vermögensverteilung. Wenn innerhalb eines Gesellschafts-Systems etwas zu Unzufriedenheit und Verdruß (Gegenteil von "Glück" –> BRD auf Platz 24 Abgerutscht …) führt, dann ist es Ungerechtigkeit und ein Mangel von gleichen Chancen für alle.
Gerade bei der Chancenverteilung ist nicht nur am Bildungssystem sondern auch am politischen System sehr sehr klar erkennbar, das es überhaupt nicht (ernsthaft) gewollt wird, das Leute gleich ihrer Herkunft (Elternhaus) tatsächlich gleiche Chancen hätten.
Im Übrigen geben die in Italien seit Jahrzehnten mit Mafia-Strukturen befassten und insofern sehr erfahrenen Staatsanwälte auf die Frage "wo es denn Korruption gäbe" die simple Antwort: "Korruption ist ÜBERALL dort wo Geld ist. Und je mehr Geld dort ist, desto mehr Korruption gibt es da auch" Eine einfache aber allgemeingültige Aussage – leider!
Und welche Partei/en in der BRD seit Jahrzehnten Gesetze zur Kontrolle und Unterbindung von Lobbyismus und Korruption massiv bekämpft, verschleppt und behindert haben, ist ein offenes Geheimnis. Die gleichen Partei/en fallen auch regelmäßig, immer wieder mit konkret nachgewiesenen Korruptionsfällen auf … mal lässt man sich von Familie Əliyev (Aliyev) aus Aserbaidschan kaufen, die nächst beste Gelegenheit (Pandemie-Krise) nutzt man, um sich die Taschen mit Masken-Deals zu füllen und generell ist auch bekannt welche Partei/en so viele "Nebenbeschäftigungen" und Beraterfirmen wie keine andere am Laufen hat. Immer wieder stellt man sich auch ganz offen hin und kooperiert als Minister mit privaten Konzernen, man denke an das Bild von Frau Klöckner mit Vertretern von Nestle. Auch das Verkehrsministerium ist sozusagen schon Traditionell ein solcher Hort der "Kooperation" mit der Wirtschaft … "public privat partnership" ist auch nur ein anderes Wort für Korruption! Egal ob "der Staat" Tunnel, Brücken, Teile vom Autobahnnetz oder das Mautsystem "outsourced", damit Investoren sich eine goldene Nase daran verdienen können … dumm wer glaubt, das die Einfädelnden Politiker sich dafür nicht mindestens durch ein nettes Pöst'chen nach dem Amt entlohnen lassen … die einen schmeißen Jahrzehnte alte Absprachen über den Haufen und drücken dem Steuerzahler dann doch wieder die alleinige Verantwortung für den Atommüll aufs Auge und sitzen danach – oh Wunder – in eben der Firma die am meisten davon profitiert … andere Schaden "dem Steuerzahler" oder eben "dem Volk" auf vielfältige andere Weise … marode, disfunktioniale Infrastruktur wo man auch hinschaut und überall völlig überteuerte Projekte, da ist die "Digitalisierung" im Gesundheitssystem ein schönes Beispiel, wenn man bedenkt wie viele aber-Milliarden da inzw. in die Software-Entwicklung geflossen sind und man sich das dürftige, mangelhafte, grauenhafte Ergebnis anschaut …
Nee, man muss schon außerordentlich Ignorant sein, unbedingt glauben zu wollen das alles mit rechten Dingen zugeht.
Jan Böhmermann hatte vor einiger Zeit eine sehr schöne Sendung mit dem Thema "Cancel Culture" … wo er die Mechanismen gut darstellte, wie man das Rechtssystem Missbraucht um Kritik oder einfach nur andere Meinungen zu unterdrücken. Man schafft Angst mit dem Recht des (finanziell) Stärkeren … und alle die sich diesen "tollen" Rechtsstaat nicht leisten können, sollen mal schön Kuschen. Trotz sehr weiter Auslegung der Meinungsfreiheit durch das BVerfG. Horrende, ruinöse Geldbeträge dienen zur Abschreckung, Einschüchterung derer, die sich überlegen müssen ob sie sich offene Kritik und freie Meinungen leisten können/wollen. Dümmliche Gesetze wie das unsägliche "Netzwerkdurchsetzungsgesetz" dienten wohl eher dem Zweck, im Netz für Unsicherheit zu sorgen, als tatsächlich für "Ruhe, Recht und Ordnung" zu sorgen.
Während das gemeine Volk dazu verdammt werden soll "im Zweifel" lieber das Maul zu halten, verunglimpft und beschimpft die politische Klasse eben jener am meisten korrupter Parteien große Teile ihrer Untertanenschaft. Schutz vor Hetze aus der Politik? Hetze gegen Bürgergeld- und andere Leistungs-Empfänger … ist erlaubt, wenn sie von der Politik selbst kommt? Maßgeblich ausgerechnet von einem Mann, welcher selbst wie kein anderer für den internationalen Finanzterrorismus steht! Blackrock ist Finanz-Terror! Weil die Macht des Geldes nichts anderes als ein Terror-Regime ist. Darüber sollten sich die Menschen mal klar werden, statt allen Schwachsinn einfach zu glauben, denen man ihnen seit Jahrzehnten "erzählt" (Narrative = Erzählungen). Politiker sind Erzähler …. wie sie ja über sich selber sagen, ganz offen, immer wieder in Talkshows. Ihr müsst nur alle mal hin hören und verstehen was diese Leute auf offener Bühne zum Besten geben. Dazu muss man lernen deren Sprache zu verstehen … nach bald 40 Jahren Allgemeininteresse und Beobachtung des öffentlichen Lebens auf vielen Ebenen, mag es sein, das man mehr zwischen den Zeilen raus hört als Otto-Normal-Nachrichten-Zuschauer ohne allzu intensiven Interesse an all dem was gesellschaftlich und politisch passiert.
Prof. Wolfgang Merkel erklärte (sofern man versteht was er da sagt) kürzlich indirekt sehr schön, wie kaputt das politische System ist, in der Sendung Kulturzeit vom 19.03.2024 (siehe Mediatheke). Im Kern geht es darum, das politische Ergebnisse viel zu sehr von der monetären Kraft einzelner Gruppen oder gar Einzelpersonen abhängig sind … ob dieser Mißstand je überwunden wird, halte ich persönlich für sehr zweifelhaft. Weil NIEMAND im System der Aufgabe nachkommt, Menschen (Jugendliche, Schüler, Studenten) das selbstständige Denken beizubringen. Die besten Chancen dies zu lernen hat man, wenn man sich für Naturwissenschaften Interessiert, denn die funktionieren ausschließlich Faktenbasiert auf der Wahrheit von Naturgesetzen. Da kann man nichts schön reden und verbiegen, wie in vielen anderen Disziplinen die sich mehr von Alternativen als von tatsächlichen Fakten nähren.
Übrigens – mit der Forderung etwas doch bitte konkret Nachzuweisen arbeiten gute Juristen. Das offensichtliche wird immer wieder gerne in Zweifel gezogen, um das Strafmaß mindestens zu mildern, wenn nicht sogar einen Freispruch heraus zu schlagen.
Wenn man sich auf der Meinungsebene darauf Einlässt nur absolute Fakten zulassen zu wollen, hat man den Kampf um die Wahrheit verloren. Warum eigentlich nicht mal die Beweislastumkehr zur Abwechslung? Kann man nicht gerade von der Politik mit Fug und Recht Einfordern, das sie ihre saubere Weste gefälligst nachzuweisen hat?! Die reden doch immerhin auch ständig vom sich "ehrlich machen", aber sie machen es nicht! Warum wohl nicht!
PS: fragt mal Google nach dem "Korruptionswahrnehmungsindex (CPI)" die BRD auf Platz 9, Großbritanien Platz 18, USA Platz 24 …
Again: Die Diskussionen gehören hier nicht in den Blog – wenn Du da Handlungsbedarf siehst, geh gegen vor. Bitte verschone aber die Leserschaft mit der politischen Diskussion – danke.
Danke, Herr Born!
> Dieses Land ist durch und durch korrupt. Wir werden jahrzehnte brauchen, diesen Sumpf trockenzulegen.
Korrupt? Ich weiss nicht, vermutlich eher doof bis zur Lebensunfähigkeit. Ich glaube wir haben nicht nur in der IT das 'Niveau' von youtube.com/watch?v=gnLKO2cvzk0 längst eingeholt.
Durch diese Korruption wird jeglicher Wettbewerb außer Kraft gesetzt. Nur dadurch können sich solche Firmen/Mitarbeiter weiter am Markt halten. Am Ende sinkt das Niveau bis auf "doof". Im Grunde hast du schon recht.
Ich frage mich ja wirklich, wie dort Gesundheitsdaten (Impfstatus) hinkommen? Wenn ich das richtig verstanden habe, wird die App dafür genutzt die Eltern über anstehende Termine zu informieren (z.B. morgen Ausflug in den Tierpark). Wenn dort aber Listen gepflegt werden in dem unter anderem Gesundheitsdaten, meines Wissens nach die höchste Schutzstufe in der DSGVO, gespeichert werden, dann ist das natürlich ein gewaltiges Problem und dann muss auch die KiTa bzw. der Träger dafür ein auf den Deckel bekommen.
Ist eine gute Frage und ich hoffe, die Datenschutzaufsicht geht genau diesem Punkt nach. Eltern über Termine und Ausflüge informieren, ist das Eine, Daten über Religionszugehörigkeit, Abstammung, Impfstatus etc. zu erfassen und bei einem Fremdanbieter zu speichern ist etwas anderes. Das sind extrem sensitive Daten, die einem speziellen Schutz unterliegen. Ich gehe davon aus, dass in keiner Einrichtung ein entsprechendes DSGVO-Konzept vorlag, man hat einfach mal gemacht.
Der Austausch und Erfassung von Gesundheitsdaten ist wesentlicher Bestandteil der Elternkommunikation. Bei Schulausflügen werden ggf. Allergien abgefragt, das Kind hatte im Sportunterricht einen Unfall oder irgendeinen Rückfall, Kind muss aus Kita abgeholt werden. Das sind halt die Fälle wo die Kita/Schule alle Kontaktpersonen anrufen muss, Niemanden erreicht, dann rufen die Leute zurück, es ist besetzt oder gerade im Haus unterwegs…. Dann wäre es einfacher in einen Chat zu schreiben… Das dabei bestimmte Gesundheitsdaten ausgetauscht werden, kann kann man von TRÄGERSEITE in vielen Fällen unterbinden, indem man einfach nichts sagt/schreibt. Dann kommt dann aber direkt der Anruf/Nachfrage was los ist.
Es wird sich aber nicht vermeiden lassen, dass von Elternseite Daten ins System kommen oder Nachfragen haben, was konkret los ist. Dann müsste man wieder das Telefon nutzen…. Du kannst nicht mal eine Info zu Masern in der Einrichtung veröffentlichen und bei Symptomen zu Hause bleiben, weil dann ggf. Daten zurückkommen wer betroffen ist. Vielleicht gibt es auch Diskussionen über die Weihnachtsfeier auf dem Portal, weil XY% der Kinder einen anderen Glauben haben.
Bei so Sachen wie Impfstatus… Entweder man macht es über das System oder wieder analog, dass die Leute im Sekretariat antanzen und dort der Impfstatus erfasst wird…
Wenn man sich die Webseite betrachtet, es wird ja auch explizit damit geworben die gesamte Elternkommunikation zu digitalisieren. OB Gesundheitsdaten über das Portal laufen, die Frage sollte sich eigentlich nicht stellen wenn man die Produktpräsentation anschaut. Als Interessent hätte ich den Eindruck, dass es genau dafür da ist. Zumal auch bald eine Version für Pflegeeinrichtungen angeboten werden soll.
Ich stimme aber Herr Born zu, dass es für sowas wohl oft keine Konzepte gibt und man sich nicht Gedanken macht. Man hat das Portal UND muss sich als Nutzer Gedanken machen wie man es nutzt. Für das WIE sehe ich dann ein verschulden bei den Kitas/Schulen. Wobei ich auch die Anbieter/Werbung kritisiere. Es gibt genau einen Akteur der am besten Wissen wüsste wie man sowas umsetzt. Das ist aus meiner Sicht der Anbieter, der sowohl sein System kennt und sich auch mit der DSGVO beschäftigt haben müsste. Keine Ahnung, ob hier Unterschätzung oder Anleitungen angeboten werden. Ich weiß nicht wei es bei dieser Software ist, meist läuft es meiner Erfahrung dann wieder darauf hinaus, dass Datenschützer und Einrichtunsgpersonal sich hinsetzen und Lösungen von Grund auf Erarbeiten müssen währen die erstmals ein total unbekanntes System kennenlernen müssen.
Oder man wählt ein System, bei dem man versteht, was passiert. Kein Portal ist gottgegeben und alternativlos. Vielleicht könnte das BSI ein Grundgerüst für ein solches Portal bereitstellen oder zumindest solche im Alltag verwendeten Portale prüfen und zertifizieren?
Heutzutage ist es ganz wichtig, dass man betroffen ist … und das auch medial zum Ausdruck bringt. Mein Gott, was da alles passieren kann, wenn die ganze Welt wüsste, ob die Kinder dreifach, achtfach, 16 -fach oder überhaupt nicht geimpft sind. Meiner Meinung nach ist es moralisch unterste Schublade, statt der Firma einfach einen Hinweis zu geben und es mit der Behebung der Lücke gut sein zulassen, seine Betroffenheit öffentlich auszudrücken und damit die eigene Geltungssucht zu füttern. Selbstverständlich darf auch der herbeigesehnte Pranger (wahlweise von Anwälten oder den Bloglesern errichtet), an den die Mitarbeiter, Auftragsverarbeiter oder sonstige Beteiligte gestellt werden, nicht fehlen. Wenn das jetzt schon der GAU ist, was ist es dann beim nächsten Mal … der Super-GAU oder sogar das allerallerschlimmste, was passieren kann?
Konfigurationslücken und Programmfehler können passieren. Wer selbst in größeren Softwarelösungen unterwegs ist, weiß das nur zu genau. Manche sind so tricky, dass man da im Leben nicht draufgekommen wäre … wenn der Zufall nicht ab und zu nachhelfen würde. Da hilft es dann ungemein, wenn der Experte hinterher (das ist im Übrigen der Zeitpunkt, an dem alle immer schlauer sind) „entdeckt", wie schrecklich das Ganze war und bereits Geschriebenes wiederkäut.
Der Einzige, der in dieser Konstellation eventuell als Fachmann durchgehen könnte, ist der Entdecker dieser Lücke … je nachdem, wie er zu seinen Erkenntnissen gelangt ist. Ausgeplauderte Betriebsinterna auszuschlachten oder im Darknet strafbar veröffentlichte Dokumente und Geschäftsdaten sittenwidrig zu durchleuchten, haben naturgemäß keine besondere Schöpfungshöhe. Alle anderen lauteren Wege haben meine Wertschätzung.
Der Datenschutz, anfänglich eine gute Idee, ist zum Selbstzweck verkommen … in diesem Blogeintrag und einigen Kommentaren sehr gut zu beobachten.
Mal schauen, wie altruistisch Du das Ganze siehst, wenn deine persönlichen Daten irgendwo offen herum fliegen. Es ist genau dieses "unter der Decke halten", die die Unbekümmertheit aller Ortens befördert – "ich hab doch nichts zu verbergen".
Übrigens: Vom externen Datenschutzbeauftragten weiß ich, dass die Geschäftsführung von Stay Informed für maximale Transparenz votierte – hat man ja selten. Im Übrigen hat m.W. keiner Details aus den Dokumenten öffentlich gemacht, es wurde dokumentiert, was Sache war – und in den Diskussionen kommen die Zielkonflikte ja bereits sehr deutlich raus. Hier ein Unternehmen, welches eine Kommunikationsplattform bereitstellt (gute Sache), aber diese Plattform nie für sensible Daten zertifiziert hat. Und irgendwo auf dem Weg zu den Nutzern wurde dann daraus quasi ein gänzlich anderes Produkt, wo alle möglichen Daten ausgetauscht wurden. Von daher frage ich mich schon, was dein Kommentar am Ende des Tages soll
Auch das Umfeld in dem Stay Informed eingesetzt wird ist ein spezielles, wie es so viele in der IT gibt. Leider wird die App (Danke OZG) oft eingesetzt damit Träger/Kommune und Kita behaupten können wir machen was „digitales". So richtig damit beschäftigen wo die Daten liegen und wer was verarbeitet wird sich zu selten und dann ist die Überraschung bei solchen Meldungen groß. Wer dann noch mit Datenschutzbeauftragten (eher bei freien Trägern, Kommunen haben so etwas oft nur auf Papier) unterhält und diesen so im Nebensatz informiert das es auch eine App gibt der erlebt oft das die Verantwortlichen es noch nicht mal nötig hatten eine einfache Information darüber weiterzugeben. Ich glaube also kaum das es viel mit „Schadensersatz" wird. Wenn viel passiert wechseln einige die App – so sie denn dürfen.
Schaut man bei anderen Apps aber genauer hin sind ähnliche Mängel keine Seltenheit (es gibt aber auch Ausnahmen), obwohl die Grundidee keine schlechte ist. Wenn man dann noch die Elternportale ansieht …
> Das Unternehmen … schließt laut heise aber einen Auftragsverarbeitungsvertrag mit den Nutzern (Kitas, Horts etc.) ab. Damit ist die Stay Informed GmbH aus der DSGVO-Frage im Prinzip raus, die Nutzer (Kitas, Horts etc.) der Lösung sind für den DSGVO-Vorfall verantwortlich.
Ich hatte mir das "Stay Informed GmbH … im Prinzip raus" in einem anderen Kommentar zwar zu eigen gemacht, muss aber jetzt widersprechen.
Die Stay Informed GmbH ist gem. Art. 82 DS-GVO (1) grundsätzlich (!) ebenfalls schadenersatzpflichtig. Aus Abs. 1: "… hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
Im Heise-Artikel (1) sind im Absatz "Server öffentlich erreichbar und ungeschützt" technische Versäumnisse erwähnt, die auf Konfigurationssünden zurückgehen, u. a. im Bereich Apache HTTPD mod_dir (3). Es ist offensichtlich, dass da keine Kindergärtnerin sondern der Auftragsverarbeiter versagt haben dürfte.
In Art. 82 Abs. 3 DS-GVO heisst es: "… der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist."
Wie die Stay Informed GmbH diesen Nachweis führen will, ist mir schleierhaft.
(1)
Art. 82: Haftung und Recht auf Schadenersatz
(Datenschutz-Grundverordnung: Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen (Art. 77 – 84))
dejure.org/gesetze/DSGVO/82.html
(2)
heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html
(3)
Apache Module mod_dir
(Apache > HTTP Server > Documentation > Version 2.4 > Modules)
httpd.apache.org/docs/2.4/mod/mod_dir.html
Zu Anspruch und Wirklichkeit: Unter (1) wird immer noch vollmundig geworben mit:
"Datenschutz ist ein heikles Thema. Sehr, sehr aufwendig. Ich habe bei Ihrer App damit jedoch gar nichts mehr zu tun. Sie nehmen mir diese ganze Arbeit ab." Jörg Oehler, Schulleiter"
Die Realität dann in (2) unter der auszuklappenden Frage "Warum gibt Stay Informed keine Auskunft?":
"Uns erreichen Anfragen von Betroffenen, die um Auskunft bitten, ob ihre Daten bzw. die Daten ihrer Kinder betroffen sind. Diese Auskunftsersuchen dürfen wir nicht beantworten: die DSGVO sieht vor, dass die Ersuchen über den Träger in ihrer Rolle als "Verantwortliche" laufen muss."
(1)
https://www.stayinformed.de/wp-content/uploads/2023/08/Infomaterial-Kita-1.pdf
(2)
https://www.stayinformed.de/information-sicherheit/
Das Hauptproblem ist leider, das man immer versucht mir irgendeiner hippen App Probleme zu lösen, die es gar nicht gibt.
Die App bzw. die Software würde gar nicht gebraucht, man könnte alles "ganz einfach" auch Oldschool über E-Mail lösen.
Aus der Stellungnahme der Firma (https://www.stayinformed.de/information-sicherheit/):
—
Die Redaktion des Computerfachmagazins «c't» (heise online) hat uns am 18.03.2024 über eine Fehlkonfiguration auf einem unserer Webserver informiert. Diese hatte zur Folge, dass Dateien auf diesem Server, die eigentlich nur für angemeldete Nutzer zugreifbar sein sollten, auch für unbefugte Personen zugreifbar waren. Wir haben die gemeldete Lücke am betroffenen Server am gleichen Tag sofort geschlossen. Außerdem wurde eine Untersuchung durch interne und externe IT-Fachleute gestartet. Hierdurch sind in den folgenden Tagen weitere Fehlkonfigurationen auf Entwicklungsservern entdeckt worden, die sofort nach Entdeckung ebenfalls behoben wurden.
—
Fehlkonfigurationen können passieren, klar, ist mir auch schon passiert bei den Zugriffsrechten. Aber ich hab einen Sicherheitsexperten bei der Hand, der sich sowohl die Konfiguration als auch das fertige „Produkt" genauer anschaut und testet – nicht ein aufwendiger Pentest, aber doch so, dass die häufigsten Probleme gefunden werden. Und das Erlauben von Directory-Listings, wie es hier anscheinend passiert ist, ist schon ein Anfänger-Fehler.
Zitat: „wurde eine Untersuchung durch interne und externe IT-Fachleute gestartet. Hierdurch sind in den folgenden Tagen weitere Fehlkonfigurationen … entdeckt worden"
Was wäre eigentlich, wenn man die Fachleute *vor* dem Live-Schalten der App zu Rate zöge – schließlich ist nicht jeder ein Experte in Computersicherheit? Dann könnte man sich jetzt den schlechten Ruf ersparen. Und teurer als jetzt wäre es auch nicht gewesen.
Wäre das Produktionssystem (und die hoffentlich identisch konfigurierten Testsysteme) sicher konfiguriert gewesen, wäre das Problem mit dem Loadbalancer eher nebensächlich.
> Fehlkonfigurationen können passieren, klar, ist mir auch schon passiert bei den Zugriffsrechten. Aber ich hab einen Sicherheitsexperten bei der Hand, der sich sowohl die Konfiguration als auch das fertige „Produkt" genauer anschaut und testet – nicht ein aufwendiger Pentest, aber doch so, dass die häufigsten Probleme gefunden werden.
Sehe ich anders. Allen Entwicklern und Administratoren ist gleichermassen der routinierte Umgang mit Tools wie bspw. auf https://owasp.org/www-community/Vulnerability_Scanning_Tools gelistet abzuverlangen, sonst können wir mit der Awareness gleich einpacken. Cum grano salis: Verkehrsregeln müssen ja auch von allen beherrscht werden und nicht nur vom Polizisten, damit der die Strafzettel verteilen kann.
> Und das Erlauben von Directory-Listings, wie es hier anscheinend passiert ist, ist schon ein Anfänger-Fehler.
Fragen Sie mal den Microsoft Copiloten, der sieht das differenzierter. Im übrigen ist Directory Listing auch nach dem Vorfall noch möglich, s.:
Das Directory-Listing liese sich ganz einfach unterbinden, indem man einfach eine leere index.html ins Verzeichnis packt.
Dann nämlich greift sich jeder Browser diese Datei anstatt den Inhalt des Verzeichnisses aufzulisten.
Das "sich greifen" einer gewünschten Datei liegt nicht am Browser sondern am Server und dessen Einstellungen, bei Apache z.B. DirectoryIndex.
"Verkehrsregeln müssen ja auch von allen beherrscht werden und nicht nur vom Polizisten, damit der die Strafzettel verteilen kann."
So sollte es sein.. Das ist aber ein Beispiel für eine Bereich, wo auch auch nicht klappt :-) Ich behaupte mal, dass ein Großteil der Autofahrer die Verkehrsregeln nicht kennt und auf dem selben Niveau ist wie die Oma mit ihrem Laptop. Regeln sind nicht bekannt oder werden ignoriert. Die 0815 Sachen kann man, aber wie es dann funktioniert und was dahinter steckt….
Wenn man sich dann mit den Verkehrsregeln auskennt, dann landet man als Sonderling in irgendeiner Spiegel-Doku und wird in der Bahn angegriffen. Der Datenschutzbeauftragte wird dann auch oft ähnlich nervend wahrgenommen.
Die Tatsache der hier genannten weiterhin möglichen Directory Listings in anderen Verzeichnissen inklusive aller WordPress Uploads zeigt klar und deutlich, dass das eigentliche Problem weder vom Betreiber Stay Informed noch von seinen Experten und Pentestern nicht verstanden bzw. nicht behoben wurde, sondern mutmasslich nur einzeln für den betroffenen Ordner des Datenabflusses gehandelt wurde?
Pentest Quelle: https://www.stayinformed.de/datenschutz-it-sicherheit/
An Anonymous (28. März 2024 um 20:46 Uhr): "weiterhin möglichen Directory Listings in anderen Verzeichnissen inklusive aller WordPress Uploads"
Woher kommt diese Behauptung? Meiner Kenntnis nach gab es diese Zugriffsmöglichkeiten nicht. Bitte melden Sie sich bei mir, falls Sie die Behauptung belegen oder eine Quelle nennen können. Dann bitte Bezug auf diesen Kommentar nehmen.
Ich bin der externe DSB von Stay Informed und erreichbar unter datenschutz AT stayinformed PUNKT de.
Ich wurde darüber in Kenntnis gesetzt (bzw. hatte im Scan-Bericht überlesen), dass Directory Listing im WordPress der Unternehmenswebseite möglich war. Dies wurde beim Scan nach dem Vorfall erkannt und abgestellt. Daher konnte ich es am 19.04. nicht nachstellen.
WordPress wird nur für die "Marketing"-Webseite verwendet. Dort liegen nur Dateien, die öffentlich erreichbar sein dürfen. Ich gebe aber "Anonymous" recht, dass Directory Listing immer abgeschaltet sein muss.