![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Eine kurze (\u00f6sterliche) Meldung f\u00fcr Sicherheits- und Datenschutzverantwortliche in kirchlichen Einrichtungen, die KaPlan Web im Einsatz haben. Es wurde eine Sicherheitsl\u00fccke gefunden, die eine Manipulation der SQL-Datenbank erm\u00f6glichte. Die Einstufung meinerseits ist, dass dies aus DSGVO meldepflichtig f\u00fcr die Betreiber ist.<\/p>\n
<\/p>\n
Die Kurzfassung lautet, dass es sich bei KaPlan Web (im englischen Sprachraum als\u00a0 ChurchDesk bekannt) um einen Kalender und ein Planungstool f\u00fcr Pfarrb\u00fcros handelt.<\/p>\n
![\"KaPlan](\"https:\/\/i.postimg.cc\/7ZdkYh6f\/image.png\")
<\/p>\n
Die Software wird von der KaPlan Software GmbH angeboten. Die Nutzung ist \u00fcber den Internetzugang im Web m\u00f6glich. Auf ChurchDesk<\/a> finden sich weitere Details zu den Funktionen (wie Kalender, Kontakte etc.) der Software-Plattform.<\/p>\n Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook darauf hingewiesen, dass ihm von einem\u00a0Kunden mitgeteilt wurde, dass in der Software \"Kaplan (ChurchDesk<\/a>)\" eine scheinbar DSGVO-meldepflichtige Sicherheitsl\u00fccke gefunden wurde. Die Webseite von KaPlan Web ist derzeit offline bzw. in den Wartungsmodus geschaltet.<\/p>\n In einer Meldung, die mir als PDF-Dokument vorliegt, hei\u00dft es, dass k\u00fcrzlich eine Sicherheitsl\u00fccke in der KaPlan Web-Anwendung f\u00fcr die mobile Nutzung (\"KaPlan Web\") festgestellt wurde.<\/p>\n Konkret ist ein IT-Sicherheitsexperte des Bistums M\u00fcnster auf eine potenzielle SQL-Injection-Sicherheitsl\u00fccke in KaPlan Web gesto\u00dfen, die dann am\u00a027. M\u00e4rz um 16:11 Uhr\u00a0 gemeldet wurde. Laut Untersuchungen scheint die Sicherheitsl\u00fccke etwa vier Wochen vor der Entdeckung im Rahmen einer technischen \u00c4nderung durch JL Software entstanden zu sein.<\/p>\n Nach der Benachrichtigung von JL Software wurde KaPlan Web f\u00fcr das Bistum M\u00fcnster Die Sicherheitsl\u00fccke kann nicht mehr ausgenutzt werden, da die Schwachstelle in Zusammenarbeit mit JL Software beseitigt wurde. In der Mitteilung des Anbieters hei\u00dft es, dass am 28. M\u00e4rz um 8:45 Uhr entdeckt wurde, dass die Sicherheitsl\u00fccke f\u00fcr alle KaPlan Web-Kunden galt. Daraufhin wurde KaPlan Web f\u00fcr alle Kunden geschlossen. Betroffene Kunden sollten inzwischen vom Anbieter informiert worden sein.<\/p>\n Durch die Ausnutzung eines bestimmten URL-Parameters in der KaPlan-Web-URL Die Sicherheitsl\u00fccke erm\u00f6glichte den Lesezugriff auf Benutzerdaten, einschlie\u00dflich Dadurch h\u00e4tten sich Benutzernamen und Passw\u00f6rter f\u00fcr KaPlan Web-Konten abfragen und decodieren lassen. Die am\u00a028. M\u00e4rz um 14:46 Uhr abgeschlossene Log-Analyse von JL Software ergab, dass nur der Sicherheitstest, der von dem IT-Sicherheitsexperte in M\u00fcnster durchgef\u00fchrt wurde, zu einem Datenleck in der M\u00fcnster-Datenbank f\u00fchrte. Es habe weder vor noch nach diesem Vorfall ein Datenleck, das auf diese Schwachstelle zur\u00fcckzuf\u00fchren war, hei\u00dft es in einer Information an Kunden.<\/p>\n Es besteht laut Mitteilung des Anbieters die Gefahr, dass die Nutzer sowohl in KaPlan Web (f\u00fcr die mobile Nutzung) als auch in KaPlan Flex dieselben Passw\u00f6rter verwenden. Der Betreiber empfiehlt daher, dass alle Nutzer, die das selbe Kennwort f\u00fcr KaPlan Web und KaPlan Flex verwendet haben, so bald als m\u00f6glich dieses Passwort \u00e4ndern sollten.<\/p>\n Zur Zeit hat der Betreiber wohl den Zugang zu KaPlan Web f\u00fcr alle Kunden gesperrt, um weiteren m\u00f6glichen Missbrauch zu verhindern. Weiterhin empfiehlt der Anbieter, Sie eine Meldung an die zust\u00e4ndige Aufsichtsbeh\u00f6rde zu erw\u00e4gen, sofern die DSGVO-Verantwortlichen der Meinung sind, dass die Angelegenheit gemeldet werden muss.<\/p>\n","protected":false},"excerpt":{"rendered":" Eine kurze (\u00f6sterliche) Meldung f\u00fcr Sicherheits- und Datenschutzverantwortliche in kirchlichen Einrichtungen, die KaPlan Web im Einsatz haben. Es wurde eine Sicherheitsl\u00fccke gefunden, die eine Manipulation der SQL-Datenbank erm\u00f6glichte. Die Einstufung meinerseits ist, dass dies aus DSGVO meldepflichtig f\u00fcr die Betreiber … Weiterlesen Eine Schwachstelle in KaPlan Web<\/h2>\n
![\"KaPlan](\"https:\/\/i.postimg.cc\/jdf6kk7m\/image.png\")
<\/p>\nSicherheitsexperte findet SQL-Injection-Sicherheitsl\u00fccke<\/h3>\n
\numgehend geschlossen. Dies war eine Vorsichtsma\u00dfnahme, um jegliches weitere Risiko eines unbefugten Zugriffs zu verhindern.<\/p>\nSicherheitsl\u00fccke inzwischen geschlossen<\/h3>\n
Auswirkungen der Schwachstelle<\/h2>\n
\nkonnte eine Person unter bestimmten Bedingungen SQL-Anweisungen gegen eine
\nKaPlan-Web-Datenbank ausf\u00fchren. Dazu musste der Angreifer eine g\u00fcltige KaPlan
\n\"Arbeitsgruppe\" und ein bestimmtes Cookie kennen, das durch Klicken auf \"Passwort
\nvergessen\" erhalten werden konnte.<\/p>\n
\nBenutzernamen und Passw\u00f6rter. Leider waren die in der Datenbank gespeicherten
\nPassw\u00f6rter nur durch einen extrem schwachen Verschl\u00fcsselungsmechanismus (HexcodeLetter-Exchange) gesch\u00fctzt. Dies bedeutet, dass es mit m\u00e4\u00dfigem technischen Knowhow m\u00f6glich ist, die urspr\u00fcnglichen Passw\u00f6rter aus den gespeicherten Hashes
\nabzuleiten.<\/p>\nPassw\u00f6rter \u00e4ndern<\/h3>\n