Die App "Stay Informed" (ehemals Kita-Info-App und Schul-Info-App) wird von vielen Kitas, Horte, Schulen und Pflegeeinrichtungen im deutschsprachigen Raum genutzt. Sie wird verwendet, damit Eltern oder Angehörige digital kommunizieren und Einrichtungen beispielsweise Infos und Termine bereitstellen können. Außerdem beinhaltet das System der Freiburger Stay Informed GmbH eine Chatfunktion.

Die Themen Datenschutz- und Sicherheit stellt das Unternehmen gegenüber seinen Kunden in den Vordergrund. Unter anderem werden externe "regelmäßige Pentests" durchgeführt. Das Unternehmen sagt: "Ein Team aus IT-SicherheitsexpertInnen und DatenschützerInnen begleitet die Weiterentwicklung unserer Software, um Ihnen eine sichere und gleichzeitig einfache Lösung gewährleisten zu können."

Allerdings existiert in der App ein massives Datenleck. Das Unternehmen speichert laut c't auf einem frei zugänglichen Webserver große Mengen an Dateien, die teilweise von Nutzern der Stay-Informed-App stammten.

Über das Klartext-Protokoll HTTP war der Server erreichbar und lieferte direkt ein "Directory Listing" seines Inhalts. Dies sollte möglichst deaktiviert sein. Das gravierende aber soll der fehlende Zugriffsschutz auf die Dateien gewesen sein.

Bei Stay Informed kommt keine Transportverschlüsselung zum Einsatz, obwohl die Kommunikation über Port 443 lief, der eigentlich für verschlüsselte HTTPS-Kommunikation vorgesehen ist. Knapp 1500 CSV-Dateien, die jeweils persönliche Daten einer Vielzahl von Personen enthielten, insbesondere von Minderjährigen, sollen sich unter den ungeschützten Daten befunden haben.

Mehr als 11.000 deutsche Kitas, Horte und Schulen mit über 842.280 Nutzer sind am System "Stay Informed" angeschlossen, wie der Anbieter auf seiner Website berichtet.

Am 18. März soll c't "Stay Informed" über die Lücke informiert haben und der Geschäftsführer Jürgen Thiel soll umgehend reagiert haben. Laut Angaben bestand die Fehlkonfiguration des Webservers, und damit die öffentliche Zugriffsmöglichkeit, nach "derzeitigen Kenntnisstand frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023".

Mit den Kunden schließt das Unternehmen einen Auftragsverarbeitungsvertrag ab und stellt demzufolge seinen Dienst als "Software-as-a-Service" bereit. Nach DSGVO sind damit die über 11.000 Einrichtungen, die jetzt jeweils einen individuellen Datenschutzvorfall im Haus haben, den sie in vielen Fällen der zuständigen Landesdatenschutzbehörde und eventuell sogar den betroffenen Eltern melden müssen, verantwortlich.

Stay Informed rät den Einrichtungen: "Aus unserer Sicht ist es erforderlich, dass Sie Ihre zuständige Datenschutz-Aufsichtsbehörde informieren. Die Risikoeinschätzung müssen Sie als verantwortliche Stelle selbst vornehmen und basierend darauf entscheiden, ob Sie Ihre App-Nutzer:innen informieren. Hierzu benötigen Sie jedoch die Information, ob Ihre Einrichtungen exportierte Dateien hochgeladen haben. Wir stellen Ihnen diese Informationen so schnell wie möglich zur Verfügung."

Stay Informed versichert derweil in der Infomail: "Unsere IT-Sicherheitsbeauftragten haben unsere gesamte Infrastruktur überprüft. Diese Prüfung ergab keine weiteren Lücken dieser Art. Wir haben sie beauftragt, unsere Infrastruktur wöchentlich automatisiert zu scannen. Wir gehen davon aus, dass ein solcher Fehler dann zeitnah auffällt und behoben wird."

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE