Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Datenleck bei beliebter KiTa-App Stay Informed

Bei der App "Stay Informed", die in über 11.000 Kitas, Horten & Schulen zum Einsatz kommt, gab es ein Datenleck. Potenziell betroffen sind über 800.000 Nutzer.

In Pocket speichern vorlesen Druckansicht 252 Kommentare lesen

(Bild: Herstellerwebsite)

Lesezeit: 5 Min.
c't Magazin
Von
  • Holger Bleich
  • Ronald Eikenberg
Inhaltsverzeichnis

Viele Kitas, Horte, Schulen und Pflegeeinrichtungen im deutschsprachigen Raum nutzen die App "Stay Informed" (ehemals Kita-Info-App und Schul-Info-App), um mit Eltern oder Angehörigen digital zu kommunizieren. Über die App stellen die Einrichtungen zum Beispiel Infos und Termine bereit. Eltern können ihre Kinder krankmelden oder bestätigen, dass ihr Sprössling an der anstehenden Klassenfahrt teilnehmen darf. Zudem bietet das System der Freiburger Stay Informed GmbH eine Chatfunktion.

Die App "Stay Informed" bietet KiTas, Kinderhorten, Schulen & Co. eine Terminverwaltung, einen Messenger und vieles mehr.

(Bild: Google Play / Hersteller)

Das Unternehmen stellt gegenüber seinen Kunden die Themen Datenschutz- und Sicherheit in den Vordergrund. Man lasse unter anderem externe "regelmäßige Pentests" durchführen. Und: "Ein Team aus IT-SicherheitsexpertInnen und DatenschützerInnen begleitet die Weiterentwicklung unserer Software, um Ihnen eine sichere und gleichzeitig einfache Lösung gewährleisten zu können."

Ein anonymer Hinweisgeber wies c't nun allerdings auf ein massives Datenleck hin, das wir verifizieren konnten: Auf einem frei zugänglichen Webserver speicherte das Unternehmen große Mengen an Dateien, die zumindest teilweise von Nutzern der Stay-Informed-App stammten.

Server öffentlich erreichbar und ungeschützt

Der Server war über das Klartext-Protokoll HTTP erreichbar. Er lieferte direkt ein "Directory Listing" seines Inhalts. Directory Listing ist eine Funktion, die aus den Anfangszeiten des Internet stammt und im Webserver Apache noch immer eingebaut ist – und die immer wieder für Meldungen wie diese gesorgt hat. Sie gehört in den allermeisten Fällen deaktiviert, denn liegen auf einem Server Dateien, die nicht für die Öffentlichkeit bestimmt sind, offenbart Directory Listing sie gnadenlos. Das eigentliche Problem im konkreten Fall ist aber der fehlende Zugriffsschutz auf die Dateien.

Zudem kam bei Stay Informed keine Transportverschlüsselung zum Einsatz, obwohl die Kommunikation über Port 443 lief, der eigentlich für verschlüsselte HTTPS-Kommunikation vorgesehen ist. Unter den ungeschützten Daten befanden sich fast 1500 CSV-Dateien, die jeweils persönliche Daten einer Vielzahl von Personen enthielten, insbesondere von Minderjährigen. In Verbindung mit Namen, Geburtsdaten und Anschriften fanden sich teilweise auch Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr.

Außerdem lieferte der Server über 16.000 Avatarbilder aus, die augenscheinlich für die Nutzung der Chatfunktion dienten. Darunter befanden sich auch Fotos von Kindern und Erwachsenen. PDF-Dateien und Fotos, die von den Einrichtungen für die Eltern hochgeladen wurden, sind ebenfalls von dem Datenleck betroffen, genauso wie digitale, aber verschlüsselte Unterschriften der Eltern.

Über 800.000 Nutzer

Die Daten waren über einen öffentlich erreichbaren Webserver abrufbar.

Die App Stay Informed ist sehr viel genutzt. Mehr als 11.000 deutsche Kitas, Horte und Schulen seien ans System angeschlossen, berichtet der Anbieter selbst auf seiner Website. 842.280 Nutzer kommen damit demnach derzeit zusammen.

Wir haben die Stay Informed GmbH am Montag, dem 18. März, über das Datenleck informiert. Geschäftsführer Jürgen Thiel reagierte umgehend und ließ das Problem abstellen.

Seinen Angaben zufolge bestand die Fehlkonfiguration des Webservers, und damit die öffentliche Zugriffsmöglichkeit, nach "derzeitigen Kenntnisstand frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023". Er erklärte, dass "alle Kunden bezüglich Avataren, PDF-Anhängen und Unterschriften" betroffen sind. Von den offenliegenden Profilbildern seien "nur Nutzer des Messengers" tangiert. Die teils sehr umfangreichen CSV-Dateien enthielten Daten von 15 Prozent der Kunden. Mit Kunden meint Thiel allerdings nicht Personen, sondern ans System angedockte Einrichtungen und Träger.

Die Verantwortung tragen andere

Das Unternehmen schließt mit diesen Kunden einen Auftragsverarbeitungsvertrag ab, demzufolge es seinen Service als "Software-as-a-Service" bereitstellt. Verantwortlich im Sinne der DSGVO sind damit die über 11.000 Einrichtungen, die jetzt jeweils einen individuellen Datenschutzvorfall im Haus haben, den sie in vielen Fällen der zuständigen Landesdatenschutzbehörde und eventuell sogar den betroffenen Eltern melden müssen.

Die App ist im deutschsprachigen Raum sehr verbreitet, die Ziffern stehen für die Einrichtungen in den Gebieten, die laut Hersteller zu seinen Kunden zählen

(Bild: Herstellerwebsite)

Die Stay Informed GmbH will nach eigenen Angaben die zuständige baden-württembergische Landesdatenschutzbehörde über den Vorfall informieren. Alle Einrichtungen seien am Nachmittag des 20. März zum Vorfall in Kenntnis gesetzt worden. Geschäftsführer Thiel hat uns die versandte Infomail zukommen lassen. Demnach habe man die Logfiles des Webservers analysiert: "Der früheste für uns noch sichtbare Zugriff, der den oben beschriebenen Fehler ausnutzt, erfolgte am 05.03.2024."

Betroffene Einrichtungen sollten Behörden einschalten

Stay Informed rät den Einrichtungen: "Aus unserer Sicht ist es erforderlich, dass Sie Ihre zuständige Datenschutz-Aufsichtsbehörde informieren. Die Risikoeinschätzung müssen Sie als verantwortliche Stelle selbst vornehmen und basierend darauf entscheiden, ob Sie Ihre App-Nutzer:innen informieren. Hierzu benötigen Sie jedoch die Information, ob Ihre Einrichtungen exportierte Dateien hochgeladen haben. Wir stellen Ihnen diese Informationen so schnell wie möglich zur Verfügung."

Das Freiburger Unternehmen überlässt also die Entscheidung, ob der Vorfall an die zuständige Behörde und/oder die direkt Betroffenen melden sollte, den Trägern selbst. Eine erste Rückmeldung eines Beraters an uns, der für einige Träger tätig ist, deutet an: Mit derlei Entscheidungen könnten einige Einrichtungen anhand der gegebenen Informationen überfordert sein. Wahrscheinlich ist, dass auf die Landesdatenschutzbehörden in den nächsten Tagen tausende Meldungen von KiTas, Schulen und anderer sozialer Einrichtungen zukommen werden.

Stay Informed versichert derweil in der Infomail: "Unsere IT-Sicherheitsbeauftragten haben unsere gesamte Infrastruktur überprüft. Diese Prüfung ergab keine weiteren Lücken dieser Art. Wir haben sie beauftragt, unsere Infrastruktur wöchentlich automatisiert zu scannen. Wir gehen davon aus, dass ein solcher Fehler dann zeitnah auffällt und behoben wird."

heise Investigativ

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

(rei)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten