Kita-App Stay Informed klärt über Datenleck auf
Bei der in deutschen Kindertagesstätten und Schulen beliebten App Stay Informed wurde letzte Woche ein Sicherheitsproblem festgestellt, von dem Hunderttausende Nutzerinnen und Nutzer betroffen sein könnten. Der Betreiber hatte es versäumt, einen Webserver abzusichern, sodass Daten offen über das Internet abrufbar waren. Nun will die Stay Informed GmbH Betroffene über das Datenleck aufklären und beantwortet auf seiner Webseite die dringlichsten Fragen. Unter anderem wird darüber informiert, welche Daten und Nutzer betroffen sind – und was vorgefallen ist.
Bei Stay Informed (ehemals Kita-Info-App oder Schul-Info-App) handelt es sich um eine Organisations-App für Kindertagesstätten, Schulen, Pflegeeinrichtungen und Vereine. Neben einer (Gruppen-)Chat-Funktion stellt das Programm beispielsweise einen gemeinsamen Terminkalender und ein digitales Pinbrett bereit. Auch Abwesenheitsmeldungen und elterliche Genehmigungen sind über die Software möglich.
Am Freitag war bekannt geworden, dass das Unternehmen eine große Menge Dateien offen zugänglich auf einem ungesicherten Server gespeichert hatte. Auch seien Daten unverschlüsselt übertragen worden. Ein Software-Fehler habe zusätzlich dazu geführt, dass Dateien nicht immer gelöscht wurden, heißt es auf der Unternehmenswebseite.
Namen, Adressen, Konfessionen betroffen
Die öffentlich zugänglichen Dateien hätten persönliche Daten von einer Vielzahl an Personen enthalten, die teils minderjährig sind. Laut dem Computermagazin c`t waren unter anderem Namen, Geburtsdaten, Adressen sowie Herkunftsländer, Impfstatus oder Konfessionen einsehbar.
Stay Informed berichtet zudem von hochgeladenen PDF-Dateien, die frei zugänglich waren. Mehr als 16.000 Profilbilder aus der Chatfunktion hätten in geringer Auflösung offen auf dem Server gelegen. Auch Kinder sollen abgebildet gewesen sein. Digitalisierte Unterschriften waren zwar auch auf dem Server, doch seien diese durch eine zusätzliche Verschlüsselung geschützt gewesen. Textnachrichten sollen nach Angaben der Stay Informed GmbH nicht betroffen sein.
Ob Unbefugte die Fehlkonfiguration der Server bereits ausgenutzt und Dateien heruntergeladen hatten, ist nicht bekannt. Die Protokolle des Servers reichen nur 14 Tage zurück. Stay Informed stellte klar: “Es liegen uns keine Erpressungsschreiben vor oder sonstige Anzeichen, dass es Manipulation an unserer Software oder an den darin gespeicherten Daten gab.” Ein böswilliger Angriff habe nicht stattgefunden.
Eltern sollen Träger ansprechen
Die App kommt Stay Informed zufolge in über 11.000 Kitas, Horten und Schulen zum Einsatz und sei über 840.000-mal heruntergeladen worden. Betroffen ist der Infoseite zufolge jede PDF-Datei und jedes Profilbild, das bis zum 18. März in die App geladen wurde.
Aus vertraglichen Gründen dürfe das Unternehmen nicht direkt Einrichtungen und Sorgeberechtigte darüber informieren, ob sie betroffen sind, sondern hat das über die jeweiligen Träger getan. Eltern und Sorgeberechtigte mögen sich für Informationen an die Träger wenden, bittet die Firma.
Der Betreiber schreibt, die Sicherheitslücke sei am 18. März geschlossen worden – am selben Tag, an dem die Entwickler von dem Problem erfuhren. Wie gesetzlich vorgeschrieben habe die Firma den zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg über den Vorfall informiert.
Auch sei eine Untersuchung eingleitet worden, an der externe Fachleute beteiligt seien. Dabei seien weitere Sicherheitslücken entdeckt worden, die bereits geschlossen sind. Die ungewollte Zugriffsmöglichkeit habe frühestens seit dem 20. Oktober 2021 und spätestens seit dem 18. August 2023 bestanden.
Entdeckt wurde das Problem, weil sich ein anonymer Informant an die Zeitschrift c’t gewandt und auf die Lücke hingewiesen hatte. (hcz)