1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Datenleck bei KiTa-App

Datenleck bei KiTa-App

Zugriff auf App Stay Informed war für Unbefugte möglich

Mit der App "Stay Informed" haben 11.000 Institutionen, beispielsweise KiTas, Schulen und Pflegeeinrichtungen, nicht nur die Möglichkeit, Termine zu verwalten, sondern können auch mit Eltern und Angehörigen über einen Messenger kommunizieren. Auch eine Chat-Funktionalität gibt es. Nun kam es hier zu einem Datenleck, von dem mehr als 800.000 Nutzerinnen und Nutzer betroffen sind. Ein anonymer Informand gab dem Magazin c't den Hinweis auf das Datenleck. Diese Info ließ sich bestätigen. Große Datenmengen, die teilweise von Nutzerinnen und Nutzern der App stammten, waren auf einem Webserver frei zugänglich.

Server ungeschützt und öffentlich erreichbar

Zunächst einmal war der Server über das HTTP-Protokoll erreichbar und bot Zugriff auf das sogenannte Directory Listing, in dem alle Dateien, die auf dem Server gespeichert werden, öffentlich zugänglich sind. In diesem Fall war besonders problematisch, dass es darüber hinaus auch keinen Zugriffsschutz für die Dateien gab. Außerdem wurde keine Transportverschlüsselung genutzt, obwohl dies eigentlich vorgesehen war. Das Leck betraf auch 1.500 CSV-Dateien, in denen persönliche Daten gespeichert waren – auch solche von Minderjährigen. Neben dem Namen, der Anschrift und dem Geburtsdatum waren beispielsweise auch Informationen zum Herkunftsland, über Religion, Impfungen, Notfallkontakte und Erziehungsberechtigte gespeichert. Auch Fotos von Kindern und Erwachsenen sowie Avatarbilder waren zugänglich – und außerdem die verschlüsselten Unterschriften vieler Eltern.

Information der Datenschutzbehörden

Die Stay Informed GmbH informierte, dass eine fehlerhafte Konfiguration eines Webservers die Ursache für das Datenleck gewesen sei. Dieses müsse zwischen Oktober 2021 und August 2023 erstmals aufgetreten sein. Es waren zum Beispiel die Avatare, PDF-Anhänge und Unterschriften aller Kunden betroffen sowie die Profilbilder von den Nutzerinnen und Nutzern des Messengers. Laut einer Analyse des Unternehmens sei der früheste auswertbare Zugriff auf den 05.03.2024 datiert. Weil die App als Software-as-a-Service zur Verfügung gestellt wurde, tragen nach der Datenschutzgrundverordnung die mehr als 11.000 Einrichtungen die Verantwortung für diesen Vorfall. Die Stay Informed GmbH gibt an, die zuständige Landesdatenschutzbehörde bereits informiert zu haben. Sie rät den von dem Vorfall betroffenen Einrichtungen, ebenfalls die jeweils zuständigen Behörden zu informieren.

Sie wollen solche Vorfälle in Ihrem Verantwortungsbereich verhindern?

Wenn Sie solche Datenlecks verhindern oder – schlimmstenfalls – zumindest angemessen mit ihnen umgehen wollen, beraten wir Sie sehr gern. Nehmen Sie unter Telefon 09122 6937302 Kontakt zu unserem Team auf oder senden Sie uns eine Nachricht.  Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 




Gesichtserkennung am Verkaufsautomaten
Schmerzensgeld für Arbeitnehmer

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.