[ziesell]

Zitat:

Stay Informed: Datenpanne betrifft Tausende von Kitas und Schulen

Die App Stay Informed kommt in mehr als 11.000 Kitas, Horten und Schulen zum Einsatz. Bis vor wenigen Tagen standen Daten unzähliger Nutzer offen im Netz.



Bei der von Tausenden Kitas und Schulen eingesetzten App Stay Informed hat es offenbar ein massives Datenleck gegeben, durch das zahlreiche Nutzerdaten für jedermann abrufbar waren. Wie Heise Online berichtet, lag das Problem bei einem frei zugänglichen Webserver. Dieser sei nicht nur unverschlüsselt via HTTP erreichbar gewesen, sondern habe Besuchern durch ein Directory Listing auch Einblicke in seine Inhalte gewährt.

Der Server legte dem Bericht zufolge fast 1.500 CSV-Dateien mit persönlichen Daten einer Vielzahl vorwiegend minderjähriger Personen offen – darunter Namen, Geburtsdaten, Anschriften, Herkunftsländer, Konfessionen, Notfallkontakte, Klassenlehrer, Erziehungsberechtigte und Informationen über Impfungen.

Ferner waren demnach über den Webserver mehr als 16.000 Avatarbilder zugänglich, inklusive Fotos von Kindern und Erwachsenen. Außerdem nannte Heise "PDF-Dateien und Fotos, die von den Einrichtungen für die Eltern hochgeladen wurden", sowie "digitale, aber verschlüsselte Unterschriften der Eltern".

Stay Informed hat das Problem behoben

Am 22. März veröffentlichte der Anbieter von Stay Informed auf seiner Webseite eine Stellungnahme zu der Datenpanne. Darin erklärte das Unternehmen, es habe die von Heise Online am 18. März an den Anbieter gemeldete Lücke "am betroffenen Server am gleichen Tag sofort geschlossen".

Außerdem sei der Vorfall umgehend von internen und externen IT-Experten untersucht und die Ergebnisse an die Träger kommuniziert worden. "Zudem haben wir den für uns zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg unterrichtet", so das Unternehmen.

Auf seiner Webseite gibt der Anbieter an, dass Stay Informed derzeit von 11.109 Kitas, Horten und Schulen sowie 842.947 Anwendern genutzt werde. Ziel der App ist es, die Kommunikation der Einrichtungen mit den Eltern zu erleichtern.

Schulen und Kitas müssen den Vorfall wohl selbst melden

Der Geschäftsführer der Stay Informed GmbH erklärte gegenüber Heise, die Fehlkonfiguration des Webservers habe nach aktuellem Kenntnisstand "frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023" bestanden.

Die offengelegten CSV-Dateien enthielten demnach Daten von 15 Prozent aller Einrichtungen und Träger, die Profilbilder stammten lediglich von Nutzern der Chatfunktion von Stay Informed. Von den PDF-Dateien und Unterschriften seien hingegen alle Kunden betroffen, hieß es weiter.

Dem Heise-Bericht zufolge sind die mehr als 11.000 betroffenen Einrichtungen aufgrund des mit Stay Informed abgeschlossenen Vertrages im Sinne der DSGVO selbst für den Vorfall verantwortlich und müssen diesen an die jeweils zuständige Landesdatenschutzbehörde sowie die betroffenen Eltern melden. Auf die Behörden dürften folglich in den nächsten Tagen Tausende von Meldungen über die Datenpanne zukommen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[elise]

woah.... und ich krieg schon nen rüffel, wenn ich eine vornamensbestückte email außerhalb des einrichtungsinternen netzwerkes verschicke...