Anzeige

Lern-App

Wie eine jüngst in der Tagesschau veröffentlichte Recherche des BR ergeben hat, weist die in ganz Deutschland genutzte Lern-App „Anton“ eine schwerwiegende Sicherheitslücke auf. Dazu ein Kommentar von Gunnar Braun von Synopsys.

Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.

„Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte – diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App "Anton" waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern. (...)

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der "Anton"-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.“

Dazu ein Kommentar von Gunnar Braun, Synopsys: 

„Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer "schlimmen Situation", denn Kinder seien besonders schutzwürdig. Und wie die Recherchen ergeben haben, finden sich allein in München Daten von über 3000 Schülern und 200 Schulen. [1] Die App „Anton“ wird aber auch in anderen Ländern genutzt und wurde – wie man den Recherchen entnehmen kann – im Android-App-Store mehr als eine Million Mal heruntergeladen. Entwickelt hat die App die Berliner Firma Solocode. Auf dem Markt ist Anton seit 2018, das Unternehmen inzwischen von 4 auf 45 Mitarbeiter gewachsen (Stand: August 2020) [3]. Solocode hat die Sicherheitslücke eingeräumt und inzwischen behoben. 

Dabei hatte man nur die besten Absichten, und „Anton“ gilt grundsätzlich als besonders datenschutzfreundlich. Hinter der Lern-App steht ein taugliches Datenschutzkonzept. Die Server haben beispielsweise ihren Standort in Deutschland, es werden keine Nutzerdaten erhoben (auf Google Analytics wird explizit verzichtet) [5], die Logs werden nur auf eigenen Servern gespeichert [7] und ein Security-Review von einem externen IT-Dienstleister durchgeführt [6].  Also alles richtig gemacht? Im Prinzip ja, aber...

Software-Sicherheit lässt sich nicht als Ereignis oder einmalige Aktion verstehen. Sie ist vielmehr ein Mindset, aus dem ein bestimmtes Verhalten resultiert. Das Unternehmen weist ausdrücklich darauf hin, bei der IT-Sicherheit und zum frühzeitigen Erkennen möglicher Schwachstellen eng mit externen IT-Sicherheitsexperten zusammenzuarbeiten. Regelmäßige Systemtests eingeschlossen. [4]

Unklar ist jedoch, ob bereits im Software-Entwicklungsprozess integrierte Security-Tests und entsprechende Tools eingesetzt werden. Externe Pen-Tests oder Audits sind zwar sinnvoll. Aber selbst, wenn man sie regelmäßig durchführt, können sie nicht mit der Entwicklungsgeschwindigkeit einer App oder Web-Applikation mithalten. Sicherheit sollte in die Entwicklung integriert sein, d.h. zumindest die kontinuierliche Pflege von Bedrohungsmodellen und ein automatisiertes Code Scanning während der Entwicklung. Schwachstellen wie Authentication-Bypass bei bestimmten Endpoints lassen sich in der Regel schon mit SAST (Static Application Security Testing)-Werkzeugen finden. Dazu muss der Code nicht kompiliert sein, so dass man SAST schon sehr früh im Entwicklungszyklus einsetzen kann. Spätestens mit IAST (Interactive Application Security Testing) oder DAST (Dynamic Security Application Testing)/API-Scannern lassen sich solche Schwachstellen aufdecken. 

Leider verlassen sich immer noch viele, insbesondere kleine und mittelständische Unternehmen auch bei der Software-Sicherheit vollständig auf externe IT-Dienstleister. Die greifen aber in der Regel auf sogenannte Penetration-Tests zurück. Nur in den wenigsten Fällen beraten sie Unternehmen zu proaktiven Methoden wie Code Scans in der CI-Pipeline. Hier fehlt weiterhin eine klare Differenzierung zwischen Application Security und IT Security im Allgemeinen.“

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Artikel zu diesem Thema

Microsoft Exchange
Mär 22, 2021

Microsoft: Zehntausende E-Mail-Server wegen Sicherheitslücke gehackt

Update 22.03.21, 15:56 Die Sicherheitslücken im weit verbreiteten Kommunikationssystem…
Cybercrime
Mär 13, 2021

Die größten Cyber-Gefahren 2021

Das Ende des „Schadsoftware-Königs“ Emotet im Januar war zwar ein Erfolg im Kampf für die…
Cyber Security
Mär 12, 2021

Das sind die häufigsten IT-Schwachstellen

Während sich viele Unternehmen 2020 digital neu erfanden, griffen Cyberkriminelle…

Weitere Artikel

Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.