Anzeige

Lern-App

Wie eine jüngst in der Tagesschau veröffentlichte Recherche des BR ergeben hat, weist die in ganz Deutschland genutzte Lern-App „Anton“ eine schwerwiegende Sicherheitslücke auf. Dazu ein Kommentar von Gunnar Braun von Synopsys.

Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.

„Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte – diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App "Anton" waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern. (...)

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der "Anton"-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.“

Dazu ein Kommentar von Gunnar Braun, Synopsys: 

„Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer "schlimmen Situation", denn Kinder seien besonders schutzwürdig. Und wie die Recherchen ergeben haben, finden sich allein in München Daten von über 3000 Schülern und 200 Schulen. [1] Die App „Anton“ wird aber auch in anderen Ländern genutzt und wurde – wie man den Recherchen entnehmen kann – im Android-App-Store mehr als eine Million Mal heruntergeladen. Entwickelt hat die App die Berliner Firma Solocode. Auf dem Markt ist Anton seit 2018, das Unternehmen inzwischen von 4 auf 45 Mitarbeiter gewachsen (Stand: August 2020) [3]. Solocode hat die Sicherheitslücke eingeräumt und inzwischen behoben. 

Dabei hatte man nur die besten Absichten, und „Anton“ gilt grundsätzlich als besonders datenschutzfreundlich. Hinter der Lern-App steht ein taugliches Datenschutzkonzept. Die Server haben beispielsweise ihren Standort in Deutschland, es werden keine Nutzerdaten erhoben (auf Google Analytics wird explizit verzichtet) [5], die Logs werden nur auf eigenen Servern gespeichert [7] und ein Security-Review von einem externen IT-Dienstleister durchgeführt [6].  Also alles richtig gemacht? Im Prinzip ja, aber...

Software-Sicherheit lässt sich nicht als Ereignis oder einmalige Aktion verstehen. Sie ist vielmehr ein Mindset, aus dem ein bestimmtes Verhalten resultiert. Das Unternehmen weist ausdrücklich darauf hin, bei der IT-Sicherheit und zum frühzeitigen Erkennen möglicher Schwachstellen eng mit externen IT-Sicherheitsexperten zusammenzuarbeiten. Regelmäßige Systemtests eingeschlossen. [4]

Unklar ist jedoch, ob bereits im Software-Entwicklungsprozess integrierte Security-Tests und entsprechende Tools eingesetzt werden. Externe Pen-Tests oder Audits sind zwar sinnvoll. Aber selbst, wenn man sie regelmäßig durchführt, können sie nicht mit der Entwicklungsgeschwindigkeit einer App oder Web-Applikation mithalten. Sicherheit sollte in die Entwicklung integriert sein, d.h. zumindest die kontinuierliche Pflege von Bedrohungsmodellen und ein automatisiertes Code Scanning während der Entwicklung. Schwachstellen wie Authentication-Bypass bei bestimmten Endpoints lassen sich in der Regel schon mit SAST (Static Application Security Testing)-Werkzeugen finden. Dazu muss der Code nicht kompiliert sein, so dass man SAST schon sehr früh im Entwicklungszyklus einsetzen kann. Spätestens mit IAST (Interactive Application Security Testing) oder DAST (Dynamic Security Application Testing)/API-Scannern lassen sich solche Schwachstellen aufdecken. 

Leider verlassen sich immer noch viele, insbesondere kleine und mittelständische Unternehmen auch bei der Software-Sicherheit vollständig auf externe IT-Dienstleister. Die greifen aber in der Regel auf sogenannte Penetration-Tests zurück. Nur in den wenigsten Fällen beraten sie Unternehmen zu proaktiven Methoden wie Code Scans in der CI-Pipeline. Hier fehlt weiterhin eine klare Differenzierung zwischen Application Security und IT Security im Allgemeinen.“

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Artikel zu diesem Thema

Microsoft Exchange
Mär 22, 2021

Microsoft: Zehntausende E-Mail-Server wegen Sicherheitslücke gehackt

Update 22.03.21, 15:56 Die Sicherheitslücken im weit verbreiteten Kommunikationssystem…
Cybercrime
Mär 13, 2021

Die größten Cyber-Gefahren 2021

Das Ende des „Schadsoftware-Königs“ Emotet im Januar war zwar ein Erfolg im Kampf für die…
Cyber Security
Mär 12, 2021

Das sind die häufigsten IT-Schwachstellen

Während sich viele Unternehmen 2020 digital neu erfanden, griffen Cyberkriminelle…

Weitere Artikel

Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.