Anzeige

Lern-App

Wie eine jüngst in der Tagesschau veröffentlichte Recherche des BR ergeben hat, weist die in ganz Deutschland genutzte Lern-App „Anton“ eine schwerwiegende Sicherheitslücke auf. Dazu ein Kommentar von Gunnar Braun von Synopsys.

Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.

„Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte – diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App "Anton" waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern. (...)

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der "Anton"-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.“

Dazu ein Kommentar von Gunnar Braun, Synopsys: 

„Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer "schlimmen Situation", denn Kinder seien besonders schutzwürdig. Und wie die Recherchen ergeben haben, finden sich allein in München Daten von über 3000 Schülern und 200 Schulen. [1] Die App „Anton“ wird aber auch in anderen Ländern genutzt und wurde – wie man den Recherchen entnehmen kann – im Android-App-Store mehr als eine Million Mal heruntergeladen. Entwickelt hat die App die Berliner Firma Solocode. Auf dem Markt ist Anton seit 2018, das Unternehmen inzwischen von 4 auf 45 Mitarbeiter gewachsen (Stand: August 2020) [3]. Solocode hat die Sicherheitslücke eingeräumt und inzwischen behoben. 

Dabei hatte man nur die besten Absichten, und „Anton“ gilt grundsätzlich als besonders datenschutzfreundlich. Hinter der Lern-App steht ein taugliches Datenschutzkonzept. Die Server haben beispielsweise ihren Standort in Deutschland, es werden keine Nutzerdaten erhoben (auf Google Analytics wird explizit verzichtet) [5], die Logs werden nur auf eigenen Servern gespeichert [7] und ein Security-Review von einem externen IT-Dienstleister durchgeführt [6].  Also alles richtig gemacht? Im Prinzip ja, aber...

Software-Sicherheit lässt sich nicht als Ereignis oder einmalige Aktion verstehen. Sie ist vielmehr ein Mindset, aus dem ein bestimmtes Verhalten resultiert. Das Unternehmen weist ausdrücklich darauf hin, bei der IT-Sicherheit und zum frühzeitigen Erkennen möglicher Schwachstellen eng mit externen IT-Sicherheitsexperten zusammenzuarbeiten. Regelmäßige Systemtests eingeschlossen. [4]

Unklar ist jedoch, ob bereits im Software-Entwicklungsprozess integrierte Security-Tests und entsprechende Tools eingesetzt werden. Externe Pen-Tests oder Audits sind zwar sinnvoll. Aber selbst, wenn man sie regelmäßig durchführt, können sie nicht mit der Entwicklungsgeschwindigkeit einer App oder Web-Applikation mithalten. Sicherheit sollte in die Entwicklung integriert sein, d.h. zumindest die kontinuierliche Pflege von Bedrohungsmodellen und ein automatisiertes Code Scanning während der Entwicklung. Schwachstellen wie Authentication-Bypass bei bestimmten Endpoints lassen sich in der Regel schon mit SAST (Static Application Security Testing)-Werkzeugen finden. Dazu muss der Code nicht kompiliert sein, so dass man SAST schon sehr früh im Entwicklungszyklus einsetzen kann. Spätestens mit IAST (Interactive Application Security Testing) oder DAST (Dynamic Security Application Testing)/API-Scannern lassen sich solche Schwachstellen aufdecken. 

Leider verlassen sich immer noch viele, insbesondere kleine und mittelständische Unternehmen auch bei der Software-Sicherheit vollständig auf externe IT-Dienstleister. Die greifen aber in der Regel auf sogenannte Penetration-Tests zurück. Nur in den wenigsten Fällen beraten sie Unternehmen zu proaktiven Methoden wie Code Scans in der CI-Pipeline. Hier fehlt weiterhin eine klare Differenzierung zwischen Application Security und IT Security im Allgemeinen.“

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Artikel zu diesem Thema

Microsoft Exchange
Mär 22, 2021

Microsoft: Zehntausende E-Mail-Server wegen Sicherheitslücke gehackt

Update 22.03.21, 15:56 Die Sicherheitslücken im weit verbreiteten Kommunikationssystem…
Cybercrime
Mär 13, 2021

Die größten Cyber-Gefahren 2021

Das Ende des „Schadsoftware-Königs“ Emotet im Januar war zwar ein Erfolg im Kampf für die…
Cyber Security
Mär 12, 2021

Das sind die häufigsten IT-Schwachstellen

Während sich viele Unternehmen 2020 digital neu erfanden, griffen Cyberkriminelle…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.