Datenlücke

Vor einer Woche wurde die Stay Informed GmbH über eine Sicherheitslücke auf einem ihrer Server informiert, der für den Betrieb ihrer KiTa-App zuständig ist und Daten für die Nutzung der App vorhält.

Über die KiTa-App können die Einrichtungen zum Beispiel Informationen und Termine bereitstellen. Eltern können ihre Kinder vom Besuch des Kindergartens abmelden. Zudem bietet das System eine Chatfunktion. Wichtig ist, dass der betroffene Server nicht die Nachrichteninhalte der Chats gespeichert hat, sondern nur die Anlagen in Form von PDF-Dateien, falls solche der Nachricht angehängt wurden. Nur diese angehängten PDF-Dateien konnten über die Sicherheitslücke eingesehen werden.

Außerdem bietet die KiTa-App die Möglichkeit Daten aus anderen System zu importieren. Diese Daten, die im CSV-Format auf dem Server zwischengespeichert werden, sind im Fall eines Fehlimportes nicht gelöscht worden und konnten über die Sicherheitslücke eingesehen werden. Die betroffene Version der KiTa-App war bis 2022 aktiv. CSV-Dateien für den Datenimport ab dem Jahr 2023 sind somit nicht mehr betroffen. In den letzten Tagen hat die Stay Informed GmbH die betroffenen Kindertageseinrichtungen mit in Frage kommenden CSV-Dateien informiert.

Der betroffene Server war direkt über seine IP-Adresse ansprechbar. Über das Protokoll http und den Port 443 lieferte der Server ein Directory Listing seines gesamten Inhalts und gewährte aufgrund fehlender Serverkonfiguration auch den Zugriff auf die Daten. Der Zugriff war frühestens seit dem 20. Oktober 2021 möglich. Die Sicherheitslücke ist zwischenzeitlich geschlossen, so dass keine Daten mehr abfließen können.

Wenn Ihre Kindertageseinrichtung im Bereich der evangelischen Kirche von dieser Sicherheitslücke betroffen ist, muss die Datenpanne gemäß § 32 EKD-Datenschutzgesetz an den Beauftragten für den Datenschutz der EKD (BfD EKD) gemeldet werden. Um eine Fülle von Einzelmeldungen aus den betroffenen Kindertageseinrichtungen zu vermeiden, informieren Sie bitte zunächst Ihren örtlich Beauftragten für den Datenschutz oder die übergeordnete Verwaltungseinheit (Verwaltungsverbund, Kirchenkreis, Dekanat etc.) über die Datenpanne. Von dort sollte dann eine Sammelmeldung mit Nennung der einzelnen betroffenen Kindertageseinrichtungen und mit dem Hinweis, ob die Eltern der Kita-Kinder als betroffene Personen gemäß § 33 EKD-Datenschutzgesetz benachrichtigt wurden, an den BfD EKD erfolgen. Hierfür kann das vom BfD EKD auf seiner Homepage im Bereich Service bereit gestellte Meldeformular für eine Datenpanne genutzt werden. Weitere Informationen zur Meldung einer Datenpanne finden Sie – ebenfalls auf der Homepage des BfD EKD – im Bereich Infothek/Handreichung in der entsprechenden Arbeitshilfe. 

Bildquellen