Großes Datenleck bei Eltern-App: Tübingen nicht betroffen

Viele Eltern dürften diese App kennen: „Stay Informed“ wird von vielen Kitas, Schulen oder Pflegeeinrichtungen genutzt, um die Eltern oder Angehörigen relativ einfach auf dem Laufenden zu halten. Auch in Tübingen wird die App im Rahmen eines Pilotprojekts von mehreren Einrichtungen getestet. So können dort Termine verkündet, Rückmeldungen dazu abgegeben werden oder Eltern können ihr Kind krankmelden. Früher war die App unter dem Namen Kita-Info-App oder Schul-Info-App bekannt, bevor er in „Stay Informed“ geändert wurde.

Allein im Google Play Store wurde die App mehr als eine halbe Million mal heruntergeladen. Mit 4,6 von 5 möglichen Sternen wurde sie von den Nutzerinnen und Nutzern bisher auch gut bewertet. Im Apple-Store gibt es sogar eine 4,7 von den Kunden. Laut Angaben der Freiburger Stay Informed GmbH kommunizieren mehr als 11 000 Einrichtungen über die App, die damit über 800 000 Nutzerinnen und Nutzer hat.

Deren Daten waren wohl über längere Zeit öffentlich einsehbar, wie das Computermagazin c’t berichtet. Ein anonymer Hinweisgeber hatte die Redaktion informiert, die Expertinnen und Experten dort konnten das massive Datenleck verifizieren, wie sie berichten: „Auf einem frei zugänglichen Webserver speicherte das Unternehmen große Mengen an Dateien, die zumindest teilweise von Nutzern der Stay-Informed-App stammten“.

Tübinger Einrichtungen sind von dem Datenleck nicht betroffen, teilt die Stadt Tübingen mit. Das habe sie sich schriftlich von „Stay Informed“ bestätigen lassen. Die Einrichtungen wurden von der Stadt darüber informiert.

Der öffentlich erreichbare Server, lieferte direkt ein sogenanntes „Directory Listing“. Directory Listing sei eine Funktion, die aus den Anfangszeiten des Internets stammt und im Webserver Apache noch immer eingebaut ist, erklären die Experten von c’t. „Sie gehört in den allermeisten Fällen deaktiviert“.

Doch damit nicht genug. Das eigentliche Problem im konkreten Fall sei der fehlende Zugriffsschutz auf die Dateien gewesen, so gab es beispielsweise keine Transportverschlüsselung. „Unter den ungeschützten Daten befanden sich fast 1500 CSV-Dateien, die jeweils persönliche Daten einer Vielzahl von Personen enthielten, insbesondere von Minderjährigen. In Verbindung mit Namen, Geburtsdaten und Anschriften fanden sich teilweise auch Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr.“

Diese Daten sollen laut Unternehmensangaben bei 15 Prozent der Einrichtungen betroffen sein. Außerdem sind PDF-Dateien und Avatarbilder betroffen, also auch Fotos von Kindern und Erwachsenen, die als Profilbilder eingegeben wurden und digitale Unterschriften der Eltern. Die Fehlkonfiguration betraf aber wohl nicht die Nachrichtentexte und nicht die Messaging-Funktion.

Die c’t-Redaktion informierte den Betreiber der App, der daraufhin nach eigenen Angaben den Fehler beheben ließ. Inzwischen findet sich auch eine ausführliche Stellungnahme auf der Homepage von „Stay Informed“. „Wir nehmen den Vorfall und Ihre Verunsicherung sehr ernst und möchten Sie über den Vorfall hier transparent und verständlich informieren“, erklären die Verantwortlichen. Das Unternehmen habe die gemeldete Lücke am betroffenen Server am gleichen Tag sofort geschlossen. Außerdem sei eine Untersuchung gestartet worden. „Hierdurch sind in den folgenden Tagen weitere Fehlkonfigurationen auf Entwicklungsservern entdeckt worden, die sofort nach Entdeckung ebenfalls behoben wurden“, heißt es. Laut Geschäftsführer Jürgen Thiel bestand die Fehlkonfiguration des Webservers und damit die öffentliche Zugriffsmöglichkeit, nach „derzeitigen Kenntnisstand frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023“, berichtet das Magazin c’t. Ob die Daten von Unbefugten abgerufen und genutzt wurden, ist derzeit unklar.

Doch wie geht es nun weiter, wie können Eltern überprüfen, ob ihre Daten betroffen sind? Das ist gar nicht so einfach. Denn laut Vertrag des Betreibers mit den Einrichtungen sind diese verantwortlich im Sinne der Datenschutzgrundverordnung. In einem Schreiben an die Einrichtungen rät Thiel, die zuständige Datenschutz-Aufsichtsbehörde zu informieren. „Die Risikoeinschätzung müssen Sie als verantwortliche Stelle selbst vornehmen und basierend darauf entscheiden, ob Sie Ihre App-Nutzer informieren.“

Laut des Fachmagazins c’t könnte das viele Einrichtungen in Schwierigkeiten bringen. „Eine erste Rückmeldung eines Beraters an uns, der für einige Träger tätig ist, deutet an: Mit derlei Entscheidungen könnten einige Einrichtungen anhand der gegebenen Informationen überfordert sein“, heißt es. Wahrscheinlich sei, dass auf die Landesdatenschutzbehörden in den nächsten Tagen tausende Meldungen von Kitas, Schulen und anderer sozialer Einrichtungen zukommen werden. Wie Eltern dann an Informationen kommen, ist noch unklar.

Verbraucherrechte bei Datenlecks

Grundsätzlich können Nutzer auf der Grundlage von Art. 15 DSGVO Auskunft von der Plattform verlangen, ob sie vom Datenleck betroffen sind. Darauf weist Christian Solmecke hin, Partner der Kanzlei WBS.Legal. Wenn diese dann keine oder eine unvollständige Auskunft erteilt, könnte sich daraus bereits ein Schadensersatzanspruch ergeben. „Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben“, erklärt er und verweist auf aktuelle Urteile deutscher Gerichte, die Klägern in ähnlichen Fällen hohe Schadenersatzansprüche zugebilligt hätten.

Über Links wie beispielsweise https://leakchecker.uni-bonn.de/ oder https://sec.hpi.uni-potsdam.de/ilc/search? kann man überprüfen, ob man von Datenlecks betroffen ist. Das aktuelle Leck von „Stay Informed“ dürfte darin aber nicht vermerkt sein.