Kommentar

Lern-App „Anton“ mit schwerer Sicherheitslücke

Wie eine jüngst in der Tagesschau veröffentlichte Recherche des BR ergeben hat, weist die in ganz Deutschland genutzte Lern-App „Anton“ eine schwerwiegende Sicherheitslücke auf. Dazu ein Kommentar von Gunnar Braun von Synopsys.

Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.

Anzeige

„Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte – diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App “Anton” waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern. (…)

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der “Anton”-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.“

Dazu ein Kommentar von Gunnar Braun, Synopsys: 

Anzeige

„Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer “schlimmen Situation”, denn Kinder seien besonders schutzwürdig. Und wie die Recherchen ergeben haben, finden sich allein in München Daten von über 3000 Schülern und 200 Schulen. [1] Die App „Anton“ wird aber auch in anderen Ländern genutzt und wurde – wie man den Recherchen entnehmen kann – im Android-App-Store mehr als eine Million Mal heruntergeladen. Entwickelt hat die App die Berliner Firma Solocode. Auf dem Markt ist Anton seit 2018, das Unternehmen inzwischen von 4 auf 45 Mitarbeiter gewachsen (Stand: August 2020) [3]. Solocode hat die Sicherheitslücke eingeräumt und inzwischen behoben. 

Dabei hatte man nur die besten Absichten, und „Anton“ gilt grundsätzlich als besonders datenschutzfreundlich. Hinter der Lern-App steht ein taugliches Datenschutzkonzept. Die Server haben beispielsweise ihren Standort in Deutschland, es werden keine Nutzerdaten erhoben (auf Google Analytics wird explizit verzichtet) [5], die Logs werden nur auf eigenen Servern gespeichert [7] und ein Security-Review von einem externen IT-Dienstleister durchgeführt [6].  Also alles richtig gemacht? Im Prinzip ja, aber…

Software-Sicherheit lässt sich nicht als Ereignis oder einmalige Aktion verstehen. Sie ist vielmehr ein Mindset, aus dem ein bestimmtes Verhalten resultiert. Das Unternehmen weist ausdrücklich darauf hin, bei der IT-Sicherheit und zum frühzeitigen Erkennen möglicher Schwachstellen eng mit externen IT-Sicherheitsexperten zusammenzuarbeiten. Regelmäßige Systemtests eingeschlossen. [4]

Unklar ist jedoch, ob bereits im Software-Entwicklungsprozess integrierte Security-Tests und entsprechende Tools eingesetzt werden. Externe Pen-Tests oder Audits sind zwar sinnvoll. Aber selbst, wenn man sie regelmäßig durchführt, können sie nicht mit der Entwicklungsgeschwindigkeit einer App oder Web-Applikation mithalten. Sicherheit sollte in die Entwicklung integriert sein, d.h. zumindest die kontinuierliche Pflege von Bedrohungsmodellen und ein automatisiertes Code Scanning während der Entwicklung. Schwachstellen wie Authentication-Bypass bei bestimmten Endpoints lassen sich in der Regel schon mit SAST (Static Application Security Testing)-Werkzeugen finden. Dazu muss der Code nicht kompiliert sein, so dass man SAST schon sehr früh im Entwicklungszyklus einsetzen kann. Spätestens mit IAST (Interactive Application Security Testing) oder DAST (Dynamic Security Application Testing)/API-Scannern lassen sich solche Schwachstellen aufdecken. 

Leider verlassen sich immer noch viele, insbesondere kleine und mittelständische Unternehmen auch bei der Software-Sicherheit vollständig auf externe IT-Dienstleister. Die greifen aber in der Regel auf sogenannte Penetration-Tests zurück. Nur in den wenigsten Fällen beraten sie Unternehmen zu proaktiven Methoden wie Code Scans in der CI-Pipeline. Hier fehlt weiterhin eine klare Differenzierung zwischen Application Security und IT Security im Allgemeinen.“

Gunnar

Braun

Technical Account Manager

Synopsys

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.