Wie eine jüngst in der Tagesschau veröffentlichte Recherche des BR ergeben hat, weist die in ganz Deutschland genutzte Lern-App „Anton“ eine schwerwiegende Sicherheitslücke auf. Dazu ein Kommentar von Gunnar Braun von Synopsys.
Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.
„Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte – diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App „Anton“ waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern. (…)
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der „Anton“-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.“
Dazu ein Kommentar von Gunnar Braun, Synopsys:
„Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrove
Dabei hatte man nur die besten Absichten, und „Anton“ gilt grundsätzlich als besonders datenschutzfreundlich. Hinter der Lern-App steht ein taugliches Datenschutzkonzept. Die Server haben beispielsweise ihren Standort in Deutschland, es werden keine Nutzerdaten erhoben (auf Google Analytics wird explizit verzichtet) [5], die Logs werden nur auf eigenen Servern gespeichert [7] und ein Security-Review von einem externen IT-Dienstleister durchgeführt [6]. Also alles richtig gemacht? Im Prinzip ja, aber…
Software-Sicherheit lässt sich nicht als Ereignis oder einmalige Aktion verstehen. Sie ist vielmehr ein Mindset, aus dem ein bestimmtes Verhalten resultiert. Das Unternehmen weist ausdrücklich darauf hin, bei der IT-Sicherheit und zum frühzeitigen Erkennen möglicher Schwachstellen eng mit externen IT-Sicherheitsexperten zusammenzuarbeiten. Regelmäßige Systemtests eingeschlossen. [4]
Unklar ist jedoch, ob bereits im Software-Entwicklungsprozess integrierte Security-Tests und entsprechende Tools eingesetzt werden. Externe Pen-Tests oder Audits sind zwar sinnvoll. Aber selbst, wenn man sie regelmäßig durchführt, können sie nicht mit der Entwicklungsgeschwindigkeit einer App oder Web-Applikation mithalten. Sicherheit sollte in die Entwicklung integriert sein, d.h. zumindest die kontinuierliche Pflege von Bedrohungsmodellen und ein automatisiertes Code Scanning während der Entwicklung. Schwachstellen wie Authentication-Bypass bei bestimmten Endpoints lassen sich in der Regel schon mit SAST (Static Application Security Testing)-Werkzeugen finden. Dazu muss der Code nicht kompiliert sein, so dass man SAST schon sehr früh im Entwicklungszyklus einsetzen kann. Spätestens mit IAST (Interactive Application Security Testing) oder DAST (Dynamic Security Application Testing)/API-Scannern lassen sich solche Schwachstellen aufdecken.
Leider verlassen sich immer noch viele, insbesondere kleine und mittelständische Unternehmen auch bei der Software-Sicherheit vollständig auf externe IT-Dienstleister. Die greifen aber in der Regel auf sogenannte Penetration-Tests zurück. Nur in den wenigsten Fällen beraten sie Unternehmen zu proaktiven Methoden wie Code Scans in der CI-Pipeline. Hier fehlt weiterhin eine klare Differenzierung zwischen Application Security und IT Security im Allgemeinen.“