Datenschutzvorfall?

Fragen, Vorschläge, Anforderungen, Diskussion zu WebUntis Termin und Klassenbuch
quidditch
Beiträge: 1
Registriert: 27. März 2020, 20:27

Datenschutzvorfall?

Beitrag von quidditch » 27. März 2020, 20:34

Ein junger Kollege machte unser Kollegium heute auf diesen Fall aufmerksam: https://twitter.com/Linuzifer/status/12 ... 9531111426. Für uns wirken die Sicherheitsprobleme höchst bedrohlich. Sollten die Angaben so stimmen müssten wir unseren aktuellen Datenbestand in Webuntis wohl hinterfragen.
Als schulischer Datenschutzbeauftragter muss ich jetzt den möglichen Datenschutzvorfall aufklären und Meldung erstatten. Wie handhaben das andere Schulen? Gibt es bereits eine offizielle Stellungsnahme aus dem Hause WebUntis?

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Datenschutzvorfall?

Beitrag von axelrumkorf » 30. März 2020, 09:59

Ich bin entsetzt!!! Ich hoffe, dass Untis sich schnellstmöglich hierzu äußert. Bisher haben wir die Noteneingabe zum Glück nicht genutzt, doch aufgrund der Corona-Krise beginnen wir gerade alle Leistungsstände in WebUntis zu sammeln. Müssen wir jetzt wieder zurückrudern?

Statt Drohungen gegen Herrn Meis auszusprechen, sollte lieber ein "Dankeschön" vonseiten der Untis GmbH erfolgen...
https://robin.meis.space/2020/03/11/not ... enbuchern/
Axel Rumkorf
Mariengymnasium Jever

chg
Untis GmbH
Beiträge: 929
Registriert: 17. Mai 2005, 15:43

Re: Datenschutzvorfall?

Beitrag von chg » 30. März 2020, 11:48

Hallo Herr Rumkorf,

wir waren in den letzten Monaten mit Hrn. Meis in Kontakt, das ist richtig - Tatsache ist, dass alle Schwachstellen, die gemeldet wurden, bereits behoben sind, das wird im Blog auch explizit erwähnt
Nachfolgend werden die identifizierten Schwachstellen grundlegend beschrieben. Zudem werden in Proof-of-Concepts neben der eigentlichen Schwachstelle auch Möglichkeiten zur Ausnutzung gezeigt. Alle Schwachstellen sind mittlerweile behoben.
Wir sind jeglichen Meldungen, die unsere Software sicherer macht, dankbar, natürlich auch Hrn. Meis - deshalb haben wir ihm auch einen sog. Bug Bounty (= finanzielle Entschädigung für den Aufwand) angeboten. Offensichtlich ist bei der Kommunikation trotzdem etwas schief gelaufen, das ist natürlich schade und tut mir leid, Drohungen sind definitiv nicht unsere Art.

Wir werden in den nächsten Tagen die Kommunikation noch einmal durchforsten, ev. mit Hrn. Meis noch einmal Kontakt aufnehmen und anschließend hier eine offizielle Stellungnahme posten.
Christian Gruber
Untis GmbH

rrt
Untis GmbH
Beiträge: 132
Registriert: 6. Juni 2008, 07:48
Wohnort: Stockerau, Österreich

Re: Datenschutzvorfall?

Beitrag von rrt » 31. März 2020, 10:25

Hallo,

Hier unsere offizielle Stellungnahme zu diesem Vorfall. Diese Stellungnahme wird automatisch bei allen WU-Administratoren auf der Startseite angezeigt.

Sehr geehrte WebUntis Administratoren,

wir möchten Sie darauf hinweisen, dass wir mit der WebUntis Version 2020.9.6 zwei Sicherheitslücken geschlossen haben:

Cross-Site-Request-Forgery
Unter bestimmten Umständen war es möglich, gefälschte WebUntis Nachrichten zu schicken. Folgende Vorbedingungen mussten dabei erfüllt sein:
• Aktive WebUntis Session
• Aufrufen eines manipulierten Links
• Sowohl WebUntis als auch die manipulierte Seite mussten im selben Browser aufgerufen werden

Cross-Site-Scripting
Wenn ein Angreifer im Besitz eines gültigen WebUntis Zugangs war (Benutzername + Passwort) war es möglich, JavaScript Code einzuschleusen und damit diverse Informationen auszulesen oder zu manipulieren – allerdings ausschließlich im Rahmen der Berechtigungen des betreffenden Benutzers.

Wir möchten uns bei allen Stellen bedanken, die uns auf diese Punkte aufmerksam gemacht haben. Auf die Schließung dieser Schwachstellen hatten wir bereits in den Release Notes hingewiesen, nachdem es aber nun Nachfragen zu diesem Thema gab, möchten wir Sie nun auch über diesen Weg noch einmal darüber in Kenntnis setzen.

Sind meine Daten sicher?
Ja. Wir haben nach Bekanntwerden der Lücken sofort technische und organisatorische Maßnahmen ergriffen, um die Ausnützung dieser zu unterbinden. In unseren Logs kann diesbezüglich kein Nachweis gefunden werden, die auf eine Ausnützung der benannten Lücken hindeutet. Das bedeutet, dass wir mit sehr hoher Wahrscheinlichkeit ausschließen können, dass Daten manipuliert oder unrechtmäßig eingesehen wurden.

Muss ich als WebUntis Administrator jedwede Schritte unternehmen?
Gemäß Artikel 33 EU-DSGVO gilt: “Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.”
Nachdem wir mit sehr hoher Wahrscheinlichkeit ausschließen können, dass Daten manipuliert oder unrechtmäßig eingesehen wurden, sind aus unserer Sicht für Sie keine weiteren Schritt zu unternehmen.

Hat die Untis GmbH jemandem gedroht?

Wir arbeiten seit mehreren Monaten an einer neuen Benutzeroberfläche für WebUntis. In seiner Veröffentlichung ist Hr. Meis der Meinung, eine Lücke nur durch Aktivierung dieser neuen UI in WebUntis gefunden zu haben. Da die Stelle aber über andere Wege auch erreichbar ist, und wir aus naheliegenden Gründen nicht wollten, dass unser neues UI vorzeitig veröffentlicht wird, haben wir Herrn Meis das Herzeigen der neuen Benutzeroberfläche untersagt. Hr. Meis bleibt aber bei seinem Standpunkt und wir mussten unsere Argumentation etwas stärker unterschreiben. Dass dies als Drohung bei Herrn Meis ankam, war keineswegs unsere Absicht und wir entschuldigen uns dafür.

Was leider im Beitrag von Herrn Meis untergeht ist die Tatsache, dass wir ihm sowohl in den Release Notes, als auch schriftlich für seine Hinweise gedankt haben, und ihm sogar einen Bug Bounty angeboten haben.
Ruben Ruiz Torrubiano
Untis GmbH

HGr
Beiträge: 34
Registriert: 21. März 2013, 11:51

Re: Datenschutzvorfall?

Beitrag von HGr » 31. März 2020, 15:35

rrt hat geschrieben:
31. März 2020, 10:25
Hier unsere offizielle Stellungnahme zu diesem Vorfall. Diese Stellungnahme wird automatisch bei allen WU-Administratoren auf der Startseite angezeigt.
Werden die "Informationen von Untis an Administrator*innen" eventuell mit dem Update des UI auch professionell gelöst oder bleibt das ein so liebloses Textfeld mit leeren <p></p> zur Formatierung?

chg
Untis GmbH
Beiträge: 929
Registriert: 17. Mai 2005, 15:43

Re: Datenschutzvorfall?

Beitrag von chg » 31. März 2020, 16:27

Werden die "Informationen von Untis an Administrator*innen" eventuell mit dem Update des UI auch professionell gelöst oder bleibt das ein so liebloses Textfeld mit leeren <p></p> zur Formatierung?
Wir haben diese Möglichkeit im aktuellen UI geschaffen, um möglichst schnell alle Administratoren über wichtige Dinge informieren zu können - in der neuen Benutzeroberfläche wird das komplette Design auf eine neue Stufe gehoben, auch die WebUntis Startseite.
Christian Gruber
Untis GmbH

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Datenschutzvorfall?

Beitrag von axelrumkorf » 31. März 2020, 18:44

Vielen Dank für die schnelle Stellungnahme!!

Ich denke, Datensicherheit sollte vor allen anderen Funktionserweiterungen und -verbesserungen an erster Stelle stehen.
Ich hoffe, dass Untis dies genauso sieht.

Beste Grüße
Axel Rumkorf
Mariengymnasium Jever

chg
Untis GmbH
Beiträge: 929
Registriert: 17. Mai 2005, 15:43

Re: Datenschutzvorfall?

Beitrag von chg » 31. März 2020, 19:33

Ich denke, Datensicherheit sollte vor allen anderen Funktionserweiterungen und -verbesserungen an erster Stelle stehen.
Ich hoffe, dass Untis dies genauso sieht.
Das würde ich genauso unterschreiben - Security Issues werden bei uns als sog. Blocker eingestuft. Das bedeutet, dass aktuelle Arbeiten unterbrochen und alle Kräfte darauf verwendet werden, den Issue zu fixen und anschließend kurzfristig einen Hotfix herauszubringen.
Christian Gruber
Untis GmbH

rm-rf2
Beiträge: 2
Registriert: 31. März 2020, 23:06

Re: Datenschutzvorfall?

Beitrag von rm-rf2 » 31. März 2020, 23:12

Ich danke Ihnen für die klaren Aussagen in Ihrer Stellungnahme. Ein Teil Ihrer Aussagen in der jetzigen Form war mir bisher leider unbekannt. Ich war während der gesamten Behebungsphase stets erreichbar und habe grundsätzlich Kompromissbereitsschaft gezeigt. So habe ich Ihnen beispielsweise die Verzögerung des Veröffentlichungszeitpunkts unter bestimmten Bedingungen eingeräumt. Jedoch habe ich Sie auch zeitweise um klare Antworten gebeten und grundsätzlich klare Aussagen erwartet. Zum aktuellen Zeitpunkt muss ich leider feststellen, dass eine differenziertere Veröffentlichung unter Berücksichtigung aller mir jetzt bekannten Informationen möglich gewesen wäre. Jedoch muss ich auch feststellen, dass ein Teil Ihrer Stellungnahme derzeit leider fachliche und inhaltliche Fehler aufweist. Diese möchte ich nachfolgend gerne korrigieren.

Beginnen möchte ich zunächst mit einer Klarstellung des Punktes Cross-Site-Scripting. Hier gilt, wie auch bereits im ersten Proof-of-Concept demonstriert, dass diese Schwachstelle aufgrund der beschriebenen Cross-Site-Request-Forgery Problematik auch ohne einen gültigen Login ausgenutzt werden konnte. Für einen erfolgreichen Angriff gelten die beschriebenen Bedingungen.

Fortfahren möchte ich mit einer Richtigstellung zum Thema Bug Bounty. Es ist korrekt, dass mir ein Bug Bounty angeboten wurde. Dies wurde entgegen Ihrer Ausführung auch in meinem Blogpost genannt. Ergänzend zu Ihren Ausführungen gilt zudem, dass Sie das Bug Bounty an die Bedingung der Unterzeichnung eines NDA geknüpft haben. Im Umkerschluss hätte die Annahme dieses Angebots jedoch als Erpressung angesehen werden können. Daher habe ich aus Selbstschutz auf das Angebot verzichtet. Dabei gilt auch, dass ich der Untis GmbH einen derartigen Vorsatz ausdrücklich nicht unterstelle.

Damit möchte ich auch bereits zum Punkt Hat die Untis GmbH jemandem gedroht? kommen.

Ich selbst bin kein Nutzer von WebUntis. Entsprechend sind mir die verfügbaren grafischen Oberflächen und Funktionen nicht im Detail bekannt. Ich kann die angegebenen Gründe, aus denen Sie mit einer Veröffentlichung von Aufnahmen der neuen UI nicht einverstanden waren, zum aktuellen Zeitpunkt, durchaus nachvollziehen.

Bitte verstehen Sie jedoch auch, dass mir lange Zeit nicht bekannt war, dass es sich dabei um eine unveröffentlichte Version handelt. Unbegründete Verbote und Androhungen juristischer Konsequenzen stoßen bei mir jedenfalls eher auf Unverständnis, als auf die Bereitschaft einer Bitte oder gar einer Forderung nachzukommen.

Fakt ist auch, dass Sie mir am 11.02.2020 mitteilten, dass über die Schwachstellen in der Nachrichtenfunktion hinaus keine weiteren XSS Schwachstellen bekannt seien. Vor dem Hintergrund der am 21.02.2020 erfolgten Ergänzungsmeldung weiterer Schwachstellen, wirft diese Aussage Fragen auf. Sie erscheint mir nach wie vor leider entweder als Falschaussage oder als eine nicht ausreichenden Prüfung der gesamten Anwendung. Des weiteren gilt, dass ich in den veröffentlichten Bildschirmaufnahmen meinen Weg zur Identifikation der Schwachstellen beschreibe. Selbstverständlich ist es möglich, dass weitere Wege existieren. Welche Endpunkte dabei in welcher UI eingebunden sind, ist mir nicht in allen Details bekannt. Eine kurze Erklärung der Zusammenhänge wäre jedoch als Begründung für Ihren Standpunkt unterstützend gewesen und hätte eine Nachvollziehbarkeit Ihres Standpunkts geschaffen.

Für diesen Aspekt komme ich daher zu dem Schluss, dass eine Übereinkunft durchaus möglich gewesen wäre. Jedoch war mir ein Teil der Aspekte in dieser Form bisher nicht bekannt.

rrt
Untis GmbH
Beiträge: 132
Registriert: 6. Juni 2008, 07:48
Wohnort: Stockerau, Österreich

Re: Datenschutzvorfall?

Beitrag von rrt » 1. April 2020, 07:55

Hallo Herr Meis,

Vielen Dank für Ihre ausführliche Stellungnahme. Ich denke auch, dass hier eine Übereinkunft möglich gewesen wäre. Leider ist in der Kommunikation einiges zwischen den Zeilen "verloren" gegangen, deswegen war mir auch so wichtig, mit Ihnen persönlich sprechen zu können, dann hätten wir ein paar Missverständnisse von beiden Seiten aus der Welt räumen können.

Sie haben auch recht, dass die Kombination der Schwachstellen Cross-Site-Scripting mit Cross-Site-Request-Forgery auch einen Angriff ohne einen gültigen Login möglich gemacht hätte. Wir haben deshalb die Cross-Site-Request-Forgery Schwachstelle schleunigst behoben, bei Cross-Site-Scripting war eine Anzahl von Maßnahmen notwendig, die einer ausführlichen Testphase unterzogen werden mussten, deswegen dauerte es da etwas länger. Hier kommt eben das Missverständnis auf, dass wir unter "Cross-Site-Scripting Schwachstelle" eben *alle* möglichen Varianten einer Cross-Site-Scripting Attacke betrachten, und nicht nur bei den internen Nachrichten. Daher meine Aussage, dass weitere Lücken in dieser Richtung nicht bekannt seien. Nocheinmal zu unserer Vorgangsweise: wir haben eine Reihe von Maßnahmen eingesetzt, um sicherzustellen, dass WebUntis gegen jeglichen Cross-Site-Scripting Angriffsversuch geschützt ist. Das beinhaltet sowohl zentrale als auch, wenn notwendig, lokale Maßnahmen. Die meisten der von Ihnen gemeldeten Stellen konnten zentral behoben werden.

Ich möchte auch richtigstellen, dass Sie in Ihrem Beitrag durchaus unser Angebot von einem Bug Bounty erwähnen. Ja, das Angebot war an einer NDA geknüpft, was wir aber niemals gegen Sie als Erpressung ausgenützt hätten. An der Stelle möchte ich mich auch explizit und öffentlich für die Meldung der gefundenen Schwachstellen auch bedanken. Wir haben mit Hochdruck daran gearbeitet, diese Schwachstellen zu beseitigen und ich hoffe, dass mit diesen Stellungnahmen von Ihnen, bzw. von unserer Seite auch unsere Anwender sicher sind, dass uns das Thema enorm wichtig ist und dass die Daten sicher bei uns sind.
Ruben Ruiz Torrubiano
Untis GmbH

axelrumkorf
Beiträge: 475
Registriert: 26. Juli 2016, 10:42

Re: Datenschutzvorfall?

Beitrag von axelrumkorf » 1. April 2020, 09:27

Ich lese mir die Stellungnahmen als technischer Laie durch und komme zu dem Schluss, dass hier ein typischer Fall von Einbahnstraßen-Kommunikationsproblem (E-Mail-Kommunikation) besteht/bestand. Wäre es nicht im Sinne aller Beteiligten, wenn man ein sachliches Telefonat führen und eine konstruktive Zusammenarbeit planen anstatt würde, nachdem man die Missverständnisse und Differenzen ausräumt.

Digital hat ja viele Vorteile - manchmal ist aber ein Telefonat die bessere Lösung.

Ich danke beiden Seiten für die transparente Diskussion!!

Beste Grüße
Axel Rumkorf
Mariengymnasium Jever

Nils
Beiträge: 13
Registriert: 26. Oktober 2017, 19:35

Re: Datenschutzvorfall?

Beitrag von Nils » 28. April 2020, 09:23

Au Backe! Ich bin immernoch von der Philosophie der Untis Programmierung überzeugt. Aber auch eine gute Philosophie schützt nicht vor nicht optimalem Problem Management.

Zudem, das hier:
rrt hat geschrieben:
31. März 2020, 10:25
Hier unsere offizielle Stellungnahme zu diesem Vorfall. Diese Stellungnahme wird automatisch bei allen WU-Administratoren auf der Startseite angezeigt.
ist vollkommen an mir vorbeigegangen. Wäre nicht ein weiter Bug aufgetreten, hätte ich nicht das Forum besucht.

Um es klar zu sagen:
Ich habe eine solche Information als Administrator NICHT gesehen!

:roll:

Das nur als Hinweis.

quiclic
Beiträge: 1396
Registriert: 28. April 2015, 08:09
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von quiclic » 28. April 2020, 10:01

Hi Nils,

so sieht meine Startseite heute aus. Der Link zum Datenschutzvorfall war wirklich für einige Zeit da. Heute allerdings nicht mehr.
adminstartseite.jpg
Gruß Marc
Marc Fehrenbacher, Feintechnikschule, Baden-Württemberg

Nils
Beiträge: 13
Registriert: 26. Oktober 2017, 19:35

Re: Datenschutzvorfall?

Beitrag von Nils » 28. April 2020, 13:05

Hallo Marc,

danke für die Rückmeldung. Genau so sieht auch meine Startseite aus, zuzüglich unserer individuellen Nachrichten. Das sorgt unter anderem dafür, dass die "Informationen von Untis an Administrator*innen" ganz unten stehen (ca. 2 Bildschirme weiter unten). Da ich die Nachrichten verwalte scrolle ich auch nicht jeden Tag nach unten, um die Admin Nachrichten von Untis zu prüfen. Die anderen Nachrichten stammen ja alle von mir... :-/

Hier sollte überdacht werden, ob bei so einem Ereignis, die Admin Nachrichten nicht ganz oben auf der Seite stehen sollten. Oder eine direkte Nachricht in das interne Nachrichten System eingepflegt wird, sodass man dies auf gar keinen Fall übersehen kann.

Danke und liebe Grüße
Nils

HGr
Beiträge: 34
Registriert: 21. März 2013, 11:51

Re: Datenschutzvorfall?

Beitrag von HGr » 28. April 2020, 15:27

Nils hat geschrieben:
28. April 2020, 13:05
Hier sollte überdacht werden, ob bei so einem Ereignis, die Admin Nachrichten nicht ganz oben auf der Seite stehen sollten. Oder eine direkte Nachricht in das interne Nachrichten System eingepflegt wird, sodass man dies auf gar keinen Fall übersehen kann.
Die ganz normale Funktionalität Nachrichten als gelesen markieren zu können würde schon helfen, aber es ist ja ein Textfeld...

Die allgemeinen Informationen gehören IMHO unter /WebUntis/#about und einen Link auf die "neue" Homepage brauche ich dort nicht.

Antworten