Datenschutzvorfall?

Fragen, Vorschläge, Anforderungen, Diskussion zu WebUntis Termin und Klassenbuch
kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von kroerig » 2. Juni 2020, 22:18

Nils hat geschrieben:
28. April 2020, 09:23
Au Backe! Ich bin immernoch von der Philosophie der Untis Programmierung überzeugt. Aber auch eine gute Philosophie schützt nicht vor nicht optimalem Problem Management.

Zudem, das hier:
rrt hat geschrieben:
31. März 2020, 10:25
Hier unsere offizielle Stellungnahme zu diesem Vorfall. Diese Stellungnahme wird automatisch bei allen WU-Administratoren auf der Startseite angezeigt.
ist vollkommen an mir vorbeigegangen. Wäre nicht ein weiter Bug aufgetreten, hätte ich nicht das Forum besucht.

Um es klar zu sagen:
Ich habe eine solche Information als Administrator NICHT gesehen!

:roll:

Das nur als Hinweis.
An mir ist die Meldung komplett vorbeigegangen, da an der Schule hier niemand in Untis mit dem Adminaccount arbeitet. Dessen Zugangsdaten liegen im Tresor. Alle Benutzer, die mit WebUntis arbeiten haben einen persönlichen Login, der mit genau den Rechten ausgestattet ist, die die Person für ihre Arbeit benötigt.

In einem solchen Fall erwarte ich, dass eine solche Info per Mail/Brief an die Kunden verschickt wird. Da Untis selbst die Kunden nicht alle kennt, muss das in so einem Fall über die Partner laufen. Die kennen die Ansprechpartner bei den Kunden.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

rm-rf2
Beiträge: 2
Registriert: 31. März 2020, 23:06

Re: Datenschutzvorfall?

Beitrag von rm-rf2 » 7. Juni 2020, 03:11

An der Stelle sei darauf hingewiesen: Die bisherigen Behebungsversuche können nicht als wirksam angesehen werden. Das Problem existiert weiterhin: https://robin.meis.space/2020/06/07/web ... idee-sind/. Genau auf diese Gefahr habe ich bereits bei der Implementierung des Filters hingewiesen, wurden aber von Seiten Untis abgetan. Es tut mir leid, aber ich komme hier zu dem Schluss, dass das Thema Sicherheit derzeit vernachlässigt wird.

Wie steht es eigentlich um den im Januar angekündigten, öffentlich dokumentierten Prozess zur Meldung von Sicherheitslücken?

rrt
Untis GmbH
Beiträge: 132
Registriert: 6. Juni 2008, 07:48
Wohnort: Stockerau, Österreich

Re: Datenschutzvorfall?

Beitrag von rrt » 8. Juni 2020, 10:08

Danke für die Meldung dieses Problems und Ihre Einschätzung dazu. Wenige Stunden nach Bekanntmachung dieser Lücke hat unser Team diese geschlossen. Der Schutz ist weiterhin wirksam. Alle Administratoren werden gerade informiert.
Wir arbeiten auch weiterhin an einer Security Disclosure Policy, das Thema wird weiterhin aktiv betrieben, wir werden demnächst eine Ankündigung und einen eigenen Bereich auf unserer Home Page einrichten.
Ruben Ruiz Torrubiano
Untis GmbH

quiclic
Beiträge: 1311
Registriert: 28. April 2015, 08:09
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von quiclic » 13. Juni 2020, 12:28

kroerig hat geschrieben:
2. Juni 2020, 22:18
An mir ist die Meldung komplett vorbeigegangen, da an der Schule hier niemand in Untis mit dem Adminaccount arbeitet. Dessen Zugangsdaten liegen im Tresor. Alle Benutzer, die mit WebUntis arbeiten haben einen persönlichen Login, der mit genau den Rechten ausgestattet ist, die die Person für ihre Arbeit benötigt.
Mein Kollege hat zwei Accounts. Sein Admin-Account hat die Personenrolle Administration und die Benutzergruppe Administration. Er bekommt die Meldungen. Wenn du das anders einstellst, musst du dich natürlich nicht wundern.

Gruß Marc
Marc Fehrenbacher, Feintechnikschule, Baden-Württemberg

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von kroerig » 13. Juni 2020, 14:00

Das ist einfach ein Sicherheitskonzept. Mit administrativen Rechten wird im Alltag nicht gearbeitet. Das gilt für jede Software.
Wann muss ich im Alltag mit Adminrechten in einer (guten) Software arbeiten. Nur dann, wenn ich sie in Betrieb nehme, etwas an den Einstellungen ändern will/muss oder wenn ich einen Fehler suche.

Bei solchen Fällen erwarte ich aber eine Information an alle Kunden per Mail oder Brief und nicht nur einen Info-Text, der dann in der Flut von Meldungen untergeht. Und es hätte in dem Fall wohl auch nicht geschadet diese Information einfach allen Anwendern bei Login (auch in der App) prominent zu präsentieren. Das nenne ich dann offene Kommunikation.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

quiclic
Beiträge: 1311
Registriert: 28. April 2015, 08:09
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von quiclic » 13. Juni 2020, 14:06

Ich und mein Kollege haben je zwei Accounts. Einmal als Lehrer und einmal als Admin. Da ist in WebUntis doch immer sehr viel einzustellen, was als Lehrer natürlich nicht geht. Und sei es nur, eine Mailadresse eines fremden Schülers zu ändern. Noch einen dritten Account wollte ich jetzt nicht machen...
Marc Fehrenbacher, Feintechnikschule, Baden-Württemberg

kroerig
Beiträge: 249
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von kroerig » 13. Juni 2020, 14:57

Was muss man denn da ständig Einstellen? Ich habe Webuntis einmal eingerichtet. Die Benutzer kommen mit allem was das System benötigt aus dem LDAP. Und wenn hin und wieder ein neuer Schüler kommt, kann das Sekretariat die CSV-Datei aus SchILD importieren.
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

quiclic
Beiträge: 1311
Registriert: 28. April 2015, 08:09
Kontaktdaten:

Re: Datenschutzvorfall?

Beitrag von quiclic » 13. Juni 2020, 17:01

Ich betreibe WebUntis unabhängig vom Schulnetz. Das hat Vor- und Nachteile. Dann bin ich z.B. nicht auf unseren Netzadmin angewiesen.
Marc Fehrenbacher, Feintechnikschule, Baden-Württemberg

Antworten