Sicherheitsleck bei KigaRooÜber zwei Millionen Kita-Daten im Netz

Einem Sicherheitsforscher ist es gelungen, auf sensible Daten des Kita-Software-Anbieters KigaRoo zuzugreifen. Einmal benachrichtigt, handelte der Anbieter vorbildlich und schloss die Lücke umgehend. Der Fall zeigt, dass „Ethical Hacking“ die IT-Sicherheit verbessern kann – und warum eine Reform des Computerstrafrechts überfällig ist.

- - in Technologie - keine Ergänzungen
Die beim Anbieter KigaRoo liegenden Daten waren zeitweise ungenügend geschützt – auch Daten von Kindern. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Pond5 Images

Bei einem Anbieter von Software für Kindergärten, KigaRoo, ist es zu einem Sicherheitsvorfall gekommen. Über zwei Millionen Datensätze erwachsener Personen und von Kindern sollen praktisch ungeschützt im Netz gestanden haben. Das berichtet der Sicherheitsforscher Florian Hantke, der die Lücke entdeckt und an den Anbieter gemeldet hat. KigaRoo bestätigt den Vorfall und gibt an, die Sicherheitslücke inzwischen geschlossen zu haben.

KigaRoo bietet ein umfassendes Softwarepaket für Kindergärten an. Darüber lässt sich unter anderem die Mitarbeiterverwaltung abwickeln und Wartelisten für Kitaplätze verwalten. Eltern können in einem eigenen Bereich mit individuellen Zugangsdaten Details zu Kindern einsehen und etwa Abwesenheiten einstellen. Zu den Kunden zählen unter anderem die Kindertagesstätten von Villa Luna, Infanterix und Polifant.

Der Hersteller verspricht „jederzeit die größtmögliche Sicherheit Ihrer Daten“ und betont: „Niemand außer Ihnen, Ihren Mitarbeitern und freigeschalteten Bezugspersonen kann die jeweils von Ihnen individuell freigegebenen Daten Ihrer Einrichtung einsehen.“

IDs hochzählen

Offenkundig war dies bis vor Kurzem nicht der Fall. Eingeloggt mit einem kostenlosen Testaccount ließen sich über den Aufruf bestimmter URLs potenziell massenhaft Daten abziehen. „Die Schwachstellen betrafen insbesondere fehlende oder fehlerhafte Autorisierungsprüfungen“, sagt Hantke. Anders gesagt: Wer das Format der URLs kannte oder erraten hatte, musste einfach nur die Nutzer-ID ändern, um Zugriff auf den jeweiligen Datensatz zu erhalten.

Solche Abfragen ließen sich mit beliebigen IDs durchführen, die aus einer siebenstelligen Zahl bestanden. „Da alle genannten IDs numerisch waren und dadurch einfach hochgezählt werden konnten, ließen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen“, sagt Hantke. Dies habe Kontaktdaten, Adressen, Bankdaten und mehr beinhaltet, so der Sicherheitsforscher.

Dem Unternehmen hat Hantke die Lücke am vergangenen Samstag gemeldet, geschlossen wurde sie noch am Wochenende. „Für mich ist es in solchen Fällen besonders wichtig, die Schwachstellen schnell zu melden, damit sie umgehend behoben werden können“, sagt Hantke. Umso mehr habe er sich gefreut, dass „die betroffene Firma professionell reagiert hatte und nur wenige Stunden nach meiner Meldung die Schwachstellen behob.“

Aufsichtsbehörde bestätigt geschlossene Lücke

Vorschriftsgemäß hat das Unternehmen am Montag der Hamburgischen Datenschutzbehörde eine Data-Breach-Meldung geschickt, bestätigt die Aufsichtsbehörde. Es habe sich um eine klassische IDOR-Lücke (Insecure Direct Object Reference) gehandelt, so die Datenschutzbehörde. Ihr Technik-Referat konnte verifizieren, dass der Softwarefehler behoben wurde. Zusätzlich habe KigaRoo die IDs (Identifier) gegen UUIDs (Universally Unique Identifier) ausgetauscht, was das Erraten erschwere, führt eine Sprecherin aus.

„Sollte also eine erneute Fehlkonfiguration der Zugriffe eintreten, kann nicht durch bloßes Erraten einer ID der gesamte Datenraum ausgelesen werden“, sagt die Sprecherin. „Mit diesen beiden Verbesserungen wird eine solche Lücke für die Zukunft ausgeschlossen.“

Konkret betroffen war der Bereich zu Datenschutzauskünften. Damit können Nutzer:innen seit der Datenschutz-Grundverordnung die Daten anfordern, die der Anbieter von ihnen gespeichert hat. Über die passende URL ließen sich solche Auskünfte beliebiger Eltern-Nutzer:innen abrufen, sagt Hantke. Anfällig für solche unautorisierten Abfragen waren ferner die Pfade für Mitarbeiter:innen sowie die für Kinder.

Hunderttausende Accounts abrufbar

„Anhand der ID lässt sich abschätzen, dass es sich um ca. 1.290.000 Datensätze erwachsener Personen und 846.00 Datensätze von Kindern gehandelt hat, die den Bezug zu der Einrichtungsstätte plus Kontaktdaten, Adressen, Bankdaten, Flüchtlingsstatus und ähnliches beinhaltet haben“, sagt Hantke. Es sei allerdings denkbar, dass sich darunter auch Test-Accounts befunden hätten.

Wie viele Personen tatsächlich betroffen waren, lässt sich nachträglich nur schwer sagen. Entwarnung gibt es jedenfalls bei möglichen Zugriffen. Der Hamburgischen Datenschutzbehörde zufolge habe es außer dem Zugriff durch den Sicherheitsforscher keine weiteren Zugriffe auf die Daten gegeben. Dies wurde der entsprechenden Kita gemeldet. „Dort handelt es sich um drei Datensätze“, sagt die Sprecherin.

Gegenüber netzpolitik.org gibt KigaRoo an, „definitiv ausschließen“ zu können, dass es zu unberechtigten Zugriffen auf den Datenbestand gekommen ist. Zudem betont das Unternehmen, dass „keinerlei Daten offen“ standen – weil eben ein Test-Account notwendig war (KigaRoo nennt diese Accounts „Admin-Accounts“). „Die gemeldete Schwachstelle hätte potenziell Zugriff auf Auszüge einzelner in KigaRoo erfasster Personendatensätze ermöglicht, dies allerdings nur über den Umweg eines weiteren Admin-Accounts“, sagt eine Unternehmenssprecherin.

Sicherheitsforscher Hantke hält dies für eine „unklare Formulierung“. Zwar stimme es, dass man mit dem einmaligen Ändern der ID nur Zugriff auf einen anderen Datensatz hatte, so Hantke. „Es spricht aber natürlich nichts dagegen, die ID mehrmals zu ändern und mehrere Requests zu schicken, um am Ende alle IDs durchzugehen.“

Ebenfalls nicht ausreichend abgesichert waren die Bereiche zu Benachrichtigungen und zu sogenannten Tasks. Über letztere ließen sich Aufgaben mit detaillierten Beschreibungen abrufen, etwa Informationen zu einem Kind. Offen standen zudem die Kalendereinträge beliebiger Kindertagesstätten, die sich als .ics-Datei herunterladen ließen.

Rechtliche Grauzone

Bei Kitas macht das Problem indes nicht Halt, betont Hantke. „Gerade im Kontext der bevorstehenden Bundestagswahl halte ich es für wichtig, immer wieder auf die Gefahren von mangelhafter IT-Sicherheit und auf die Bedeutung von ethischen Hackern aufmerksam zu machen.“ Als „Ethical Hacking“ gilt die Praxis, Sicherheitslücken aufzudecken und zu schließen, anstatt sie beispielsweise für Ransomware-Attacken oder Wirtschaftsspionage auszunutzen.

Rechtlich handelt es sich in Deutschland seit Jahren um eine Grauzone. Forscher:innen, die auf eigene Faust Sicherheitslücken entdecken und melden, riskieren, sich strafbar zu machen. So handelte sich etwa die Sicherheitsforscherin Lilith Wittmann zunächst eine Anzeige ein, nachdem sie eine Sicherheitslücke bei der CDU entdeckt und gemeldet hatte.

Eigentlich hatte sich die mittlerweile geplatze Ampelkoalition vorgenommen, die umstrittenen Hackerparagrafen zu reformieren. Über einen erst im Oktober vorgelegten Gesetzentwurf kam sie jedoch nicht hinaus. „Angesichts der zunehmenden Bedeutung digitaler Angriffe und Spionage muss dieses Thema von einer neuen Regierung dringend angegangen werden“, fordert Hantke.

„Ethical Hacking“ verbessert IT-Sicherheit

Persönlich halte er es für einen gesellschaftlichen Gewinn, wenn jemand Schwachstellen in Anwendungen aufdeckt und verantwortungsvoll darauf hinweist, sagt Hantke. „Es ist mir deutlich lieber, ich finde und melde eine Schwachstelle, als dass ein Darknet-Händler sonst was mit den Daten anstellt. Leider kenne ich auch einige Personen, die aus Angst vor rechtlichen Konsequenzen lieber die Augen verschließen oder eine gefundene Schwachstelle nicht melden.“

Der Kita-Fall zeigt, dass es auch anders laufen kann – geradezu vorbildlich. „Wir danken für den Hinweis und schätzen sein Engagement sehr“, sagt die KigaRoo-Sprecherin über den Sicherheitsforscher.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Tomas ist in Wien aufgewachsen, hat dort für diverse Provider gearbeitet und daneben Politikwissenschaft studiert. Seine journalistische Ausbildung erhielt er im Heise-Verlag, wo er für die Mac & i, c't und Heise Online schrieb.

Kontakt: E-Mail (OpenPGP), Twitter, Telefon: +49-30-577148268

Veröffentlicht 09.01.2025 um 10:40
Kategorie
Schlagworte
Weitere Artikel
Überwachung

Going DarkDigital-NGOs stellen sich gegen Forderungen nach Entschlüsselung

Kürzlich hatte eine EU-Arbeitsgruppe weitreichende Überwachungsbefugnisse für Ermittlungsbehörden gefordert. Vor diesen Vorschlägen warnen nun Dutzende zivilgesellschaftliche Organisationen. Eine derartige Massenüberwachung sei nicht mit demokratischen Grundsätzen vereinbar.

Lesen Sie diesen Artikel: Digital-NGOs stellen sich gegen Forderungen nach Entschlüsselung

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.