Archiv – Reaktion auf die Studie zu IT-Sicherheitsmängeln bei Kita-Apps
Wir begrüßen, dass Datenschutz und IT-Sicherheit immer weiter in den Fokus rücken
Am 07.07.2022 wurde die von Moritz Gruber, Christian Höfig, Maximilian Golla, Tobias Urban und Matteo Große-Kampmann verfasste Studie “We may share the number of diaper changes”: A Privacy and Security Analysis of Mobile Child Care Applications”, die auf dem 22nd Privacy Enhancing Technologies Symposium in Sydney, Australien vorgestellt wird, vorab online veröffentlicht. In dieser wurden 42 Kita-Apps weltweit – unter anderen auch die von uns entwickelte CARE Kita-App – auf Datenschutz- und Sicherheitsaspekte untersucht.
Wir begrüßen es sehr, dass das Thema Datenschutz und IT-Sicherheit immer weiter in den Fokus rückt. Denn genau dafür stehen wir mit unserer CARE Kita-App. Dies ist sicherlich mit ein Grund dafür, warum sich mittlerweile über 50.000 Nutzer:innen für unsere Lösung entschieden haben. Im Team mit unserem Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO) haben wir die Findings der Studie analysiert.
Die Studie stellt uns ein gutes Zeugnis bezüglich Datenschutz und IT-Sicherheit aus. Die Sicherheitsmängel bei anderen Anbietern waren teils gravierend – so konnten etwa bei diversen Anbietern Daten, darunter Fotos von Kindern, von unbeteiligten Dritten eingesehen werden.
Die Studie enthält aber auch Recherchemängel und falsche Aussagen.
Unsere Einschätzung zu den Findings
Cloud: Wir speichern grundsätzlich keine Teile oder Daten unserer Anwendung in amerikanischen Cloud-Systemen. Unsere Daten liegen in einem deutschen Rechenzentrum. Die Macher der Studie verweisen auf einen Cloudspeicher bei Amazon, der mit „care-app-test“ benannt ist. Dieser Cloudspeicher ist nicht im Besitz unseres Unternehmens und wurde uns somit fälschlicher Weise zugeordnet. Die Wörter „Care“, „App“, „Test“ sind im englischsprachigen Raum sehr gebräuchlich. Vermutlich entwickelt jemand eine App für Altenheime, Tierepflege etc. und hat sich dazu einen Amazon-Speicher mit dieser Bezeichnung angelegt.
GraphQLI: Unser GraphQL ist „Security by Design“. Abfragen aus der App verlangen immer den Token der Eltern. Wir haben diesen Vorwurf sehr ernst genommen und GraphQL-Injektions nachgestellt: Eine GraphQL-Injektion auszunutzen und damit datenschutzrechtlichen Schaden zu erzielen ist aus unserer Sicht nicht möglich, da man nur Abfragen innerhalb seines Kindes stellen kann. Gerade weil wir diesen Punkt sehr ernst nehmen habe ich mein Team gebeten, unsere Ergebnisse noch einmal mit den Ergebnissen der Studienhersteller abzugleichen. Sollte sich unsere Einschätzungen an diesem Punkt ändern werden wir uns sofort proaktiv bei Ihnen melden. Wir hatten allerdings bereits vor der Studie eigene PEN-Tests in Auftrag gegeben, die an dieser Stelle auch keine Findings hatten.
Der Vollständigkeit halber sei gesagt, dass es zwei weitere Findings gab:
Missing Certificate Pinning: Das hinterlegen der Backend-Zertifikate wird von einem Teil der Community gefordert, hat in der Praxis aber deutliche Nachteile. Als Best Practice des Betriebssystems Android ist von Google empfohlen, kein Certificate-Pinning zu machen. Wir folgen auch weiterhin dieser Empfehlung.
SDK too low: Es wird herausgestellt, dass wir sehr stark abwärtskompatibel sind, was Android-Betriebssysteme angeht. Wir überprüfen diese Abwärtskompatibilität im Hinblick auf die tatsächliche Nutzerbasis regelmäßig. Unsere Kita-App lebt aber davon, möglichst viele Eltern an der Kommunikation teilhaben zu lassen. Wir sehen es daher auch zukünftig als wichtig an, ältere Android-Systeme zu unterstützen.
Bei Fragen kontaktieren Sie uns gern
Die CARE Kita-App ist im Vergleich zu anderen Apps sicher ist. Ein Restrisiko, gerade bei Angriffen mit sehr hoher krimineller Energie, kann nie ausgeschlossen werden.
Mehr Informationen zum Datenschutz der CARE Kita-App finden Sie hier.
In der Softwareentwicklung ist Sicherheit ein immerwährender Prozess, den wir sehr ernsthaft verfolgen. Erst kürzlich wurden unsere IT-Sicherheitsprozesse erfolgreich nach ISO 27001:2013 zertifiziert.
Für unsere Kund:innen bieten wir Datenschutz-Infoveranstaltungen per Webinar an. Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Kontaktieren Sie uns doch einfach per Mail.