Werbung

Bildschirmfoto 2021-07-05 um 22.26.38.png
Suche

Informationen Anbieter ANTON APP zu geschlossener Sicherheitslücke bei ANTON


Am 03. März 2021 um 18:01 erhielten wir einen Hinweis auf eine Sicherheitslücke bei Programmierschnittstellen unserer App ANTON. Die Sicherheitslücke wurde von uns am 03. März 2021 um 20:41 geschlossen. Das wurde vom Hinweisgeber bestätigt.

Wir haben keinerlei Anzeichen dafür, dass die Sicherheitslücke vor der Meldung und ihrer Beseitigung ausgenutzt wurde. Nach derzeitigem Kenntnisstand ist kein unberechtigter Zugriff auf personenbezogene Daten erfolgt.

Da diese aber mindestens durch den Hinweisgeber abgerufen werden konnten, handelt es sich um einen meldepflichtigen Vorfall. Wir haben den Vorfall bei der zuständigen Datenschutzbehörde gemeldet.


Wir untersuchen, ob es in der Vergangenheit Versuche gegeben hat, die Sicherheitslücke auszunutzen. Sollten wir Anzeichen für einen Missbrauch finden, werden wir betroffene Schulen, Nutzer/innen und die Datenschutzbeauftragten umgehend informieren.

ANTON ist weiterhin für alle Nutzer/innen sicher und uneingeschränkt nutzbar.


Welche Sicherheitslücke hat bestanden und wie wurde diese durch das ANTON-Team beseitigt?

Es wäre einem potenziellen Angreifer möglich gewesen, durch Modifikation der Anfragen an Programmierschnittstellen den Authentifizierungsmechanismus zu umgehen und unautorisiert einzelne Datensätze abzurufen.

Die Ausnutzung der Lücke hätte nicht einfach per menschlicher Interaktion mit der App erfolgen können, weder gezielt noch zufällig. Es hätte einer geschickten Vorgehensweise mithilfe von Programmiercode bedurft, für die man Kenntnisse von Webtechnologie, gute analytische Fähigkeiten sowie Programmierkenntnisse benötigt.

Es wäre theoretisch möglich gewesen, für bestimmte Nutzerkonten den Spitznamen, die Schulzugehörigkeit und die Gruppen- bzw. Klassenzugehörigkeit einzusehen. Sofern angegeben, hätte man auch Vor- und Nachnamen einsehen können.

In Einzelfällen wäre es möglich gewesen, die Daten von vorbereiteten, aber noch nicht aktiven Gruppenmitgliedern durch manuell modifizierte Anfragen an die Programmierschnittstellen abzufragen. Es handelte sich hierbei um vorbereite Mitglieder, die sich aber bisher noch nie als ANTON-Nutzer angemeldet haben und nicht Mitglied einer Schullizenz-Schule sind.


In dem sehr seltenen Fall von Gruppen mit mind. 2 Lehrkräften, bei denen die zweite Lehrkraft noch kein/e aktive/r ANTON-Nutzer/in war und der Angreifer Mitglied der Gruppe selbst sein muss, konnte die vorbereitete Lehrkraft unberechtigt aktiviert werden. Damit konnten die erweiterten Funktionen dieses Lehrkraft-Nutzers ausgenutzt werden, um etwa den Lernfortschritt einzelner Schüler/innen einzusehen, Aufgaben zu pinnen und eine Gruppennachricht als Text in die Gruppe einzustellen.


Was bedeuten die potenziellen Sicherheitslücken für die Nutzer/innen?

Wir gehen davon aus, dass die Sicherheitslücke nur vom Hinweisgeber zu Testzwecken ausgenutzt wurde und keine Nutzer/innen von einem Missbrauch betroffen sind.

Nutzer/innen und Schulen müssen nichts unternehmen. Es ist kein Update der App und keine Neuinstallation notwendig.


Wie stellt das ANTON-Team den Schutz der Daten von Nutzer/innen sicher?

Der Datenschutz und die Sicherheit von Nutzerdaten ist uns ein wichtiges Anliegen. Wir verwenden daher u.a. kein Performance-Marketing, keine Trackinganbieter und ermöglichen die Nutzung von ANTON ohne die Angabe persönlicher Daten. Das Datenschutzkonzept von ANTON wurde in Zusammenarbeit mit schulischen Datenschutzbeauftragten entwickelt.

Nutzer/innen können ANTON verwenden, ohne ihren Namen, ihre E-Mail-Adresse oder ihre Telefonnummer anzugeben. Nutzer/innen und Schulen können selbst entscheiden, ob sie weitere Daten anlegen und haben immer die Möglichkeit, vollständig mit Pseudonymen zu arbeiten.


Zur Sicherstellung der IT-Sicherheit und frühzeitigen Erkennung möglicher Schwachstellen arbeiten wir eng mit externen IT-Sicherheitsexperten zusammen und führen regelmäßige Tests unserer Systeme durch.


Bei komplexen IT-Systemen lassen sich Schwachstellen leider nie zu 100% ausschließen. Deshalb haben wir eigens hierfür entwickelte Technologie und klare Prozesse, mit denen wir mögliche Fehler und Probleme – wie auch in diesem Fall – sehr schnell erkennen und beheben können.

Wir entwickeln die Lerninhalte, Funktionen und Technologie von ANTON ständig mit viel Einsatz weiter und bemühen uns, ANTON noch zuverlässiger für alle Schüler/innen und Lehrer/innen zu machen.


Quelle: ANTON Website




Promotion

Werbung