Stacks Image 251

Wie wäre es,
  • 1. ... wenn jedermann die Möglichkeit hätte, ohne Weiteres jede Haustür zu öffnen und das Haus unbemerkt betreten könnte?
  •  
  • 2. ... wenn z. Bsp. jeder Benutzer einer Banken-App auch die Umsätze, etc. von jedem anderen Benutzer der gleichen Bank sehen könnte? .

Ich bin sicher, in beiden Fällen würden Sie sich nicht erfreut äußern, sondern dies als Gefahr für sich sehen. Beides ist aber ebenso in ASV-BW möglich.

Lesen Sie dazu die E-Mails, welche ich an den Datenschutzbeauftragten gesandt habe. Selbstverständlich auch die Antworten darauf.




Folgende Mail wurde am 22. November 2022 versandt:
Von: Ulrich Trutter <Ulrich.Trutter@t-online.de> Gesendet: Dienstag, 22. November 2022 16:44 An: Poststelle (LfDI BW) <Poststelle@lfdi.bwl.de> Betreff: EXTERN ASV-BW (landeseigenes Schulverwaltungsprogramm)
 
 
 
 
Sehr geehrter Herr Dr. Stefan Brink,
Sehr geehrte Damen und Herren, 
 
hiermit möchte ich Sie auf zwei datenschutzrechtliche Probleme in ASV-BW (das
landeseigene Schulverwaltungsprogramm) hinweisen:
 
1. Daten sind ungeschützt
 
Die in ASV-BW verwendete Datenbank PostgreSQL benutzt die Konfigurations-Datei
pg_hba.conf für die Anmeldung eines Benutzers. Diese Datei liegt unter
Windows in folgendem Verzeichnis: C:\Program Files\PostgreSQL\12\data.
(Die 12 steht für die Version von PostgreSQL und kann eine andere sein.)
Die Datei ist mit dem Texteditor von Windows leicht zu öffnen.
 
Durch Ersetzen aller Vorkommen von "md5" mit "trust" in dieser Datei (Angaben 
in der Datei ohne die Anführungs-Zeichen) und einem Neustart der Datenbank 
wird ermöglicht, dass man z. Bsp. mit dem bereits installierten Tool pgAdmin 
Zugriff auf alle Daten erhält, ohne ein Passwort eingeben zu müssen.
 
Mit pgAdmin hat man dann alle Möglichkeiten, in der Datenbank Veränderungen
vorzunehmen, Daten auszulesen oder das Passwort zu ändern.
 
Bei einer Suche über Google erhält man mit den Suchparametern "postgresql lost 
password" ungefähr 1.010.000 Ergebnisse:
 
Unbekannt
 
Stellvertretend hier ein Link:
https://www.postgresqltutorial.com/postgresql-administration/postgresql-reset-password/
 
 
2. Daten frei einsehbar und änderbar bei mehren Schulen in einer Datenbank
 
Sofern mehr wie eine Schule in der Datenbank PostgreSQL verwaltet werden,
ist es möglich, dass die Schule A über pgAdmin auf die Daten der Schule B
zugreifen kann, mit allen gegebenen Möglichkeiten.
 
Ich stehe gerne für Rückfragen zur Verfügung.
 
Mit freundlichen Grüßen
Ulrich Trutter


Folgende Antwort erhielt ich am 08. Dezember 2022:
Sehr geehrter Herr Trutter,
 
Vielen Dank für Ihren Hinweis bzgl. ASV-BW, der bei uns als Prüfvorschlag unter dem Aktenzeichen 0554.1-23 /639 geführt wird.
 
Wir sind bereits mit der Prüfung von ASV-BW befasst und haben dabei auch die Konfiguration der PostgreSQL-Datenbank im Auge.
 
 
Zu Ihrem Punkt 1, der Möglichkeit des Zugriffs auf die Daten aus der Datenbank bei Vollzugriff auf den Datenbank-Server: Es ist in der Tat so, dass mit Vollzugriff auf den Datenbank-Server ein Vollzugriff auf die Daten möglich ist. Dies an sich bewerten wir nicht als Schwachstelle, sofern dieser Situation mit geeigneten Maßnahmen nach dem Stand der Technik begegnet wird. Dazu gehören grundsätzlich unter anderem verschlüsselte Datenträger und ein professionell betriebenes System.
 
Zu Ihrem Punkt 2: Das Rollen- und Rechtemanagement für die normale Nutzung ist Teil unserer Prüfung. Bezüglich dem von Ihnen geschilderten Verhalten, dass mit pgAdmin (aber auch mit jedem beliebigen anderen PostgreSQL-Client wie psql) aufgrund der Verwendung eines PostgreSQL-Superusers Zugriff auf alle Datenbanken und deren Daten genommen werden kann, befinden wir uns im Gespräch mit dem Kultusministerium.
 
Soweit Ihnen weitere Schwachstellen auffallen, können Sie uns gerne jederzeit kontaktieren.
 
 
Mit freundlichen Grüßen
Im Auftrag
Alvar Freude
_____________________________________________________________________
Leitung Abteilung 5, Technisch-organisatorischer Datenschutz, Datensicherheit
 
Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
 
Hausanschrift: Lautenschlagerstraße 20, 70173 Stuttgart
Postanschrift: Postfach 10 29 32, 70025 Stuttgart
 
Telefon: 0711/615541-20
Telefax: 0711/615541-15
E-Mail: freude@lfdi.bwl.de
 
Zentraler Posteingang: poststelle@lfdi.bwl.de
De-Mail: poststelle@lfdi.bwl.de-mail.de
Web: https://www.baden-wuerttemberg.datenschutz.de/

Mastodon: https://bawü.social/@lfdi


 


Am 19. Dezember 2022 übermittelte ich folgende Nachfrage:
Sehr geehrter Herr Freude,

vielen Dank für Ihre Rückmeldung.

Gestatten Sie mir jedoch noch folgende Nachfragen:

Was verstehen Sie unter einem „professionell betriebenem System“?
Was sind „geeignete Maßnahmen nach dem Stand der Technik“?

Mit freundlichen Grüßen
Ulrich Trutter


Hier die Antwort vom 19. Dezember 2022:
Sehr geehrter Herr Trutter,
 
bzgl. Ihrer Rückfragen zu professionell betriebenen Systemen bzw. geeignete Maßnahmen:
 
Dies kommt natürlich immer auf den Einzelfall an. Grundsätzlich haben sich öffentliche Stellen am BSI Grundschutz zu orientieren, zudem die Bausteine des Standard-Datenschutz-Modells (SDM) umzusetzen.
 
In dem konkreten Fall muss sichergestellt werden, dass Unbefugte keinen Zugriff auf die Maschine bzw. auf PostgreSQL haben. Zu den notwendigen Maßnahmen gehören z.B. eine Wahl sicherer Passwörter (vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/Hinweise-zum-Umgang-mit-Passw%C3%B6rtern-1.0.1.pdf), die Verschlüsselung der Datenträger, eingeschränkte Zugriffsrechte, die zügige Schließung von Sicherheitslücken usw.
 
 
Mit freundlichen Grüßen
Im Auftrag
Alvar Freude
_____________________________________________________________________
Leitung Abteilung 5, Technisch-organisatorischer Datenschutz, Datensicherheit
 
Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
 
Hausanschrift: Lautenschlagerstraße 20, 70173 Stuttgart
Postanschrift: Postfach 10 29 32, 70025 Stuttgart
 
Telefon: 0711/615541-20
Telefax: 0711/615541-15
E-Mail: freude@lfdi.bwl.de
 
Zentraler Posteingang: poststelle@lfdi.bwl.de
De-Mail: poststelle@lfdi.bwl.de-mail.de
Web: https://www.baden-wuerttemberg.datenschutz.de/

Mastodon: https://bawü.social/@lfdi

 


Hier meine Meinung und weitere Infos dazu:


Ich bin bin mit diesen Antworten nicht zufrieden. Meiner Meinung nach werden die bestehenden Datenschutzprobleme in ASV-BW auf die Schulen (insbesondere den Datenschutzbeauftragten der Schule) abgewälzt.

Zusätzlich denke ich, dass folgende Info wichtig ist:
Kurz bevor die Digitale Bildungsplattform (DBP) auf der DIDACTA (2023) vorgestellt werden sollte, war in der Presse zu lesen, (BNN,22.02.2023), dass der Hauptpersonalrat für Gymnasien aus Datenschutzgründen die Zustimmung zu einer der in der DBP angebotenen Bildungsplattformen verweigert.

Zitat aus der BNN, 22.02.2023:
"Während das Kultusministerium die Risiken für beherrschbar hält und auch der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) sie als 'überwindbar' einstuft, legt der von Gewerkschaftern dominierte Personalrat ein Veto ein. Das Ministerium versucht nun einen Trick. Es bestreitet die Zuständigkeit des Hauptpersonalrates. Diese liege bei örtlichen Personalrägen der einzelnen Schulen."

Meiner Meinung nach kommt an dieser Stelle der Datenschutzbeauftragte der Schule ins Spiel. Oder was meinen Sie?

Noch eine Info in diesem Zusammenhang, die ich Ihnen nicht vorenthalten will:
Als ich das Anmeldemodul für die Schüleranmeldungen als Web-Anwendung veröffentlichte, meldeten sich mehrere Datenschutzbeauftragte. Grund hierfür war, dass bei der Anmeldung die anmeldende Person eine Mail-Adresse angeben konnte, an welche dann direkt nach der Anmeldung die Daten der Anmeldung zur Kontrolle auch versandt werden. Zu dieser Eingabe der Mail-Adresse musste ich ein Bestätigungshäkchen setzen, mit welchem die anmeldende Person es erlaubte, dass diese Mail-Adresse überhaupt für die Rückmeldung benutzt werden darf. Ansonsten wurde mir mitgeteilt, dass die Anwendung als nicht datenschutz-konform gelten würde und die Datenschutzbeauftragten dieser dann nicht zustimmen könnten.

Nebenbei bemerkt: Es gab auch die Möglichkeit, einfach KEINE Mail-Adresse einzugeben. Es hätte dann eben KEINE Rückmeldung erfolgt. Nur wenn eine Mail-Adresse angegeben wurde, musste die Erlaubnis zur Benutzung dieser abgefragt werden.

Wird hier mit zweierlei Maß gemessen?