Viele Väter und Mütter, die ihr Kind in der Kindertagesstätte krankmelden oder es für einen anstehenden Ausflug eintragen, nutzen die App Stay Informed. Ein paar Klicks über Smartphone, schon ist die Sache erledigt, praktisch für Eltern. Auch Horte, Schulen und Pflegeeinrichtungen gehören zu den Kunden des Freiburger Unternehmens Stay Informed. Die App vereinfacht die Kommunikation und Organisation, über sie tauschen Erzieher und Eltern aber auch höchst sensible Kinderdaten aus. Nun hat ein anonymer Informant das Computerfachmagazin c't auf ein großes Datenleck bei Stay Informed hingewiesen.
Namen, Geburtsdaten und Anschriften von Minderjährigen ließen sich über eine Sicherheitslücke abrufen, darunter teilweise auch Daten zu Herkunftsländern, Konfessionen oder Impfungen. Den Recherchen des Magazins c't zufolge waren auch Infos über Erziehungsberechtigte, Notfallkontakte und Klassenlehrer einzusehen. Vereinzelt seien sogar Fotos von Kindern und Erwachsenen, die sie als Profilbilder in der Chat-Funktion der App eingestellt hatten, von außen abrufbar gewesen. Auch hochgeladene PDF-Dateien und digitale, aber verschlüsselte Unterschriften der Eltern waren von der Datenpanne betroffen.
Das Büro des Landesbeauftragten für Datenschutz Baden-Württemberg bestätigte der Süddeutschen Zeitung, dass sich Stay Informed in der Sache an sie gewandt habe. Außerdem hätten sich "zahlreiche Träger und Kindertagesstätten" bei der Behörde wegen des Datenlecks gemeldet.
Es ist unklar, ob die Datenpanne ausgenutzt wurde
Der Grund für die Panne: Ein Webserver der Firma Stay Informed sei nicht ausreichend gesichert gewesen, schreibt c't. Die Freiburger Firma habe eine veraltete Software benutzt, die die sensiblen Daten nicht mit der nötigen https-Verschlüsselung übertragen habe. Es blieb unklar, ob die Datenpanne von Kriminellen ausgenutzt wurde und auch, wie viele Nutzerinnen und Nutzer davon betroffen waren.
Am Montag hatte die c't-Redaktion Stay-Informed-Geschäftsführer Jürgen Thiel über das Datenleck informiert, woraufhin dieser die Lücke sofort schließen ließ. Laut Thiel sei der Webserver fehlerhaft konfiguriert gewesen. Ihm zufolge habe das Datenleck frühestens seit Oktober 2021 und spätestens seit August vergangenen Jahres bestanden. 15 Prozent der Einrichtungen und Träger, die Stay Informed nutzen, seien betroffen gewesen. Alle Einrichtungen hat das Unternehmen am Mittwochnachmittag informiert, ebenso den Datenschutzbeauftragten des Landes Baden-Württemberg.
Bei den Landesdatenschutzbehörden in ganz Deutschland werden sich in den kommenden Tagen wohl Tausende Einrichtungen wegen des Datenlecks melden. Mehr als 11 000 Kitas, Horte und Schulen nutzen die App hierzulande - insgesamt zählt das Unternehmen mehr als 840 000 Nutzer. Über die Smartphone-App können Erzieher direkt mit den Eltern kommunizieren und sparen sich Infozettel, Rundmails oder Aushänge am Schwarzen Brett, die nicht jeder immer zu lesen bekommt.
Natürlich muss diese Kommunikation vor Zugriffen von außen geschützt werden, zumal es um die Daten Minderjähriger geht. Auf seiner Webseite schreibt Stay Informed, dass es seine Software stets gemeinsam mit IT-Sicherheitsexperten und Datenschützern weiterentwickle. Nun muss sich Geschäftsführer Thiel, der für eine Anfrage der Süddeutschen Zeitung am Freitag nicht zu erreichen war, die Frage gefallen lassen, wie es trotzdem zu dem Datenleck kommen konnte.
In einer Infomail an alle betroffenen Kunden, die dem Magazin c't vorliegt, schrieb Stay Informed, dass keine weiteren Datenlücken bestünden. Künftig wolle das Unternehmen die Infrastruktur wöchentlich scannen lassen. Und damit verhindern, dass in Zukunft noch einmal Geburtsdaten, Adressen oder gar Fotos von Kindern öffentlich einzusehen sind.
