Das HPI wurde am 11. Februar 2021 auf zwei Sicherheitslücken im HPI Schul-Cloud-System hingewiesen. Das Technik-Team konnte beide Schwachstellen innerhalb von einer Stunde schließen. Das HPI geht davon aus, dass die Sicherheitslücken vom Hinweisgeber lediglich zu Testzwecken ausgenutzt wurden. Nach derzeitigem Kenntnisstand ist kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt. Da diese aber mindestens durch den Hinweisgeber abgerufen wurden, handelt es sich um einen meldepflichtigen Vorfall in Thüringen. Der Landesdatenschützer von Thüringen wurde durch das HPI informiert, ebenso wie unsere Partner und die potenziell betroffenen Nutzer:innen in der Thüringer Schulcloud.
Die HPI Schul-Cloud sowie alle ihre Instanzen sind weiter sicher und uneingeschränkt nutzbar.
Welche Sicherheitslücken bestanden und was hat das HPI unternommen, um sie zu schließen?
Sicherheitslücke 1: Über einen nicht deaktivierten Demo-Nutzer in der Thüringer Schulcloud bestand die Möglichkeit, auf Vor- und Nachnamen eines geringen Teils der Lehrkräfte in der Thüringer Schulcloud zuzugreifen, die die Sichtbarkeitseinstellung für die sogenannte Teams-Funktion aktiviert hatten. Diese Funktion ist in der Grundeinstellung ausgeschaltet.
Zum Hintergrund: In der Thüringer Schulcloud war ein Demo-Nutzer fehlerhafterweise nicht deaktiviert, dessen Zugangsdaten anhand von Informationen im öffentlichen Code-Repository erschlossen werden konnten. Diese Demo-Nutzer werden für Test- und Development-Instanzen verwendet, sollen auf den Produktivinstanzen jedoch deaktiviert sein. Mit diesem Zugang war lediglich der Zugriff auf Testdaten einer hierfür angelegten Testschule möglich und der Demo-Nutzer konnte auf die Vor- und Nachnamen von Lehrkräften zugreifen, die sich bereit erklärt haben, schulübergreifend (d. h. instanzweit) zu einem Team hinzugefügt zu werden. Über die Funktion „Schulübergreifende Teams“ können Lehrkräfte innerhalb der Thüringer Schulcloud ihre Einwilligung dazu geben, für schulübergreifende Teams auffindbar zu sein. Dies ist eine gewünschte Funktion. Durch den unberechtigten Zugang zum o.g. Demo-Account hatte die meldende Person Zugriff auf eine Liste von Lehrkräften, die diese Einwilligung abgegeben hatten.
Gegenmaßnahme des HPI: Der Zugang des Demo-Nutzers bzw. Test-Accounts in Thüringen wurde sofort gesperrt und sämtliche Test-Accounts auf allen Plattformen wurden auf unberechtigte Zugriffe bzw. theoretisch unberechtigte Zugriffsmöglichkeiten hin geprüft. Über den einen Test-Account in Thüringen hinaus gab es keine weiteren unberechtigten Zugriffsmöglichkeiten. In allen anderen Instanzen der HPI Schul-Cloud konnte sich der Demo-Nutzer nicht anmelden.
Sicherheitslücke 2: Mit einigem Aufwand war es außerdem möglich, auf eine begrenzte Zahl unterrichtsbezogener Dateien zuzugreifen, die eingeloggte Nutzer explizit zum Teilen freigegeben haben, weil sie diese auch außerhalb der Kurse teilen wollten. Dafür gibt es die spezielle Funktion „Datei teilen“.
Von angemeldeten Nutzern kann ein solcher Teilen-Link dazu verwendet werden, Lese-Zugriff auf die entsprechende Datei zu erhalten.
Zum Hintergrund: Die HPI Schul-Cloud stellt Metriken über die Performance der Anwendung für ein Monitoring-Dashboard bereit, das nur intern nutzbar ist. Diese Analyse-Funktion wurde im Dezember 2020 hinzugefügt, um eine weitere Skalierung der HPI Schul-Cloud-Anwendung im Lockdown zu unterstützen und z. B. langsame Routen zu identifizieren. Diese Metrik-Daten sind nur intern zu erreichen, eine entsprechende Filterregel verhindert den externen Aufruf. Diese schützende Filterregel konnte durch eine Manipulation der URL umgangen werden.
Nach Aufruf dieser URL finden sich Performance-Metriken eines virtuellen Servers, der für den Betrieb der Thüringer Schulcloud mitverantwortlich ist. Diese Metriken enthielten auch nicht zusammengefasste sogenannte "Teilen-Links" für Dateien. Für diese galt die Einschränkung, dass es sich ausschließlich um Links zu vom Nutzer aktiv mit anderen Nutzern geteilte Dateien handelte, die unter Nutzung exakt dieses virtuellen Servers von einem berechtigten Nutzer – nicht der meldenden Person bzw. seiner Quelle – geöffnet wurden. Die Liste dieser Teilen-Links hätte hier nicht vorliegen dürfen, sondern hätte ebenfalls aggregiert sein müssen.
Die Funktion "Datei teilen" sieht in der Thüringer Schulcloud vor, dass Nutzer in Kenntnis des Teilen-Links und in Besitz eines eingeloggten Accounts Zugriff auf die gespeicherte Datei erhalten. Dies ist eine gewünschte Funktion. Nur in Verbindung mit der Sicherheitslücke beim Endpunkt /metrics war dies ausnutzbar. Der Hinweisgeber hat gezielt nach Lücken gesucht und durch die Verbindung des unberechtigt möglichen Zugangs zu dem o.g. Demo-Nutzer mit dem Zugriff auf die o.g. Performance-Metriken inkl. Teilen-Links war es dem Meldenden bzw. seiner Quelle möglich, stichprobenartig eine Teilmenge der in die Thüringer Schulcloud hochgeladenen und geteilten unterrichtsbezogenen Dateien herunterzuladen.
Gegenmaßnahme des HPI: Der unberechtigte Zugriff auf Performance-Informationen wurde durch Anpassung der Filterlogik sofort nach Eingang der Meldung geschlossen. Alle "Datei-Teilen-Links" wurden in allen Instanzen gesichert und deaktiviert. Zudem wurde eine neue Programmversion ausgerollt, mit der künftig nur noch aggregierte Link-Daten für Performance-Metriken verwendet werden.
Der Thüringer Landesdatenschützer Lutz Hasse machte im Gespräch mit der FUNKE Mediengruppe deutlich: „Gerade die Ausnutzung einer bestimmten Lücke kann nicht einfach per menschlicher Interaktion mit dem Browser erfolgen, sondern setzt eine bestimmte Herangehensweise mit Hilfe eines Scriptes voraus.” Die Ausnutzung der bekannt gewordenen Lücke sei „keineswegs einfach oder naheliegend”. Sie erfordere „Kenntnisse von Webtechnologie, sehr gute Analysefähigkeit und Verständnis des Open-Source-Codes sowie grundlegende Programmierkenntnisse.”
Was bedeuten die potenziellen Sicherheitslücken für die Nutzer:innen?
Das HPI geht davon aus, dass die Sicherheitslücken vom Hinweisgeber nur zu Testzwecken in der Thüringer Schulcloud ausgenutzt wurden und den Betroffenen in Thüringen kein Schaden entstanden ist. Andere Instanzen der HPI Schul-Cloud waren nicht betroffen, da es dort keinen Demo-Nutzer gab.
Müssen Nutzer:innen etwas unternehmen?
Das HPI hat die potenziellen Sicherheitslücken innerhalb einer Stunde nach Bekanntwerden geschlossen. Die betroffenen Nutzer:innen sind informiert. Für sie und alle anderen Nutzer:innen besteht kein Handlungsbedarf.
Warum ist nur die Instanz Thüringer Schulcloud betroffen?
Der Demo-Nutzer-Account mit der beschriebenen Funktionalität war in allen anderen Instanzen der HPI Schul-Cloud deaktiviert. Nur in der Thüringer Schulcloud war dies fehlerhafterweise nicht geschehen.
Wie kümmert sich das Team der HPI Schul-Cloud um das Thema Datensicherheit in Entwicklung und Betrieb?
Datensicherheit und Datenschutz haben im Entwicklungsprozess der HPI Schul-Cloud von Beginn an einen zentralen Stellenwert – wissend, dass mit der Bearbeitung und Speicherung sensibler Daten von Schülerinnen und Schülern große Verantwortung einhergeht. Zur Sicherstellung der IT-Sicherheit und frühzeitigen Erkennung möglicher Schwachstellen arbeitet das HPI Schul-Cloud-Team eng mit verschiedenen externen IT-Dienstleistern für Security Audits zusammen. Hierzu zählen regelmäßige Penetration Tests, aber auch das begleitende Testen neuer Funktionen. Die HPI-Schul-Cloud verfügt zudem über ein Informationssicherheitsmanagementsystem (zertifiziert nach ISO 27001) mit klar definierten Prozessen, die gewährleisten, dass wir – wie auch in diesem Fall – Fehler und Probleme sehr schnell beheben können. Denn Schwachstellen lassen sich in äußerst komplexen IT-Systemen nicht gänzlich ausschließen.
Auch im Betrieb der Instanzen durch unser DevOps Team ist die größtmögliche Sicherheit der Betriebsinfrastruktur elementar. Hierzu zählen bspw. die Automatisierung von Installationen und Aktualisierungen. Die Verwendung von verwalteten Diensten, die wir von großen deutschen Providern beziehen, minimiert zusätzlich etwaige Sicherheitsrisiken.
Seit Projektstart erfolgt eine enge Abstimmung mit den Landesdatenschützern. Das HPI geht strikt nach europäischem Datenschutzrecht vor – das heißt, anfallende Daten werden in Deutschland verarbeitet und gespeichert. Im Laufe des letzten (Corona-) Jahres hat das HPI seine Ressourcen zur informationstechnischen Sicherung der HPI Schul-Cloud im Rahmen des Informationssicherheitsmanagements weiter verstärkt.
Welche Bedeutung hat Open Source bei der Entwicklung der HPI Schul-Cloud?
Wir haben uns bewusst dafür entschieden, die HPI Schul-Cloud als Open-Source-Projekt zu entwickeln. Der Quellcode ist frei verfügbar und kann von jedem Interessierten überprüft werden, was im Sinne größtmöglicher Transparenz ausdrücklich erwünscht ist. Ein frei zugänglicher Programmcode bietet den Vorteil, dass Schwachstellen des Systems schneller identifiziert und behoben werden können.
Weitere Informationen zu Datenschutz und Datensicherheit in der HPI Schul-Cloud finden Sie hier: https://blog.hpi-schul-cloud.de/tag/datenschutz/