"Schule in Bayern – ich helfe mit!" Bayern beschreitet außergewöhnliche Wege, um den Unterricht trotz Corona sicherzustellen. Auf einem schnell erstellten "Bewerberportal für Aushilfsnehmer" kann man sich aktuell als Vertretungs- oder Team-Lehrkraft bewerben. Für ausreichenden Schutz der Bewerberdaten war da offenbar aber keine Zeit. Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. War da nicht was mit Sicherheit? Christian Körner hatte sich dort beworben und wollte aber nachträglich etwas an seinen Daten ändern. Dummerweise hat er das damals vergebene Passwort vergessen. Zum Glück gab es unter dem Passwort-Eingabefeld den Hinweis: "Auf dieser Seite können Sie Ihr Passwort unter Eingabe Ihres Benutzernamens zurücksetzen." Gesagt, getan: Seite aufrufen, Benutzernamen und neues Passwort eingeben und schon klappte der Zugang. Gefährliche Hintertür pwneu.php: Benutzername und neues Passwort eingeben und ab dafür. Aber halt! War da nicht noch was mit Sicherheit? Nein. Keine Sicherheitsabfrage, keine Rückfrage an die hinterlegte E-Mail-Adresse, nichts. Einfach für den Benutzernamen ein neues Passwort eingeben und schon konnte er seine Daten einsehen oder auch die Bewerbung löschen. Und vermutlich die der anderen Bewerber, deren Benutzernamen sich leicht erraten lässt, ebenso. Körner informierte das heise-Investigativ-Team und wir trauten unseren Augen kaum. Das Bewerberportal für Aushilfsnehmer sah aus, als hätte es ein Aushilfsentwickler nach absolviertem HTML-Schnellkurs mal eben schnell zusammengezimmert – trug aber stolz das Staatswappen "Bayerisches Staatsministerium für Unterricht und Kultus". Die brandgefährliche Passwort-Reset-Funktion setzte dem nur die Krone auf. Sie funktionierte tatsächlich wie beschrieben: "Passwort ändern" und fertig. Das Bewerbungsportal in seiner ganzen Schönheit. Um möglichen Schaden von den Bewerbern abzuwenden, benachrichtigten wir unverzüglich das Staatsministerium und das zuständige CERT – und fragten mal ganz unschuldig nach, was es mit dem Portal so auf sich hatte. Wer hat es aufgesetzt? Wie kamen die an den Auftrag? Wer hat die Funktionen zu Sicherheit und Datenschutz überprüft? Wie viele Datensätze wurden dort aufbewahrt? Prompte Reaktion Man muss dem Ministerium zu Gute halten, dass es prompt reagierte; noch am gleichen Tag entfernten sie die gefährliche Funktion zum Ändern des Passworts. Auch mit den angefragten Informationen hielt man nicht hinterm Berg: Das Bewerbungsportal war kurzfristig von Mitarbeitern des Kultusministeriums entwickelt worden und ist seit Mitte Juli in Betrieb. Seither haben sich dort etwa 3700 Datensätze angesammelt. Beim nachträglichen Hinzufügen der Passwort-Reset-Funktion sei es "leider zu einer zeitlichen Überschneidung von datenschutzrechtlicher Prüfung und Inbetriebsetzung gekommen" erklärte Ministerialrat Richard Tumpek den Lapsus gegenüber heise Security. Man werde das jetzt dahingehend ändern, dass der Passwort-Reset über eine automatisierte E-Mail an die hinterlegte E-Mail-Adresse erfolgen wird. (ju) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
"Schule in Bayern – ich helfe mit!" Bayern beschreitet außergewöhnliche Wege, um den Unterricht trotz Corona sicherzustellen. Auf einem schnell erstellten "Bewerberportal für Aushilfsnehmer" kann man sich aktuell als Vertretungs- oder Team-Lehrkraft bewerben. Für ausreichenden Schutz der Bewerberdaten war da offenbar aber keine Zeit. Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. War da nicht was mit Sicherheit? Christian Körner hatte sich dort beworben und wollte aber nachträglich etwas an seinen Daten ändern. Dummerweise hat er das damals vergebene Passwort vergessen. Zum Glück gab es unter dem Passwort-Eingabefeld den Hinweis: "Auf dieser Seite können Sie Ihr Passwort unter Eingabe Ihres Benutzernamens zurücksetzen." Gesagt, getan: Seite aufrufen, Benutzernamen und neues Passwort eingeben und schon klappte der Zugang. Gefährliche Hintertür pwneu.php: Benutzername und neues Passwort eingeben und ab dafür. Aber halt! War da nicht noch was mit Sicherheit? Nein. Keine Sicherheitsabfrage, keine Rückfrage an die hinterlegte E-Mail-Adresse, nichts. Einfach für den Benutzernamen ein neues Passwort eingeben und schon konnte er seine Daten einsehen oder auch die Bewerbung löschen. Und vermutlich die der anderen Bewerber, deren Benutzernamen sich leicht erraten lässt, ebenso. Körner informierte das heise-Investigativ-Team und wir trauten unseren Augen kaum. Das Bewerberportal für Aushilfsnehmer sah aus, als hätte es ein Aushilfsentwickler nach absolviertem HTML-Schnellkurs mal eben schnell zusammengezimmert – trug aber stolz das Staatswappen "Bayerisches Staatsministerium für Unterricht und Kultus". Die brandgefährliche Passwort-Reset-Funktion setzte dem nur die Krone auf. Sie funktionierte tatsächlich wie beschrieben: "Passwort ändern" und fertig. Das Bewerbungsportal in seiner ganzen Schönheit. Um möglichen Schaden von den Bewerbern abzuwenden, benachrichtigten wir unverzüglich das Staatsministerium und das zuständige CERT – und fragten mal ganz unschuldig nach, was es mit dem Portal so auf sich hatte. Wer hat es aufgesetzt? Wie kamen die an den Auftrag? Wer hat die Funktionen zu Sicherheit und Datenschutz überprüft? Wie viele Datensätze wurden dort aufbewahrt? Prompte Reaktion Man muss dem Ministerium zu Gute halten, dass es prompt reagierte; noch am gleichen Tag entfernten sie die gefährliche Funktion zum Ändern des Passworts. Auch mit den angefragten Informationen hielt man nicht hinterm Berg: Das Bewerbungsportal war kurzfristig von Mitarbeitern des Kultusministeriums entwickelt worden und ist seit Mitte Juli in Betrieb. Seither haben sich dort etwa 3700 Datensätze angesammelt. Beim nachträglichen Hinzufügen der Passwort-Reset-Funktion sei es "leider zu einer zeitlichen Überschneidung von datenschutzrechtlicher Prüfung und Inbetriebsetzung gekommen" erklärte Ministerialrat Richard Tumpek den Lapsus gegenüber heise Security. Man werde das jetzt dahingehend ändern, dass der Passwort-Reset über eine automatisierte E-Mail an die hinterlegte E-Mail-Adresse erfolgen wird. (ju) Zur Startseite