Hochschule für Technik, Wirtschaft und Kultur Leipzig
Leipzig University of Applied Sciences
HTWK Leipzig
Skip breadcrumb navigation

Hinweis auf datenschutzrechtliche Lücken in der HTWK-App

from

Durch den Hinweis kritischer Studierender konnten datenschutzrechtliche Lücken in der HTWK-App aufgedeckt werden. Das App-Team bemüht sich um schnelle Problembehebung sowie weitere datenschutzrechtliche Optimierungen der HTWK-App.

Am Montag den 09.05.2022 erhielten wir Hinweise zu möglichen datenschutzrechtlichen Lücken in der HTWK-App (Android-Version 1.0.2 sowie iOS-Version 1.0.3). Wir möchten uns an dieser Stelle ausdrücklich bei der Gruppe kritischer Studierender bedanken, die uns darauf aufmerksam gemacht hat. Wir haben noch am gleichen Tag mit der umfassenden Prüfung der aufgeworfenen Probleme begonnen sowie das weitere Vorgehen mit unserer externen Datenschutzbeauftragten abgestimmt.

Die Sachverhalte wurden kurzfristig verifiziert und umgehend erste Maßnahmen eingeleitet. Erste Sicherheitsupdates der App wurden noch am 11.05. (iOS) bzw. 12.05. (Android) in die Stores gebracht. Diese stehen nach Prüfung durch Google und Apple in Kürze zur Verfügung.  

Die Hochschule ist Verantwortliche für die Datenverarbeitung und daher dazu verpflichtet, den Vorfall zu untersuchen und eine Risikoanalyse durchzuführen. Sie wird dabei im Rahmen der gesetzlichen und vertraglichen Umfänge vom Auftragsverarbeiter BPS GmbH und deren Unterauftragsnehmer codeculture GmbH unterstützt. Zum jetzigen Zeitpunkt können wir bereits folgende Informationen geben.

Übersicht zu Vorfällen/Analyseergebnissen/Maßnahmen:

1. Vorfall: Einbindung von Trackingbibliotheken. Die HTWK Leipzig wurde auf das Vorhandensein bestimmter Tracker-Code-Signaturen hingewiesen. Das Team HTWK-App und seine Partner:innen des Software-Projektes „OpenASiST haben selbst keine Tracking-Funktionen aktiv oder bewusst in die HTWK-App implementiert. Die Vorwürfe lassen sich auf die Verwendung der weltweit etablierten Standard-Open-Source Software Expo.io (Quelle: https://github.com/expo) zurückführen, welche beim automatischen Erstellen der Apps ungewollt weiteren Quellcode in den Apps hinzufügt.

  • a) Google-Analytics übermittelt Daten an Google – dies konnte jedoch nicht von allen Testpersonen bestätigt werden.
  • Analyse: Mit hoher Wahrscheinlichkeit handelt es sich hierbei um Konfigurationen des Playstores und/oder des Betriebssystems Android selbst. Ist das der Fall, haben wir keinen Einfluss darauf, und es besteht kein unmittelbarer Handlungsbedarf, weil Nutzende mit dem Download der App über den Playstore diesem Tracking durch Google bereits zugestimmt haben.
  • Maßnahmen: Herkunft des Trackers prüfen, mögliche Umgehung/Abschaltung prüfen und ggf. die Datenschutzerklärung anpassen
  • b) Facebook-Tracker-Codesignaturen sind implementiert und unbemerkt aktiv. Es findet eine Datenübertragung an Facebook statt.
  • Analyse: Es handelt sich hierbei um eine in der verwendeten Software Expo.io versteckte Einstellung, die in dieser Software standardmäßig und unerwartet eingeschaltet ist.
  • Maßnahme: Sofortige Deaktivierung des Trackers in erstem Sicherheitsupdate am 11./12.05.2022.
  • c) Amplitude-Tracker-Code-Signaturen sind vorhanden.
  • Analyse: Die bisherige Analyse durch das App-Team zeigte, dass eine Datenübertragung nicht zweifelsfrei ausgeschlossen werden kann. Es handelt sich hierbei um eine in der verwendeten Software Expo.io versteckte Einstellung, die in dieser Software standardmäßig und unerwartet eingeschaltet ist.
  • Maßnahme: Dringlichkeit hoch, aktuell Prüfung der Abschaltung
  • d)Segment Tracker-Signatur
  • Analyse: Trotz Hinweis der Tippgeberin auf diese Signaturen konnten sie bei einer Prüfung durch das App-Team nicht gefunden werden. Dementsprechend konnte auch KEIN aktiver Datenverkehr aufgezeichnet werden.
  • Maßnahme: Datenverkehr wird weiter überwacht und bei Auffälligkeiten entsprechende Maßnahmen eingeleitet

2Vorfall: Matomo/piwik. In die HTWK App sind verschiedene Webviews von Unterseiten der HTWK-Website eingebunden. Beim Aufrufen dieser in der App wird durch die Software Matomo/piwik ein Session-ID-Cookie gesetzt.

  • Analyse: Fehlender Hinweis in der Datenschutzerklärung: Für die Anzeige des Cookie-Banner wird ein Session-Cookies gesetzt. Ein Tracking der Nutzenden findet nach Überprüfung der Einstellungen der Matomo/piwik-Software nicht statt.
  • Maßnahme: Vorübergehenden Hinweis auf notwenige Cookies in Datenschutzinformation ergänzt. Implementierung eines Cookies-Disable-Feature im ersten Sicherheitsupdate der App, welches das Setzen von Matomo/piwik-Cookies unterbindet. Mittelfristig sollen Nutzende in der App sehen können, wenn in dieser eine Webview geöffnet wird.

3. Vorfall: Nutzung von Amazon Web Services (AWS). Bei jedem App-Start wird das Logo der HTWK von einem Amazon Web Services Content-Delivery-Network bei cloudfront.net abgefragt. Dabei werden Informationen über das Betriebssystem übermittelt.

  • Analyse: Definiert ist für die HTWK, dass alle für das Anzeigen der App benötigten Ressourcen (bspw. das Logo) direkt in der App gespeichert werden und nicht auf cloud-services zugegriffen wird. Es handelt sich mutmaßlich um einen Fehler in der Software Expo.io, weshalb das Logo der App fälschlicherweise über den cloudfront-Service bereitgestellt wird.
  • Maßnahme: Die Ressourcen der App werden zukünftig über den Hochschul-Kollektor der HTWK Leipzig zur Verfügung gestellt (Umsetzung KW 20/2022). Eine Nutzung von AWS soll so umgangen werden.

4. Vorfall: Aufruf von exp.host/status beim Start der App. Beim Start der App wird diese URL angefragt, welche sich mit Amazon Web-Services in Verbindung bringen lässt. Der Aufruf konnte in den bisherigen Prüfungen teilweise reproduziert und nachvollzogen werden.

  • Analyse: Verantwortlich für diese Verbindung ist ebenfalls die Software Expo.io.
  • Maßnahme: Mit Bereitstellung der Ressourcen über den Hochschulkollektor der HTWK wird diese Anfrage nicht mehr erfolgen.

Risikoabschätzung:

Im vorliegenden Fall wurden Daten ohne Rechtsgrundlage und Information der Nutzenden an Dritte übermittelt. Dabei handelt es sich auch um Datenübermittlungen in unsichere Drittländer. Es handelt sich dabei allerdings um weniger sensible Daten, wie Informationen zur Hardware (Modell, Speicher, Akkuladestand …), zum Betriebssystem (Version, Zeitzone, Sprache …) oder zur App selbst. Diese ermöglichen ggf. eine entsprechende Beobachtung bzw. Profilbildung im Zusammenhang mit weiteren, durch die Dritten aus anderen Quellen verarbeiteten Daten. Ein gewisses Risiko für die Nutzenden der HTWK-App kann daher nicht ausgeschlossen werden, gleichzeitig wurde dieses durch unsere externe Datenschutzbeauftragte nicht als hoch eingestuft. Offensichtliche Nachteile im Sinne einer "Beeinträchtigung der Lebensführung" lassen sich nicht erkennen. Auch der Zugriff durch US-Behörden o.ä. erscheint unwahrscheinlich. Dennoch haben wir uns nach Prüfung unserer externen Datenschutzbeauftragten dazu entschieden, den Fall der sächsischen Aufsichtsbehörde zu melden.

Wir empfehlen schnellstmöglich Updates der App durchzuführen, sobald diese verfügbar sind.

Für weitere Informationen steht das Team der Digitalen Studienbegleitung gern zur Verfügung.              



Back
MobileNavi