Liebe Kitas, Träger & Kunden!

Am 08.Juli 2022 wurde eine Studie veröffentlicht in der 42 Kita-Apps aus Europa und den USA untersucht wurden.

Am 12. November 2021 wurden wir von einem Mitarbeiter vom Institut für Internet-Sicherheit  kontaktiert und auf 3 Schwachstellen in unserer App hingewiesen. 

Wir haben am 07. Januar 2022 mit einer Antwort und Beseitigung der genannten Schwachstellen auf diesen Hinweis reagiert. 

1. Outdated Backend
Die Version der Webserver-Software nginx wurde auf eine neuere Version aktualisiert.

2. Min SDK Too Low
Die Version der Android SDK wurde von 19 auf 23 geändert. 

3. SSL-Pinning
Dieses wurde in der App inzwischen auch ergänzt und im Release Train freigegeben und steht für alle im Google Play Store als Update zur Verfügung.

Quelle: E-Mail von internet-sicherheit

Am Tag der Veröffentlichung der Studie am 08.Juli 2022 haben wir die Verfasser kontaktiert und erwarten eine Antwort um Details zu erhalten, die über unsere App herausgefunden wurden,  damit wir diese für uns bewerten und notwendige Anpassungen vornehmen können. 

Nach erster eigener Prüfung konnten wir feststellen, dass wir im Dezember die Eltern-App auf eine modernere Plattform neu aufgesetzt haben und die neue Version der Kindy App am 02.Dez. 2021 und ein weiteres Update am 14.Jan. 2022 im Play Store veröffentlicht wurde.
Dies war auch der Grund warum sich Eltern Anfang des Jahres alle neu in der Kindy App einloggen mussten.
Da uns nicht bekannt ist welche Version der Kindy App für die Studie getestet wurde, gehen wir derzeit davon aus, dass es eine ältere Version von November war, die zuletzt im Play Store am 27. Apr. 2021 veröffentlich wurde, bei der mit der älteren Plattform auch ältere Versionen von PlugIns zum Einsatz kamen. 

Wir haben uns als unabhängiges eigenfinanziertes Startup zum Ziel gesetzt eine App für die Bedürfnisse von Kitas zu entwickeln und ein gutes Produkt anzubieten. Hinter Kindy steht kein Investor oder ein anderes (großes) Unternehmen, welches an unserem Unternehmen beteiligt ist und andere Interessen verfolgt.
Es findet keine Weitergabe von jedweden Daten an Dritte statt, die im Rahmen des Systems erfasst und verarbeitet werden und erst Recht nicht zu kommerziellen Zwecken und wir verwenden kein Tracking von Usern in unseren Anwendungen.
Bei uns war zu keiner Zeit ein Zugriff auf ungeschützte Daten und Fotos möglich, wie es laut der Studie bei anderen Anbietern als Schwachstelle erkannt wurde und damit von unbeteiligten Dritten Daten eingesehen werden konnten.

Die Entwicklung unserer App findet in enger Zusammenhang mit Kitas statt, die Kindy im Einsatz haben und wir nehmen alle Rückmeldungen von den pädagogischen Fachkräften, wie auch von den Datenschutzbeauftragten dankend an, um unser Produkt stetig zu verbessern und Prozesse zu überdenken und notwendige Anpassungen vorzunehmen.

Neben Funktion und Bedienbarkeit (UI/UX) der App, steht dabei auch der Datenschutz immer im Fokus und die damit verbundene Datensicherheit.
Vor Kurzem haben wir z.B. die Verifizierung in zwei Schritten in der Eltern-App ergänzt, die aktiviert werden kann und beim Login eine zusätzliche Identitätsbestätigung mit einem Code erfordert. 

In den Artikeln, die derzeit zu der Studie zu finden sind, werden Fotos stark thematisiert. In unserer App können Fotos auf der Pinnwand hochgeladen werden oder in einer Nachricht angehängt werden. Diese Funktion ist dabei ein Teil unserer App, die genutzt werden kann aber nicht muss. 

Wir empfehlen allen unseren Anwendern sich erst damit auseinanderzusetzen, wie mit Bildern allgemein umgegangen wird und eine Handlungsempfehlung zu definieren. 

Wir als Auftragsdatenverarbeiter müssen sicherstellen, dass die Bilder zugriffsgeschützt abgelegt und auch wieder gelöscht werden, wenn die Einrichtung Datensätze entfernt, die mit diesem Bild verknüpft sind. Die Einrichtung sollte sich aber auch intensiv mit der Thematik Fotos auseinandersetzen. Es dürfen nur Fotos von Kindern hochgeladen werden, deren Einwilligungserklärung für Fotos vorliegt. Um den Alltag in der Kita zu zeigen, muss nicht das Kind frontal fotografiert werden, sondern es können Motive von gemalten Bilder, neuen Spielgeräte mit einer Kinderhand o.ä. veröffentlicht werden. Sollten doch Kinder von vorne gezeigt werden, können bspw. vor dem Hochladen Emojis zur Unkenntlichmachung des Gesichts verwendet werden. Diese Funktion mit dem Hinzufügen von Emojis aufs Bild möchten wir auch in einem unserer nächsten Updates ergänzen. 

Für uns ist es wichtig nur Daten in der App zu erfassen, die zur Erfüllung der Funktionen unserer Anwendung  für die Kita notwendig sind und dabei Techniken einzusetzen, die keine Abhängigkeit zu anderen Diensten zur Folge haben, wir die Datenhoheit behalten und auch Daten bei Bedarf wieder aus dem System komplett entfernt werden.
Ganz ohne andere Dienste funktioniert es aber leider doch nicht und bei der Push-Benachrichtigung sind wir auf den Einsatz eines Push Notification Services angewiesen, um diese Funktion bereitstellen zu können. 

Sollten wir weitere Informationen uns betreffend von den Studienergebnissen erhalten, werden wir die genannten Punkte abgleichen und sowohl technisch wie auch in Bezug auf den Datenschutz bearbeiten und dies in einem weiteren Beitrag mitteilen.

Update 13.07.2022
Inzwischen haben wir eine erste Rückmeldung von den Autoren der Studie erhalten und es wurde uns mitgeteilt, dass für die Studie die App Version 1.3.2 (April 2021) verwendet wurde, wie wir auch bereits vermutet haben. Zudem wurde uns mitgeteilt, dass uns alle gefundenen Details am 12.Nov. 2021 bereits mitgeteilt wurden, was wir alles, wie im Beitrag beschrieben, bereits im Dez/Jan behoben haben.
Auch die Information in der Studie mit der Verschlüsselung ist nicht korrekt, da der Zugriff bei uns in der App nicht mit TLS 1..0 sondern stets mit TLS 1.3 oder 1.2 erfolgt.