Daten-Reduzierung von API Rückgaben bezüglich Nutzer Objekten innerhalb von Organisationen

Vom 10. Juni 2020

Eingestuft als unkritisch und behoben

Im Rahmen einer internen routinemäßigen Überprüfung zur Verbesserung der Dienste des Web-Client von schul.cloud, ist Folgendes aufgefallen und geändert worden:

Alle Nutzerrollen (Schüler, Eltern, Lehrer, Administratoren) können Zugriff auf die E-Mail-Adressen aller User innerhalb der gleichen Organisation (Schule) haben. Dieser Zugriff kann aber nur über die Konsole im Browser erfolgen, nicht innerhalb des normalen User-Interfaces (UI).

Um Zugriff zu erhalten, müssen folgende Schritte durchgeführt werden, welche im Rahmen einer normalen Nutzung nicht ergriffen werden:

• Aktivierung der Entwicklertools innerhalb des Browsers,
• Anzeige der Netzwerk-Transaktionen
• Manuelle Anzeige der Server Antwort zu einer Nutzer Profil Anfrage ('users/info") als .json
• Der Browser interpretiert die Rückgabe des Servers (json Daten) und zeigte dieses in den Browser Entwicklertools als Daten-Struktur an. Der Nutzer muss danach noch die interpretierte Antwort des Servers nach dem jeweiligem Nutzerelement manuell durchsuchen um an die Mailadresse zu gelangen.

Der Hintergrund dieser Verarbeitung ist, dass E-Mail-Adressen als Anhang des Datenpaktes „Userobjekt“ mitgesendet wurden und ausschließlich Administratoren angezeigt werden sollen. Dies ist das Standardvorgehen der Anwendung, sollte jedoch unter den einschränkenden Rollenfaktoren „Schüler“ und „Eltern“ nicht erfolgen , sondern nur bei den Rollen (Berechtigungen) „Administrator“ und „Lehrer“ .

Somit war es im Einzelfall möglich, manuell die Emailadresse von anderen bekannten User (innerhalb der gleichen Organisation / Schule) auszulesen, der ohnehin schon namentlich („Telefonbuch“ (siehe oben))bekannt war.

Nutzer, die das entsprechende administrative Recht (Administrator / Lehrer) besitzen, können jederzeit die Mailadressen auslesen.

Die Einsicht der Daten beschränkt sich hierbei auf die namentlich ohnehin bekannten Nutzer derselben Organisation, auf welcher der Nutzer aktiv ist. Eine Einsicht über diese Organisationsgrenzen hinaus oder Dritter von außen ist nicht möglich.

Die Größe der Gruppe ist gemessen an der Anzahl der Nutzer unterschiedlich. Statistisch gesehen hat eine Gruppe durchschnittlich 76 Nutzeraccounts und somit wäre durchschnittlich ein Zugriff auf 76 E-Mail-Adressen möglich gewesen wäre (Auswertung über alle schul.cloud Organisationen). Die Gruppengröße variiert jedoch, sodass in Einzelfällen auch deutlich größere Gruppe gemessen an ihrer Anzahl an Nutzern bestehen. Die Nutzer aller Einzelgruppen zusammengerechnet ergeben die Gesamtnutzerzahl 500.000 des Produktes schul.cloud. Es war jedoch keinem einzelnen Nutzer zu irgendeinem Zeitpunkt möglich Zugang zu allen Organisationen zu erlangen. Die Zugehörigkeit erstreckt sich jeweils immer nr auf eine Gruppe.

Dieser Umstand wurde von uns am 10.06.2020 um 14.00 Uhr festgestellt und war innerhalb einer Stunde geändert und die Änderung produktiv bereitgestellt. Seitdem sind die E-Mail-Adressen nur noch den Administratoren oder Nutzern mit der Rolle „Lehrer“, die ohnehin Kenntnis von der E-Mail-Adresse haben (müssen), einsehbar. Eine Anzeige der E-Mail-Adresse über den vorgenannten Weg ist ausgeschlossen.

Zusätzlich über den Kommunikationsweg innerhalb der schul.cloud hätte die Möglichkeit bestanden, dass Nutzer parallel über den Mailweg hätten kontaktiert werden können.

Wir haben keine Kenntnis davon, dass auf dem vorgenannten Weg E-Mail-Adressen im Rahmen der schul.cloud missbräuchlich angesehen oder ausgelesen wurden. Aufgrund des ungewöhnlichen Wegs und der erforderlichen Kenntnisse und mit Blick auf den Nutzerkreis und die ohnehin bestehende Bekanntschaft unter den Nutzern ist noch nicht einmal zu vermuten, dass auf diesem Weg missbräuchlich Mail-Adressen im Rahmen der schul.cloud angesehen oder ausgelesen wurden.

Selbst wenn es hierzu gekommen wäre, ist insbesondere aus den folgenden Gründen nicht von dem Überschreiten der Risikoschwelle des Art. 33 DS-GVO auszugehen.

• Der Zugang zu den E-Mail-Adressen ist nur einer Person möglich, die selbst registriertes Mitglied der Gruppe ist und die damit ohnehin in die Bekanntheiten der Gruppe untereinander eingebunden ist. Es handelt sich um eine geschlossene Gruppe, deren Mitglieder aufgrund Schulzugehörigkeit ohnehin miteinander verbunden und bekannt sind. Die Mitlieder der Gruppe sind sich auch über eine Art Telefonbuch namentlich bekannt.
• Typischerweise werden die Accounts durch die Eltern angelegt und deren E-Mail-Adressen verwendet, da die Schüler zum Teil noch nicht volljährig sind. Soweit im Rahmen der Anmeldung die E-Mail-Adressen von Schülern verwendet werden, werden typischerweise deren Schul-E-Mail-Adressen verwendet, die entsprechend einem Schema erstellt sind und damit aus dem ohnehin bekannten Namen abgeleitet werden können (bspw. Vorname.Nachname@schule-xyz.de). Diverse interne Recherchen beim Nutzersupport sowie weiterer Auswertungen statistischer Analysen wurde festgestellt, dass es sich bei den verwendeten Anmelde-E-Mailadressen im Wesentlichen um die Adressen der Eltern/Erziehungsberechtigten handelt. Dieses wird insbesondere dadurch untermauert, als dass die Nutzung der schul.cloud von Minderjährigen die Einwilligung der Eltern zwingend voraussetzt.
• Aktuell nutzen nur etwa 20% der in der schul.cloud aktiven Nutzer mindestens einmal den Browser, alle anderen User bedienen sich einer der Apps. Eine schul.cloud Instanz umfasst durchschnittlich 76 Nutzer. Diese verteilen sich prozentual auf etwa 0,3% Administratoren, 10% Eltern, 13% Lehrer und 56% Schüler, sowie 20% individueller organisationseigener Rollen mit unterschiedlichen Berechtigungen.

Dennoch informieren wir Sie vorsorglich aufgrund des besonderen Nutzerkreises und der aktuellen Aufmerksamkeit, welche Schulanwendungen aufgrund der Corona-bedingten Sondersituation erhalten haben. Zum aktuellen Zeitpunkt haben wir keine Kenntnis darüber, dass der Fehler missbräuchlich verwendet wurde.