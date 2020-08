"Schule in Bayern – ich helfe mit!" Bayern beschreitet außergewöhnliche Wege, um den Unterricht trotz Corona sicherzustellen. Auf einem schnell erstellten "Bewerberportal für Aushilfsnehmer" kann man sich aktuell als Vertretungs- oder Team-Lehrkraft bewerben. Für ausreichenden Schutz der Bewerberdaten war da offenbar aber keine Zeit.

War da nicht was mit Sicherheit?

Christian Körner hatte sich dort beworben und wollte aber nachträglich etwas an seinen Daten ändern. Dummerweise hat er das damals vergebene Passwort vergessen. Zum Glück gab es unter dem Passwort-Eingabefeld den Hinweis: "Auf dieser Seite können Sie Ihr Passwort unter Eingabe Ihres Benutzernamens zurücksetzen." Gesagt, getan: Seite aufrufen, Benutzernamen und neues Passwort eingeben und schon klappte der Zugang.

Gefährliche Hintertür pwneu.php: Benutzername und neues Passwort eingeben und ab dafür.

Aber halt! War da nicht noch was mit Sicherheit? Nein. Keine Sicherheitsabfrage, keine Rückfrage an die hinterlegte E-Mail-Adresse, nichts. Einfach für den Benutzernamen ein neues Passwort eingeben und schon konnte er seine Daten einsehen oder auch die Bewerbung löschen. Und vermutlich die der anderen Bewerber, deren Benutzernamen sich leicht erraten lässt, ebenso.

Körner informierte das heise-Investigativ-Team und wir trauten unseren Augen kaum. Das Bewerberportal für Aushilfsnehmer sah aus, als hätte es ein Aushilfsentwickler nach absolviertem HTML-Schnellkurs mal eben schnell zusammengezimmert – trug aber stolz das Staatswappen "Bayerisches Staatsministerium für Unterricht und Kultus". Die brandgefährliche Passwort-Reset-Funktion setzte dem nur die Krone auf. Sie funktionierte tatsächlich wie beschrieben: "Passwort ändern" und fertig.

Das Bewerbungsportal in seiner ganzen Schönheit.

Um möglichen Schaden von den Bewerbern abzuwenden, benachrichtigten wir unverzüglich das Staatsministerium und das zuständige CERT – und fragten mal ganz unschuldig nach, was es mit dem Portal so auf sich hatte. Wer hat es aufgesetzt? Wie kamen die an den Auftrag? Wer hat die Funktionen zu Sicherheit und Datenschutz überprüft? Wie viele Datensätze wurden dort aufbewahrt?

Prompte Reaktion

Man muss dem Ministerium zu Gute halten, dass es prompt reagierte; noch am gleichen Tag entfernten sie die gefährliche Funktion zum Ändern des Passworts. Auch mit den angefragten Informationen hielt man nicht hinterm Berg: Das Bewerbungsportal war kurzfristig von Mitarbeitern des Kultusministeriums entwickelt worden und ist seit Mitte Juli in Betrieb. Seither haben sich dort etwa 3700 Datensätze angesammelt.

Beim nachträglichen Hinzufügen der Passwort-Reset-Funktion sei es "leider zu einer zeitlichen Überschneidung von datenschutzrechtlicher Prüfung und Inbetriebsetzung gekommen" erklärte Ministerialrat Richard Tumpek den Lapsus gegenüber heise Security. Man werde das jetzt dahingehend ändern, dass der Passwort-Reset über eine automatisierte E-Mail an die hinterlegte E-Mail-Adresse erfolgen wird.

(ju)