Eine kurze (österliche) Meldung für Sicherheits- und Datenschutzverantwortliche in kirchlichen Einrichtungen, die KaPlan Web im Einsatz haben. Es wurde eine Sicherheitslücke gefunden, die eine Manipulation der SQL-Datenbank ermöglichte. Die Einstufung meinerseits ist, dass dies aus DSGVO meldepflichtig für die Betreiber ist.
Was ist KaPlan Web?
Die Kurzfassung lautet, dass es sich bei KaPlan Web (im englischen Sprachraum als ChurchDesk bekannt) um einen Kalender und ein Planungstool für Pfarrbüros handelt.
Die Software wird von der KaPlan Software GmbH angeboten. Die Nutzung ist über den Internetzugang im Web möglich. Auf ChurchDesk finden sich weitere Details zu den Funktionen (wie Kalender, Kontakte etc.) der Software-Plattform.
Eine Schwachstelle in KaPlan Web
Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook darauf hingewiesen, dass ihm von einem Kunden mitgeteilt wurde, dass in der Software „Kaplan (ChurchDesk)“ eine scheinbar DSGVO-meldepflichtige Sicherheitslücke gefunden wurde. Die Webseite von KaPlan Web ist derzeit offline bzw. in den Wartungsmodus geschaltet.
In einer Meldung, die mir als PDF-Dokument vorliegt, heißt es, dass kürzlich eine Sicherheitslücke in der KaPlan Web-Anwendung für die mobile Nutzung („KaPlan Web“) festgestellt wurde.
Sicherheitsexperte findet SQL-Injection-Sicherheitslücke
Konkret ist ein IT-Sicherheitsexperte des Bistums Münster auf eine potenzielle SQL-Injection-Sicherheitslücke in KaPlan Web gestoßen, die dann am 27. März um 16:11 Uhr gemeldet wurde. Laut Untersuchungen scheint die Sicherheitslücke etwa vier Wochen vor der Entdeckung im Rahmen einer technischen Änderung durch JL Software entstanden zu sein.
Nach der Benachrichtigung von JL Software wurde KaPlan Web für das Bistum Münster
umgehend geschlossen. Dies war eine Vorsichtsmaßnahme, um jegliches weitere Risiko eines unbefugten Zugriffs zu verhindern.
Sicherheitslücke inzwischen geschlossen
Die Sicherheitslücke kann nicht mehr ausgenutzt werden, da die Schwachstelle in Zusammenarbeit mit JL Software beseitigt wurde. In der Mitteilung des Anbieters heißt es, dass am 28. März um 8:45 Uhr entdeckt wurde, dass die Sicherheitslücke für alle KaPlan Web-Kunden galt. Daraufhin wurde KaPlan Web für alle Kunden geschlossen. Betroffene Kunden sollten inzwischen vom Anbieter informiert worden sein.
Auswirkungen der Schwachstelle
Durch die Ausnutzung eines bestimmten URL-Parameters in der KaPlan-Web-URL
konnte eine Person unter bestimmten Bedingungen SQL-Anweisungen gegen eine
KaPlan-Web-Datenbank ausführen. Dazu musste der Angreifer eine gültige KaPlan
„Arbeitsgruppe“ und ein bestimmtes Cookie kennen, das durch Klicken auf „Passwort
vergessen“ erhalten werden konnte.
Die Sicherheitslücke ermöglichte den Lesezugriff auf Benutzerdaten, einschließlich
Benutzernamen und Passwörter. Leider waren die in der Datenbank gespeicherten
Passwörter nur durch einen extrem schwachen Verschlüsselungsmechanismus (HexcodeLetter-Exchange) geschützt. Dies bedeutet, dass es mit mäßigem technischen Knowhow möglich ist, die ursprünglichen Passwörter aus den gespeicherten Hashes
abzuleiten.
Dadurch hätten sich Benutzernamen und Passwörter für KaPlan Web-Konten abfragen und decodieren lassen. Die am 28. März um 14:46 Uhr abgeschlossene Log-Analyse von JL Software ergab, dass nur der Sicherheitstest, der von dem IT-Sicherheitsexperte in Münster durchgeführt wurde, zu einem Datenleck in der Münster-Datenbank führte. Es habe weder vor noch nach diesem Vorfall ein Datenleck, das auf diese Schwachstelle zurückzuführen war, heißt es in einer Information an Kunden.
Passwörter ändern
Es besteht laut Mitteilung des Anbieters die Gefahr, dass die Nutzer sowohl in KaPlan Web (für die mobile Nutzung) als auch in KaPlan Flex dieselben Passwörter verwenden. Der Betreiber empfiehlt daher, dass alle Nutzer, die das selbe Kennwort für KaPlan Web und KaPlan Flex verwendet haben, so bald als möglich dieses Passwort ändern sollten.
Zur Zeit hat der Betreiber wohl den Zugang zu KaPlan Web für alle Kunden gesperrt, um weiteren möglichen Missbrauch zu verhindern. Weiterhin empfiehlt der Anbieter, Sie eine Meldung an die zuständige Aufsichtsbehörde zu erwägen, sofern die DSGVO-Verantwortlichen der Meinung sind, dass die Angelegenheit gemeldet werden muss.
Hallo Herr Born,
eine Anmerkung der Vollständigkeit halber zu diesem konkreten Fall: wie in vielen Bereichen unterliegt die (Katholische) Kirche eigenen Gesetzmäßigkeiten, die oft sehr weit reichen. So hat die (Katholische) Kirche eine eigene „DSGVO“ namens „Kirchlichen Datenschutz“ (KDG) und „deren Durchführungsverordnung zum KDG“ (KDG-DVO), die allerdings stark an die DSGVO angelehnt ist. In letzter Instanz landen Vorfälle trotzdem üblicherweise auch bei den weltlichen Behörden.
Frohe Ostern!