Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 03.03.2023 10:23
An: <kontakt-sc@schule.bwl.de>,<poststelle@ibbw.kv.bwl.de>
Betreff: AW: Presseanfrage zu ASV-BW
Sehr geehrter Herr Dr. Klein, sehr geehrte Damen und Herren,
Sie recherchieren noch? Wann kann ich mit Ergebnissen rechnen?
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Dienstag, 28. Februar 2023 13:23
An: 'kontakt-sc@schule.bwl.de' <kontakt-sc@schule.bwl.de>; 'poststelle@ibbw.kv.bwl.de' <poststelle@ibbw.kv.bwl.de>
Betreff: Presseanfrage zu ASV-BW
Sehr geehrter Herr Dr. Klein, sehr geehrte Damen und Herren,
im Rahmen der Berichterstattung zu den Hackerangriffen auf Karlsruher Schulen ist es wohl wahrscheinlich, dass eine veraltete Softwareversion von VMware zum Einsatz kam. Bei meinen Recherchen habe ich auf https://asv.kultus-bw.de/,Lde/11239075 die aktuelle Version der Schulverwaltungssoftware ASV-BW gefunden und mir erlaubt, diese herunterzuladen und einem kurzen Test zu unterziehen. Wobei ich von Schulverwaltung natürlich keine Ahnung, dafür deutlich mehr von Softwareentwicklung und Sicherheit habe.
Mir ist folgendes aufgefallen:
- die Software ist nicht signiert,
- es wird ein Standarduser mit Standardpasswort eingerichtet, obwohl man bestimmt gleich in der Installation einen Account einrichten könnte,
- es wird ein http-Port geöffnet mit dem man je nach Firewallkonfiguration zumindest aus dem lokalen Netzwerk auf den Server ohne Verschlüsselung zugreifen kann, das Abhören der ausgetauschten Informationen ist dann leicht möglich. Eine TLS-Verschlüsselung scheint auch in https://asv.kultus-bw.de/site/pbs-bw-km-root/get/documents_E-2002232538/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/Anleitungen/Installation/ASV-BW_Enterprise-Version_Installation_und_Administration.pdf nur für das Internet, nicht für innerhalb des Schulnetzes vorgesehen zu sein.
- in der Anleitung für die Ersteinrichtung https://asv.kultus-bw.de/site/pbs-bw-new/get/documents/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/ASV_Hilfe/01_ersteinrichtung.html steht gar nichts von der Verwendung von Zertifikaten oder Verschlüsselung
- die JVM-Version gibt sich als openjdk version "11.0.1" 2018-10-16 zu erkennen. Diese Version ist veraltet und m.W. nicht für den produktiven Einsatz vorgesehen. Wenn man https://openjdk.org/groups/vulnerability/advisories/ liest, sind diverse bekannte Sicherheitsprobleme in dieser Version nicht gepatcht.
Ich darf Sie fragen:
- wird evtl. auf Anwendungsebene verschlüsselt und dabei auch der Server authentifiziert?
- gibt es eine Anleitung für den sicheren Betrieb dieser Software die ich übersehen habe?
- wurden Anforderungen für die Sicherheit der Software nach BSI Grundschutz APP.6 A2/A3, APP.7 A3/A4 oder anderer Art definiert? Falls ja, welche und warum konnten diese Probleme durchgehen?
Vielen Dank und viele Grüße
Joachim Lindenberg
(freier Journalist, Presseausweis anbei)