Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 22.03.2023 16:51
An: ************* (IBBW Stuttgart) <*************@ibbw.kv.bwl.de>
Betreff: Re: EXTERN: Presseanfrage zu ASV-BW

 

Sehr geehrter ************,

vielen Dank für Ihre Antwort. Dann können Sie mir doch bitte die Dokumentation zur Verfügung stellen, wie Schulen und Land die Software tatsächlich produktiv betreiben sollen. Und warum finde ich falsche Anleitungen im öffentlichen Internet? Da ist es doch sehr wahrscheinlich, dass auch Schulen eine falsche Anleitung verwenden.

Vielen Dank und viele Grüße
Joachim Lindenberg

Am 22.03.2023 um 16:46 schrieb ******************** (IBBW Stuttgart):

Sehr geehrter Herr Lindenberg,

 

bezüglich Ihrer Anfrage möchten wir Ihnen wie folgend antworten.

 

Grundsätzlich weisen wir darauf hin, dass es sich bei ASV-BW um eine Client-Server-Anwendung handelt, die innerhalb des gesicherten Landesverwaltungsnetzes von Baden-Württemberg betrieben wird. Auch daher entspricht die von Ihnen genutzte Konfiguration nicht der Konfiguration und des Betriebes, wie er an den Schulen realisiert ist. Ihre Anmerkungen sind entsprechend nicht übertragbar.

 

Den Schulen/ Schulträgern stehen zudem umfangreiche Informationen zum Datenschutz sowie zum sicheren Betrieb der Software zur Verfügung. Hierzu zählen technisch wie organisatorisch zu treffende Maßnahmen, beispielsweise die Datenträgerkontrolle sowie Benutzerkontrolle, Zugriffskontrolle und Zutrittskontrolle. Die Informationen werden im Landesverwaltungsnetz von Baden-Württemberg bereitgestellt und sind nicht öffentlich einsehbar.

 

Die Software ASV-BW unterliegt einer kontinuierlichen Kontrolle in Bezug auf datenschutz- und IT-sicherheitstechnischer Aspekte und wird bei Bedarf entsprechend weiterentwickelt.

 

Abschließend möchten wir uns für die entstandene Verzögerung entschuldigen.

 

 

Mit freundlichen Grüßen

 

 

*************************

 

 

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

 

INSTITUT FÜR BILDUNGSANALYSEN BADEN-WÜRTTEMBERG

 

*********************************

Leitender Regierungsschuldirektor

Referatsleiter / Referat 11 – Statistische Erhebungen und Auswertungen

Stellvertretender Abteilungsleiter Abteilung 1

Heilbronner Straße 172

70191 Stuttgart

 

Telefon   +49 711 6642-****

Telefax    +49 711 6642-0

 

*************@ibbw.kv.bwl.de

www.ibbw-bw.de

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Informationen zur Verarbeitung personenbezogener Daten durch die Kultusverwaltung Baden-Württemberg, insbesondere Informationen gem. Art. 13, 14 EU-DSGVO, finden Sie unter https://kultus-bw.de/datenverarbeitung.

 

 

Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Dienstag, 28. Februar 2023 13:23
An: Service Center Schulverwaltung (SCS) Kontaktstelle <kontakt-sc@schule.bwl.de>; Institut für Bildungsanalysen Baden-Württemberg (Poststelle) <poststelle@ibbw.kv.bwl.de>
Betreff: EXTERN: Presseanfrage zu ASV-BW

 

Sehr geehrter Herr Dr. Klein, sehr geehrte Damen und Herren,

 

im Rahmen der Berichterstattung zu den Hackerangriffen auf Karlsruher Schulen ist es wohl wahrscheinlich, dass eine veraltete Softwareversion von VMware zum Einsatz kam. Bei meinen Recherchen habe ich auf https://asv.kultus-bw.de/,Lde/11239075 die aktuelle Version der Schulverwaltungssoftware ASV-BW gefunden und mir erlaubt, diese herunterzuladen und einem kurzen Test zu unterziehen. Wobei ich von Schulverwaltung natürlich keine Ahnung, dafür deutlich mehr von Softwareentwicklung und Sicherheit habe.

 

Mir ist folgendes aufgefallen:

  1. die Software ist nicht signiert,
  2. es wird ein Standarduser mit Standardpasswort eingerichtet, obwohl man bestimmt gleich in der Installation einen Account einrichten könnte,
  3. es wird ein http-Port geöffnet mit dem man je nach Firewallkonfiguration zumindest aus dem lokalen Netzwerk auf den Server ohne Verschlüsselung zugreifen kann, das Abhören der ausgetauschten Informationen ist dann leicht möglich. Eine TLS-Verschlüsselung scheint auch in https://asv.kultus-bw.de/site/pbs-bw-km-root/get/documents_E-2002232538/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/Anleitungen/Installation/ASV-BW_Enterprise-Version_Installation_und_Administration.pdf nur für das Internet, nicht für innerhalb des Schulnetzes vorgesehen zu sein.
  4. in der Anleitung für die Ersteinrichtung https://asv.kultus-bw.de/site/pbs-bw-new/get/documents/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/ASV_Hilfe/01_ersteinrichtung.html steht gar nichts von der Verwendung von Zertifikaten oder Verschlüsselung
  5. die JVM-Version gibt sich als openjdk version "11.0.1" 2018-10-16 zu erkennen. Diese Version ist veraltet und m.W. nicht für den produktiven Einsatz vorgesehen. Wenn man https://openjdk.org/groups/vulnerability/advisories/ liest, sind diverse bekannte Sicherheitsprobleme in dieser Version nicht gepatcht.

 

Ich darf Sie fragen:

  1. wird evtl. auf Anwendungsebene verschlüsselt und dabei auch der Server authentifiziert?
  2. gibt es eine Anleitung für den sicheren Betrieb dieser Software die ich übersehen habe?
  3. wurden Anforderungen für die Sicherheit der Software nach BSI Grundschutz APP.6 A2/A3, APP.7 A3/A4 oder anderer Art definiert? Falls ja, welche und warum konnten diese Probleme durchgehen?

 

Vielen Dank  und viele Grüße

Joachim Lindenberg

(freier Journalist, Presseausweis anbei)