Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: 26.05.2023 10:58
An: ****************** (KM) <*****************@km.kv.bwl.de>, poststelle@ibbw.kv.bwl.de
Betreff: Re: EXTERN: Re: EXTERN: Presseanfrage zu ASV-BW
Sehr geehrter Herr Dr. Klein, sehr geehrter *************,
Geheimhaltung erzeugt keine Sicherheit, sondern deutet daraufhin,
dass Sicherheit nicht gegeben ist. Auch ist es kaum glaubhaft,
dass sich bei rund 4000
Schulen und 111000
Lehrern von einem Angreifer (nicht mir) keine undichte
Stelle finden lässt, so dass eine Veröffentlichung allenfalls dazu
beiträgt, dass Schwachstellen von ehrlichen Menschen gefunden,
gemeldet, und ausgebessert werden.Das ist nicht nur meine Meinung
sondern auch die vieler Experten (Literaturliste auf https://blog.lindenberg.one/SecurityByObscurity),
sondern inzwischen auch die Überzeugung zumindest des OVG
NRW in 15 A 154/21, sehr schön aufbereitet von Dominic
Deuber und Michael Keuchen in "Anonymisierung von
Gerichtsentscheidungen im Lichte der lT-Sicherheit", Multimedia
und Recht (MMR) Nr. 5/2023.
Kann ich Sie überzeugen? Ich bin sogar bereit dazu, Ihnen erst
Feedback gebe, bevor ich eine von mir als unsicher eingestufte
Handreichung veröffentliche. Zwei meiner Quellen haben mir Mängel
im Schulbereich bestätigt, insofern werde ich nicht versprechen,
Sie nicht zu verklagen, wenn Sie auf Geheimhaltung setzen, oder
zumindest eine Eingabe beim LfDI zu machen.
Vielen Dank und viele Grüße
Joachim Lindenberg
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre Anfrage, die wir seitens der Pressestelle übernehmen.
Selbstverständlich stellt die Kultusverwaltung im Internet und Intranet den Schulen und Betreibern auf kommunaler Seite vollständig korrekte Anleitungen zum Betrieb von ASV-BW zu Verfügung.
Ihnen fehlt ggf. als weiterer Baustein die interne Information, welche den Schulen und schulischen Betreibern über das Landessystemkonzept, Handreichungen und Verordnungen den notwendigen Rahmen zum Betrieb der Verwaltungsanwendungen ausschließlich im Intranet vorgibt. Diese Information liegt Ihnen nicht vor, da es sich um interne Dienstanweisungen handelt, welche als Basis über den technischen Hinweisen liegen.
Schulen und Betreibende der Amtlichen Schulverwaltungsanwendung ASV-BW betreiben die Software ausschließlich mit vollständigen und korrekten Anleitungen im Landesverwaltungsnetz und im erweiterten schulischen Teil des Landesverwaltungsnetzes.
Mit freundlichen Grüßen
******************************
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
MINISTERIUM FÜR KULTUS, JUGEND UND SPORT BADEN-WÜRTTEMBERG
**************************************
Pressestelle/Öffentlichkeitsarbeit
Thouretstraße 6
70173 Stuttgart
Telefon +49 711 279-****
Telefax +49 711 279-2550
Mobil +49 17*********
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zur Verarbeitung personenbezogener Daten durch die Kultusverwaltung Baden-Württemberg, insbesondere Informationen gem. Art. 13, 14 EU-DSGVO, finden Sie unter https://kultus-bw.de/datenverarbeitung.
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Mittwoch, 22. März 2023 16:52
An: ************* (IBBW Stuttgart) <*************@ibbw.kv.bwl.de>
Betreff: EXTERN: Re: EXTERN: Presseanfrage zu ASV-BW
Sehr geehrter ************,
vielen Dank für Ihre Antwort. Dann können Sie mir doch bitte die Dokumentation zur Verfügung stellen, wie Schulen und Land die Software tatsächlich produktiv betreiben sollen. Und warum finde ich falsche Anleitungen im öffentlichen Internet? Da ist es doch sehr wahrscheinlich, dass auch Schulen eine falsche Anleitung verwenden.
Vielen Dank und viele Grüße
Joachim LindenbergAm 22.03.2023 um 16:46 schrieb ************* (IBBW Stuttgart):
Sehr geehrter Herr Lindenberg,
bezüglich Ihrer Anfrage möchten wir Ihnen wie folgend antworten.
Grundsätzlich weisen wir darauf hin, dass es sich bei ASV-BW um eine Client-Server-Anwendung handelt, die innerhalb des gesicherten Landesverwaltungsnetzes von Baden-Württemberg betrieben wird. Auch daher entspricht die von Ihnen genutzte Konfiguration nicht der Konfiguration und des Betriebes, wie er an den Schulen realisiert ist. Ihre Anmerkungen sind entsprechend nicht übertragbar.
Den Schulen/ Schulträgern stehen zudem umfangreiche Informationen zum Datenschutz sowie zum sicheren Betrieb der Software zur Verfügung. Hierzu zählen technisch wie organisatorisch zu treffende Maßnahmen, beispielsweise die Datenträgerkontrolle sowie Benutzerkontrolle, Zugriffskontrolle und Zutrittskontrolle. Die Informationen werden im Landesverwaltungsnetz von Baden-Württemberg bereitgestellt und sind nicht öffentlich einsehbar.
Die Software ASV-BW unterliegt einer kontinuierlichen Kontrolle in Bezug auf datenschutz- und IT-sicherheitstechnischer Aspekte und wird bei Bedarf entsprechend weiterentwickelt.
Abschließend möchten wir uns für die entstandene Verzögerung entschuldigen.
Mit freundlichen Grüßen
*********************************
<image001.jpg>
<image002.png>
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
INSTITUT FÜR BILDUNGSANALYSEN BADEN-WÜRTTEMBERG
*****************************************
Leitender Regierungsschuldirektor
Referatsleiter / Referat 11 – Statistische Erhebungen und Auswertungen
Stellvertretender Abteilungsleiter Abteilung 1
Heilbronner Straße 172
70191 Stuttgart
Telefon +49 711 6642-****
Telefax +49 711 6642-0
<image003.jpg>
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zur Verarbeitung personenbezogener Daten durch die Kultusverwaltung Baden-Württemberg, insbesondere Informationen gem. Art. 13, 14 EU-DSGVO, finden Sie unter https://kultus-bw.de/datenverarbeitung.
Von: Joachim Lindenberg <************@lindenberg.one>
Gesendet: Dienstag, 28. Februar 2023 13:23
An: Service Center Schulverwaltung (SCS) Kontaktstelle <kontakt-sc@schule.bwl.de>; Institut für Bildungsanalysen Baden-Württemberg (Poststelle) <poststelle@ibbw.kv.bwl.de>
Betreff: EXTERN: Presseanfrage zu ASV-BW
Sehr geehrter Herr Dr. Klein, sehr geehrte Damen und Herren,
im Rahmen der Berichterstattung zu den Hackerangriffen auf Karlsruher Schulen ist es wohl wahrscheinlich, dass eine veraltete Softwareversion von VMware zum Einsatz kam. Bei meinen Recherchen habe ich auf https://asv.kultus-bw.de/,Lde/11239075 die aktuelle Version der Schulverwaltungssoftware ASV-BW gefunden und mir erlaubt, diese herunterzuladen und einem kurzen Test zu unterziehen. Wobei ich von Schulverwaltung natürlich keine Ahnung, dafür deutlich mehr von Softwareentwicklung und Sicherheit habe.
Mir ist folgendes aufgefallen:
- die Software ist nicht signiert,
- es wird ein Standarduser mit Standardpasswort eingerichtet, obwohl man bestimmt gleich in der Installation einen Account einrichten könnte,
- es wird ein http-Port geöffnet mit dem man je nach Firewallkonfiguration zumindest aus dem lokalen Netzwerk auf den Server ohne Verschlüsselung zugreifen kann, das Abhören der ausgetauschten Informationen ist dann leicht möglich. Eine TLS-Verschlüsselung scheint auch in https://asv.kultus-bw.de/site/pbs-bw-km-root/get/documents_E-2002232538/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/Anleitungen/Installation/ASV-BW_Enterprise-Version_Installation_und_Administration.pdf nur für das Internet, nicht für innerhalb des Schulnetzes vorgesehen zu sein.
- in der Anleitung für die Ersteinrichtung https://asv.kultus-bw.de/site/pbs-bw-new/get/documents/KULTUS.Dachmandant/KULTUS/Projekte/asv-bw/ASV_Hilfe/01_ersteinrichtung.html steht gar nichts von der Verwendung von Zertifikaten oder Verschlüsselung
- die JVM-Version gibt sich als openjdk version "11.0.1" 2018-10-16 zu erkennen. Diese Version ist veraltet und m.W. nicht für den produktiven Einsatz vorgesehen. Wenn man https://openjdk.org/groups/vulnerability/advisories/ liest, sind diverse bekannte Sicherheitsprobleme in dieser Version nicht gepatcht.
Ich darf Sie fragen:
- wird evtl. auf Anwendungsebene verschlüsselt und dabei auch der Server authentifiziert?
- gibt es eine Anleitung für den sicheren Betrieb dieser Software die ich übersehen habe?
- wurden Anforderungen für die Sicherheit der Software nach BSI Grundschutz APP.6 A2/A3, APP.7 A3/A4 oder anderer Art definiert? Falls ja, welche und warum konnten diese Probleme durchgehen?
Vielen Dank und viele Grüße
Joachim Lindenberg
(freier Journalist, Presseausweis anbei)