Stellungnahme zu den Medienartikeln rund um „Gravierende Sicherheitsmänge in mehreren Kita-Apps entdeckt“ (07/2022) auf Basis einer wissenschaftlichen Studie.

Stellungnahme der Link IT isi GmbH (Betreiber und Entwickler der Kita-App „Stramplerbande“) zu dem in vielen Medien am 08. / 09. Juli 2022 veröffentlichten Artikel zur IT-Sicherheits- und Datenschutzanalyse von 42 Kita-Apps durch Wissenschaftler der Ruhr-Universität Bochum, des Max-Planck-Instituts für Sicherheit und Privatsphäre sowie Experten der IT-Sicherheitsfirma Aware7

Mit beeindruckender Reichweite wurde am 08. / 09. Juli 2022 durch viele Medien eine Zusammenfassung der Analyseergebnisse der Studie zur Sicherheit von Kita-Apps veröffentlicht. Dabei wird der durch die Wissenschaftler herausgegebene DPA-Artikel verwendet (vgl. u.a. www.Spiegel.de).

Auch uns haben hierzu natürlich Kundenanfragen erreicht und wir möchten gerne hiermit offiziell dazu Stellung beziehen, da die Aussagen im Artikel sehr pauschal gehalten sind und verständlicherweise beunruhigend wirken.

Zunächst sei erwähnt, dass die Sicherheitsforscher für ihren Artikel nach dem Prinzip der „Responsible Disclosure“, also der „verantwortungsvollen Offenlegung“ agierten. Bei diesem Vorgehen werden vor der Veröffentlichung der Ergebnisse die Anbieter informiert und diese haben somit Gelegenheit gefundene Probleme mit den Autoren der Studie zu besprechen und ggf. zu beseitigen. Einer der Wissenschaftler teilte uns mit, dass wir einer der wenigen Anbieter waren, die auf diese Information unmittelbar reagiert und die wenigen angesprochenen Probleme erfolgreich und nachhaltig adressiert haben. Dies wurde uns in einem gemeinsamen Termin bestätigt:

„Ihr habt alles richtig gemacht und die Lücke gefixt und ihr seid einer der wenigen Hersteller, die auf unsere Mail reagiert haben.“

Wir begrüßen die Studie ausdrücklich und sind dankbar, dass die Veröffentlichung diese Reichweite erreicht. Gerade im Kinder- und Familienumfeld sowie in Kitas müssen Datenschutz und IT-Sicherheit eine Selbstverständlichkeit sein und den diesbezüglichen Anforderungen professionell begegnet werden. Wir verstehen diese Themengebiete als das Fundament unseres Unternehmens und unserer Produkte und die Nutzer können sich bei uns auf höchste Sicherheitsstandards verlassen. So haben wir bereits seit Anbeginn einen externen Datenschutzbeauftragten benannt, welcher unsere Funktionen regelmäßig prüft und Updates vor deren Implementierung nach ausführlichen Tests freigibt.

Eines unserer Alleinstellungsmerkmale ist der Betrieb in einem deutschen Hochsicherheitsrechenzentrum, welches BSI-zertifiziert ist (Bundesamt für Informationssicherheit). Hier investieren wir sehr viel mehr Budget als ein Großteil der anderen Anbieter, denn der Betrieb in einem deutschen Rechenzentrum allein ist nicht ausreichend, auch die ISO-27001 Zertifizierung bietet dabei aus datenschutzrechtlicher Sicht zumeist nur einen Basisschutz.

Weiterhin haben wir bereits vor der Analyse durch die Wissenschaftler ein externes IT-Sicherheitsunternehmen mit der Prüfung unserer Systeme beauftragt. Diese lassen wir in regelmäßigen Abständen durchführen. Ferner ist ein kontinuierlicher Verbesserungsprozess in unserem Unternehmen integriert, um die Systeme beständig und sicher weiterzuentwickeln.

Abschließend sei noch auf einige zentrale Punkte der Studie eingegangen. Die Link IT isi GmbH wertet die Daten der Nutzer in keiner Form aus, erhebt sie nicht zu Werbezwecken geschweige denn werden die Daten weiterverkauft. Dies widerspräche unserem Selbstverständnis. Wir nutzen keine Tracking-Werkzeuge in unseren Systemen. Diesbezüglich wird für unsere Plattform eine Bibliothek genannt, welche wir aufgrund der Push-Benachrichtigungen nutzen müssen – alternative Bibliotheken würden nicht unseren Datenschutzanforderungen entsprechen. Schließlich sei noch darauf verwiesen, dass in unserem System zu keiner Zeit Bilder der Kinder durch Unberechtigte einsehbar waren oder sind.

Die Daten unserer Nutzer werden wie bereits erwähnt, in unserer Cloud in einem BSI-zertifizierten Rechenzentrum gespeichert und verschlüsselt auf die Geräte übertragen. Das Konzept „Cloud-Computing“ verwenden, soweit wir wissen, alle App-Hersteller, da die Daten natürlich nicht nur auf den jeweiligen mobilen Geräten gespeichert werden können, um den Informationsaustausch ermöglichen zu können. Da es sich hier
um eine Auftragsverarbeitung handelt, werden mit den Kitas entsprechende Vereinbarungen geschlossen. Darin sind alle Verarbeitungstätigkeiten detailliert vertraglich vereinbart.

Durch die Studie bekommen die Themen IT-Sicherheit und Datenschutz bei Kita-Apps einmal mehr die Aufmerksamkeit, welche sie im Vergleich zu Kostenfragen auch bekommen müssen.

Wir hoffen, dass wir Ihnen umfassend darlegen konnten, dass wir zu den vertrauenswürdigen Anbietern zählen. Gerne stehen wir jederzeit für Rückfragen und weitere Auskünfte zur Verfügung.

Herzliche Grüße,

Sebastian Kopp