Informationen zur aktuellen Datenpanne

Stand: 03.05.2024, 13:45 Uhr

Liebe KundInnen, liebe App-NutzerInnen!

 

Wir möchten Ihnen gerne auf dieser Seite Informationen zu einer kürzlich bekannt gewordenen, inzwischen behobenen Datenpanne geben.

 

Durch Berichterstattung in der Presse sind bei Trägern, Einrichtungen und Eltern, die unsere App nutzen, verständlicherweise Fragen bezüglich der Sicherheit aufgekommen. Wir nehmen den Vorfall und Ihre Verunsicherung sehr ernst und möchten Sie über den Vorfall hier transparent und verständlich informieren. Es tut uns Leid, dass es zu den Fehlern in der Konfiguration der Server gekommen ist. Bei allen Betroffenen der Datenpanne möchten wir um Entschuldigung bitten.

 

Die Redaktion des Computerfachmagazins «c’t» (heise online) hat uns am 18.03.2024 über eine Fehlkonfiguration auf einem unserer Webserver informiert. Diese hatte zur Folge, dass Dateien auf diesem Server, die eigentlich nur für angemeldete Nutzer zugreifbar sein sollten, auch für unbefugte Personen zugreifbar waren. Wir haben die gemeldete Lücke am betroffenen Server binnen zwei Stunden geschlossen. Außerdem wurde eine Untersuchung durch interne und externe IT-Fachleute gestartet. Hierdurch sind in den folgenden Tagen weitere Fehlkonfigurationen auf Entwicklungsservern entdeckt worden, die sofort nach Entdeckung ebenfalls behoben wurden. Ziel der Untersuchung ist es, mögliche weitere Schwachstellen zu finden und Zugriffe auf die Dateien nachzuvollziehen. Der Vorfall wurde an die Träger per E-Mail am 20.03.2024 und per Brief am 03.05.2024 und die Einrichtungen per E-Mail am 26.03.2024 kommuniziert. Zudem haben wir den für uns zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg unterrichtet.

 

Wir wissen, dass es für Sie wichtig ist zu verstehen, auf welche Daten zugegriffen werden konnte und was Sie persönlich nun tun können. Selbstverständlich werden wir aus diesem Vorfall lernen, um ähnliche Vorfälle in Zukunft zu vermeiden und unsere Anstrengungen im Bereich der IT-Sicherheit weiter zu intensivieren.

 

Aus diesem Grund haben wir diese Seite erstellt, um Sie zu den am häufigsten genannten Fragen und Antworten zu informieren, die Sie als Betroffene beschäftigen. Sollten Sie eine Frage haben, die wir hier nicht aufgenommen haben, kontaktieren Sie uns bitte per Mail, unter hilfe@stayinformed.de.

 

Wir werden Ihre Fragen beantwortet hier mitaufnehmen.

 

Weiterhin untersuchen wir den Vorfall gründlich und werden Sie auf dieser Seite auf dem neuesten Stand halten.

 


 

Nachfolgend finden Sie die wichtigsten Fragen und Antworten sortiert nach den Kategorien:

FAQ Allgemein
FAQ Träger
FAQ Einrichtungen
FAQ Eltern

 


 

Allgemein

Welche Dateien und Personen sind betroffen?

Die eigentlichen Daten der Anwendung (Nutzerkonten, Messenger-Kommunikation, die Nachricht selbst) waren nicht betroffen. Betroffen war einer der Server, auf denen u.a. personenbezogene Dateien gespeichert werden. Inwieweit eine Einrichtung jeweils betroffen ist, hängt dabei von der individuellen Nutzung der App ab. Im folgenden werden die vier Dateitypen beschrieben, die auf dem Server lagen:

  • PDF-Anhänge: Einrichtungen können Nachrichten versenden. An diese Nachrichten können sie beliebige PDF-Dateien anhängen. Diese werden auf den Server hochgeladen und in der Nachricht verlinkt. Die Inhalte werden durch die Einrichtung bestimmt. Löscht die Einrichtung eine Nachricht, löscht das System zugehörige Anhänge. Gemeint sind nur Anhänge von “Nachrichten”. Über den Messenger versendete Anhänge sind auf einem anderen Server gespeichert, der nicht betroffen war.

     

    Die meisten Einrichtungen nutzen Nachrichten und Anhänge und löschen diese am Ende des Kindergarten- bzw. Schuljahres. Typisch sind Elternbriefe, Einladungen, etc. Diese enthalten oft keine Daten von Kindern oder Sorgeberechtigten. Wurden jedoch Adresslisten, Fotocollagen, etc. von der Einrichtung verschickt, sind die darauf genannten oder abgebildeten Personen betroffen. Daher muss die Einrichtung ihre Anhänge bewerten. Solange die Nachrichten nicht gelöscht wurden, können NutzerInnen jederzeit in der App selbst prüfen, welche Inhalte deren Anhänge haben.

     

  • Avatare: Falls die Einrichtung den Messenger nutzt, können NutzerInnen dort ein Profilbild hochladen. Das Bild wird auf 200×200 Pixel verkleinert und mit einem zufälligen Namen gespeichert. Von den 850.000 NutzerInnen der App hatten 16.677 NutzerInnen Avatare hochgeladen.

     

    Typisch für Avatar-Bilder sind Fotos der NutzerIn oder des Kindes, aber auch sonstige Grafiken. Alle NutzerInnen, die ein Foto hochgeladen haben, sind betroffen. NutzerInnen können in der App jederzeit sehen, ob ein Profilbild hochgeladen wurde ist. Dieses wird in den “Kontoeinstellungen” angezeigt. Ist dort das Stay Informed-Logo zu sehen, wurde kein Profilbild hochgeladen.

  • Unterschriftsgrafiken: Einrichtungen können einstellen, dass auf Nachrichten eine Rückmeldung erfolgen muss. Zusätzlich kann gefordert werden, dass die Rückmeldung am Handy “unterschrieben” werden muss. Die Unterschriftsgrafik wird verschlüsselt und mit einem zufälligen Dateinamen gespeichert. Löscht die Einrichtung die ursprüngliche Nachricht, löscht das System auch die zugehörige Unterschrift.

    Alle NutzerInnen, die für eine Rückmeldung eine Unterschrift geleistet haben, sind betroffen. Die Grafiken wurden allerdings als besonders sensibel eingestuft und daher mit AES256 nach Stand der Technik verschlüsselt. Der Schlüssel war nicht zugreifbar.


  • Exportierte Dateien: Z. T. sind in den Einrichtungen weitere IT-Systeme im Einsatz, z. B. zur Platzvergabe. Einrichtungen können Daten aus diesen Vorsystemen als CSV-Datei exportieren und im Verwaltungs-Portal von Stay Informed importieren. Zu importierende Dateien werden auf dem betroffenen Server zwischengespeichert. Sie müssen ein bestimmtes Format haben: “Name, Vorname, Gruppe, (optional) Geburtsdatum” – sonst wird der Import mit einer Fehlermeldung abgebrochen. Importierte Dateien sollten sofort nach dem Import gelöscht werden. Für korrekt importierte Daten hat dies immer funktioniert. Zwischen 2020 und 2022 hochgeladene ungültige Dateien wurden nicht wie vorgesehen gelöscht. Sie lagen bis zum 18.03.2024 auf dem Server und wurden am 21.03.2024 den davon betroffenen Trägern auf sicherem Weg zur Analyse übermittelt.

     

    Alle Personen sind betroffen, deren Daten durch die Einrichtung aus Drittsystemen exportiert wurden, sofern die Daten ungültig formatiert waren und der Import zwischen 2020 und 2022 versucht wurde. Von circa 1.500 Einrichtungen lagen am 18.03.2024 eine oder mehrere fehlgeschlagene Datei-Importe (CSV-Textdateien) auf dem Server. Da die Dateien aus Drittsystem stammen, ist deren Inhalt sehr unterschiedlich. Mehr als die Hälfte der Dateien waren sehr klein und inhaltlich unkritisch, z.B. ein Test-Datensatz. In einigen Fällen enthielten die CSV-Exporte aus Drittsystemen viele Datenzeilen, sehr detaillierte und z.T. sensible Daten. Die App kann solche Daten nicht speichern.

Sind aktuelle Daten betroffen?

Die Fehlkonfiguration betrifft nicht die Nachrichtentexte und nicht die Messaging-Funktion. Sie betrifft aber die PDF-Anhänge an Nachrichten. Seit 18.03.2024 ist die Fehlkonfiguration behoben.

 

Warum sind nur einzelne Daten betroffen und nicht die gesamte Anwendung?

Die eigentlichen Inhalte der Anwendung, wie die Kommunikationsinhalte, liegen in Datenbanken. Diese Datenbankserver waren nicht von der beschriebenen Fehlkonfiguration betroffen und also auch nie direkt aus dem Internet erreichbar. Um Dateien abzulegen, die zu groß für die Datenbank sind, werden zusätzlich Dateiserver verwendet. Einer dieser Server auf dem die unter “Welche Daten sind betroffen?” gespeicherten Dateien lagen, war von der Fehlkonfiguration betroffen.

Während die Anhänge der “Nachrichten” betroffen waren, sind die die Anhänge des “Messengers” nicht betroffen. Dies liegt daran, dass für die Messenger-Funktionalität Anhänge auf einem anderen Datei-Server gespeichert sind, der immer korrekt konfiguriert war.

 

Wurde die Fehlkonfiguration durch einen Angriff auf den Server entdeckt?

Die Fehlkonfiguration wurde von einer Person, die anonym bleiben will, an Redakteure der c’t gemeldet. Diese haben uns am 18.03.2024 auf die Fehlkonfiguration hingewiesen, was uns die Möglichkeit gab die Fehler zu beheben. Hierfür danken wir der meldenden Person und den Redakteuren.

Es liegen uns keine Erpressungsschreiben vor oder sonstige Anzeichen, dass es Manipulation an unserer Software oder an den darin gespeicherten Daten gab.

 

Wurde Stay Informed gehackt?

Nein, es liegen keinerlei Indizien für einen böswilligen Angriff vor. Es handelt sich um einen Konfigurationsfehler auf den wir von der c’t-Redaktion hingewiesen wurden.

 

Was war die Ursache für die Datenpanne?

Es konnten zwei Ursachen für die Datenpanne identifiziert werden:

  1. Konfigurationsfehler

Fehlkonfigurationen auf den Webservern führten dazu, dass auf Dateien, nicht nur wie vorgesehen durch angemeldete Benutzer über die App, sondern auch direkt ohne Zugriffskontrollen zugegriffen werden konnte.

 

Technische Erläuterung für Experten: Die App ist so konfiguriert, dass sie über einen Hostnamen verschlüsselt direkt mit einem Lastverteilsystem (Load Balancer) spricht. Dieses leitet die Anfragen im internen Netzwerk an die Webserver und die eigentliche Anwendung weiter. Alle Systeme sind Teil eines privaten internen Netzwerks bei unserem Hoster Hetzner.

 

Im Rahmen der Umstellung der alten „Kita-Info-App“ auf die „Stay Informed App“ wurde die neue Architektur mit dem Lastverteilsystem eingeführt. Der betroffene Webserver hätte nach Abschluss der Umstellungsarbeiten nicht mehr öffentlich erreichbar sein sollen. Seine öffentliche IP-Adressen wurde jedoch nicht deaktiviert. Während also die regulären Aufrufe über das Lastverteilsystem und das interne Netzwerk an den betroffenen Webserver weitergereicht wurde, konnte er auch direkt aufgerufen werden. Beim betroffenen Server wurde darüber hinaus ein Fehler beim Bearbeiten seiner Webserver-Konfiguration gemacht. Wann genau die Konfiguration so geändert wurde, dass die Angreifbarkeit bestand, kann nicht mehr nachvollzogen werden. Hierdurch war nicht nur das HTTP-Protokoll, sondern auch das HTTPS-Protokoll erreichbar. Da die zuvor für HTTPS zuständigen Teile deaktiviert wurden, war ab diesem Zeitpunkt die Voreinstellung inkl. der Darstellung aller Dateien im Stammverzeichnis des Webservers (“Directory Listing”) aktiv. Hierdurch konnte auf den betroffenen Servern über den Aufruf der IP-Adresse in Kombination von bestimmten Ports und Protokollen die dort abgelegten Dateien angezeigt werden. Beim betroffenen Produktivserver war es das HTTP-Protokoll auf Port 443.

 

Die beschriebene Fehlkonfiguration des Produktivservers wurde am 18.03.2024 behoben. Die über die Fehlkonfiguration potentiell aufrufbaren Dateien werden unter “Welche Daten sind betroffen?” beschrieben.

  1. Software-Fehler

Unter “Welche Daten sind betroffen?” sind die vier Dateiarten beschrieben, die auf dem betroffenen Datei-Server lagen (PDF-Anhänge, Avatare, Unterschriftsgrafiken und exportierte Dateien). Die ersten drei Dateiarten sind die aktiv in der Anwendung verwendeten Dateien. Sie wurden und werden wie vorgesehen gelöscht, wenn z.B. die KiTa-Leitung in der Anwendung eine Löschung anstößt.

 

Bei der vierten Dateiart, den exportierten CSV-Dateien, handelt es sich um Exporte aus anderen IT-Systemen. Unsere Lösung bietet die Möglichkeit, Daten aus Drittsystemen zu importieren, um eine erneute manuelle Eingabe einzusparen. Normalerweise hätten diese Dateien direkt nach dem Hochladen und Importieren gelöscht werden sollen. Durch einen Fehler in unserer Software wurden sie nicht gelöscht wenn der Import fehlschlug.

 

Falls solche CSV-Dateien für eine Einrichtung zum Zeitpunkt der Entdeckung der Datenpanne vorlagen, wurde der Träger dieser Einrichtung informiert. Da die CSV-Dateien je nach Einrichtung unterschiedliche Inhalte haben, prüfen die einzelnen Träger, welche Daten hier vorlagen und wer gegebenenfalls informiert werden muss.

 

Hat der Hoster Fehler gemacht?

Nein. Wir sind sehr zufrieden mit unserem Hoster Hetzner und möchten an dieser Stelle klarstellen, dass Hetzner keinerlei Schuld trifft.

 

Ist die Kommunikation in der App sicher?

Die Lösung kommuniziert stets sicher über das Internet (über HTTPS). Software und Datenbank waren nicht kompromittiert. Die Konfigurationsfehler sind behoben. Aus unserer Sicht können Sie die App daher weiter verwenden.

 

Wurden/Werden Daten unverschlüsselt übertragen?

Nein, nicht in der App und bei der regulären Verwendung der Anwendung. Solange die Fehlkonfiguration bestand, konnte allerdings an den Sicherheitsmaßnahmen vorbei parallel zur App auch direkt auf einen Server zugegriffen werden. Nur zu diesem Server konnte aus dem Internet eine unverschlüsselte Verbindung (HTTP) aufgebaut werden. Seit die Kita-Info-App besteht (die heute Stay Informed App heißt), wurde stets ausschließlich verschlüsselt über das Internet kommuniziert (HTTPS).

 

Technische Details für Experten: Die App greift auf den vorgenannten Server über eine davor geschaltete Lastverteilung zu, welche die HTTPS-Verbindung terminiert. Die Lastverteilung leitet die Anfragen im internen Netzwerk an die Webserver und die eigentliche Anwendung weiter. Alle Systeme sind Teil eines privaten internen Netzwerks bei unserem Hoster Hetzner. Durch die Fehlkonfiguration konnte bei direktem Aufruf des Webservers über seine öffentliche IP-Adresse mit dem HTTP-Protokoll auf Port 443 auf die oben beschriebenen Dateien zugegriffen werden. Die normale Verwendung der Lösung und zum Beispiel die Übertragung von Kennwörtern waren hierdurch nicht betroffen.

 

Wird veraltete Software verwendet?

Nein, auf dem betroffenen Server wurde Software eingesetzt, die regelmäßige Sicherheitsaktualisierungen bekommt.

Nach unserer Kenntnis hatte “Der Spiegel” als erstes geschrieben, dass wir (zum Zeitpunkt der Datenpanne) veraltete Software eingesetzt hätten. Das ist und war nicht der Fall. Uns ist nicht bekannt, woher die Redaktion diese Information haben will. Mit uns gesprochen hat sie nicht.

 

Warum ist der Fehler bei den Penetrationstests nicht aufgefallen?

Penetrationstests (auch Pentests genannt) sind technische Sicherheitsprüfungen mit dem Ziel Schwachstellen in IT-Systemen aufzudecken. Es soll also das unautorisierte Eindringen (Penetration) in Systeme simuliert werden. Wir lassen regelmäßig solche Sicherheitsprüfungen für bestimmte Systeme von externen Fachleuten durchführen. Der betroffene Server war aufgrund von Priorisierung bisher noch nicht im Testumfang enthalten. Daher ist die Fehlkonfiguration nicht aufgefallen. Eine der Lehren aus dem Vorfall ist, dass wir in Zukunft den Umfang der Penetrationstest und anderer Sicherheitsprüfungen ausweiten werden, damit Fehler schneller entdeckt werden können.

 

Wurde unberechtigt auf Daten zugegriffen?

Bitte beachten Sie, dass aktuell noch Untersuchungen zu dem Vorfall laufen. Wir halten Sie auf dieser Seite auf dem Laufenden und sind selbstverständlich mit den Trägern und Aufsichtsbehörden im Austausch.

 

Die Protokollierung des Webservers war auf maximal 14 Tage eingestellt. Wir haben also nur ein sehr begrenztes Sichtfenster. Die Zugriffe in dieser Zeit haben wir analysiert.

 

Aus den uns vorliegenden Protokolldaten konnten am 15.03.2024 Zugriffe auf eine größere Zahl an Dateien auf dem Server festgestellt werden. Drei Tage später wurden wir durch die c’t-Redakteure auf die Fehlkonfiguration hingewiesen. Die Redakteure verweigern die Aussage, ob unsere Hypothese zutrifft, dass die Zugriffe durch sie oder den anonymen Hinweisgeber im Rahmen der Recherche stattgefunden haben.

 

Für die Zeit davor bis zur Einführung der Fehlkonfiguration (frühestens 20.10.2021) liegen uns keine Protokolldaten vor. Daher können wir auch keine verlässliche Aussage über weitere Dateizugriffe treffen.

 

Seit wann und wie lange bestand die Zugriffsmöglichkeit?

Die Zugriffsmöglichkeit bestand frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023. Wir wurden am 18.03.2024 von der c’t-Redaktion informiert und haben den ungewollten Zugriff keine zwei Stunden später geschlossen.

 

Bei wem liegt die Verantwortung für die Datenpanne?

Die Fehlkonfiguration wurde von uns, die die Anwendung und die dazugehörigen Server betreiben, gemacht. Für diesen Fehler bitten wir um Entschuldigung.

 

Da keine direkte Vertragsbeziehung zwischen den Einrichtungen sowie den Sorgeberechtigten und Stay Informed besteht, darf Stay Informed nicht direkt auf Betroffene zugehen, sondern muss dies über die Träger tun. Die DSGVO bezeichnet diese als “Verantwortliche” und Stay Informed als “Auftragsverarbeiter”. Im Rahmen des uns möglichen und rechtlich erlaubten, tun wir alles, um die Träger, die Einrichtungen und die Sorgeberechtigten bestmöglich bei der Aufarbeitung der Datenpanne zu unterstützen – unter anderem durch das Bereitstellen dieser Informationsseite.

 

Kann so etwas noch einmal passieren?

Wir werden alles daran setzen, dass so ein Fehler oder ähnliche Fehler nicht noch einmal passieren!

Aktuell läuft noch die Analyse des Vorfalls, seiner Ursachen und möglicher Auswirkungen. Damit die Lehren aus den Fehlern gezogen werden, werden durch ein Team aus internen und externen IT, Sicherheits- und Datenschutzfachleuten Maßnahmen erarbeitet.

 

Wir werden Sie auf dieser Seite zum aktuellen Stand auf dem Laufenden halten.



 

Träger

Muss ich den Vorfall der Datenschutzbehörde melden?

Aus unserer Sicht ist es erforderlich, dass Sie Ihre zuständige Datenschutz-Aufsichtsbehörde informieren. Die Risikoeinschätzung müssen Sie gemäß DSGVO als verantwortliche Stelle selbst vornehmen und basierend darauf entscheiden, ob Sie Ihre App-NutzerInnen informieren. Hierzu benötigen Sie jedoch die Information, ob Ihre Einrichtungen exportierte Dateien hochgeladen haben. Sollte mindestens eine Ihrer Einrichtungen von den exportierten Dateien (CSV-Dateien) betroffen sein, haben wir Ihnen bereits am 21.03.2024 eine E-Mail mit dieser Datei in verschlüsselter Form zukommen lassen (siehe oben).  

 

Weiß meine Einrichtung Bescheid?

Am 26.03.2024 hat Stay Informed eine E-Mail mit Verweis auf diese FAQ an alle Einrichtungen versendet.

 

Was muss ich als Träger jetzt tun?

Sofern Sie die Datenschutz-Aufsichtsbehörde über den Vorfall noch nicht informiert haben, legen wir Ihnen nahe dies zu tun.

Ihr Einrichtungen können von unterschiedlichen Konstellationen betroffen sein:

 

Sollte mindestens eine Ihrer Einrichtungen von den exportierten Dateien (CSV-Dateien) betroffen sein, haben wir Ihnen bereits am 21.03.2024 eine E-Mail mit dieser Datei in verschlüsselter Form zukommen lassen.

 

Sollte keine Ihrer Einrichtungen von diesen speziellen CSV-Dateien betroffen sein, haben Sie am 21.03.2024 eine E-Mail von uns erhalten, in der das kommuniziert wurde.

 

Sollten Sie am 21.03.2024 keine E-Mail erhalten haben, wenden Sie sich bitte an uns unter hilfe@stayinformed.de.

 

Ob und in welcher Form Sie diese Informationen an Ihre Einrichtungen und Eltern kommunizieren, obliegt Ihrer Entscheidung. Wir empfehlen, diesen Vorfall transparent zu halten, mit der Einrichtung Rücksprache zu halten und ggf. die betroffenen Eltern zu informieren. Diese haben evtl. bereits über die Presse von dem Vorfall erfahren.





 

Einrichtungen

Sind die Daten der Kinder meiner Einrichtung betroffen?

Ob Daten Ihrer Kinder betroffen sind, hängt von der individuellen Nutzung der App in Ihrer Einrichtung ab. Die von Ihnen versendeten Nachrichtentexte selbst sind nicht betroffen. Betroffen können die ausschließlich mit der Nachrichtenfunktion (nicht über Pinnwand, Messenger, Stunden- oder Speiseplan) versendeten PDF-Anhänge sein.

 

Weiterhin sehen Sie im Messenger, ob Sie dort ein Profilfoto hinterlegt haben und welches.

 

Sofern Eltern Rückmeldungen unterschrieben haben, liegt die Unterschrift als Grafik-Datei in verschlüsselter Form auf dem Server.

 

Falls für Ihre Einrichtung exportierte Dateien (CSV-Dateien) vorlagen, hat Stay Informed diese an Ihren Träger (=Vertragspartner) geschickt (siehe oben).

 

Warum gibt Stay Informed keine Auskunft?

Uns erreichen Anfragen von Betroffenen, die um Auskunft bitten, ob ihre Daten bzw. die Daten ihrer Kinder betroffen sind. Wir tun alles dafür den Vorfall gründlich aufzuarbeiten und gleichzeitig dürfen wir solche Informationen nur an diejenigen Stellen weitergeben, mit denen wir einen Vertrag geschlossen haben. Dies ist in den meisten Fällen der Träger.

 

Bitte richten Sie Ihre Anfragen an Ihren Träger bzw. Vertragspartner mit Stay Informed. Diesen haben wir darüber informiert, welche Daten genau betroffen waren. Sollten weitere Fragen auftauchen, stehen wir Ihnen selbstverständlich zur Verfügung.

 

Was muss ich jetzt tun?

Sofern noch nicht geschehen, empfehlen wir Ihnen, sich mit Ihrem Träger in Verbindung zu setzen und zu erfragen, in welchem Maße Sie von dem Vorfall betroffen sind. Sollten oben genannte exportierte Dateien (CSV-Dateien) von Ihrer Einrichtung betroffen sein, hat Ihr Träger am 21.03.2024 eine E-Mail mit dieser Datei in verschlüsselter Form erhalten.

 

Sollte Ihre Einrichtung nicht von diesen speziellen CSV-Dateien betroffen sein, hat Ihr Träger am 21.03.2024 eine E-Mail von uns erhalten, in der das kommuniziert wurde.

 

Sollte Ihr Träger am 21.03.2024 keine E-Mail von uns erhalten haben, kann dieser sich gerne an uns unter hilfe@stayinformed.de wenden.

 

Ob und in welcher Form Sie diese Informationen an Ihre Eltern kommunizieren, obliegt Ihrer Entscheidung. Wir empfehlen, diesen Vorfall transparent zu halten und ggf. die betroffenen Eltern zu informieren. Diese haben evtl. bereits über die Presse von dem Vorfall erfahren.





 

Eltern

Sind meine Daten und/oder die meines Kindes betroffen?

Ob Daten Ihres Kindes betroffen sind, hängt von der individuellen Nutzung der App in Ihrer Einrichtung ab. Die von Ihnen empfangenen Nachrichtentexte und deren Antworten, sowie Nachrichten und Anhänge im Messenger sind nicht betroffen. Betroffen können die ausschließlich mit der Nachrichtenfunktion (nicht über Pinnwand, Messenger, Stunden- oder Speisplan) versendeten PDF-Anhänge sein.

 

Weiterhin sehen Sie im Messenger, ob Sie dort ein Profilfoto hinterlegt haben und welches.

 

Sofern Sie Rückmeldungen unterschrieben haben, liegt die Unterschrift als Grafik-Datei in verschlüsselter Form auf dem Server.

 

Falls für Ihre Einrichtung exportierte Dateien (CSV-Dateien) vorlagen, hat Stay Informed diese an den Träger (=Vertragspartner) Ihrer Einrichtung geschickt (siehe oben).

 

Warum gibt Stay Informed keine Auskunft?

Uns erreichen Anfragen von Betroffenen, die um Auskunft bitten, ob ihre Daten bzw. die Daten ihrer Kinder betroffen sind. Wir tun alles dafür den Vorfall gründlich aufzuarbeiten und gleichzeitig dürfen wir solche Informationen nur an diejenigen Stellen weitergeben, mit denen wir einen Vertrag geschlossen haben. Dies ist in den meisten Fällen der Träger.

 

Bitte richten Sie Ihre Anfragen an Ihren Träger bzw. Vertragspartner mit Stay Informed. Diesen haben wir darüber informiert, welche Daten genau betroffen waren. Sollten weitere Fragen auftauchen, stehen wir Ihnen selbstverständlich zur Verfügung.

 

Meine Einrichtung sagt, sie hat keine Informationen – was nun?

Wir haben allen Trägern die notwendigen Informationen in zwei E-Mails geschickt, die wir am Abend des 20.03.2024 und 21.03.2024 versendet haben. In der Mail vom 21.03.2024 war ggf. ein verschlüsselter Anhang enthalten. Möglicherweise müssen die Träger (und/oder Einrichtungen) die bereitgestellten Informationen erst auswerten.

 

Was muss ich jetzt tun?

Sollten oben genannte exportierte Dateien (CSV-Dateien) von Ihrer Einrichtung betroffen sein, hat der Träger Ihrer Einrichtung am 21.03.2024 eine E-Mail mit dieser Datei in verschlüsselter Form erhalten.

 

Sollte Ihre Einrichtung nicht von diesen speziellen CSV-Dateien betroffen sein, hat Ihr Träger am 21.03.2024 eine E-Mail von uns erhalten, in der das kommuniziert wurde.

 

Bitte beachten Sie, dass der Träger Ihrer Einrichtung die von uns erhaltenen Informationen erst auswerten und bewerten muss, um darauf basierend zu entscheiden, wer in welcher Form informiert werden muss.

Mit diesen FAQ wollen wir dabei unterstützen grundlegende Informationen zur Verfügung zu stellen. In Bezug auf die individuelle Verwendung der App in Ihrer Einrichtung wird der Träger Ihrer Einrichtung falls notwendig auf Sie zukommen.

Lothar Ganter

Sie haben Fragen rund um Datenschutz und IT-Sicherheit?

Unser Datenschutz-Team ist für Sie da. Schreiben Sie uns oder rufen Sie uns an – Wir beraten Sie gerne.

Unser Datenschutz- & Sicherheitsteam

Externer Datenschutzbeauftragter

Herr Olav Seyfarth von "Datenschutz individuell"


Seit Januar 2021 berät Olav Seyfarth als externer Datenschutzbeauftragter die Stay Informed GmbH und sorgt dafür, dass die DSGVO-konformen Prinzipien Privacy by Design und Privacy by Default erfüllt werden.

Externer IT-Sicherheitsberater

Firma aramido, Leitung: Herr Armin Harbrecht


Armin Harbrecht von der aramido GmbH unterstützt Stay Informed als externer Informationssicherheitsbeauftragter und prüft die Stay Informed Lösung regelmäßig durch Pentests nach BSI- und OWASP-Standards.

Internes Datenschutz-Team

Herr Lothar Ganter und Herr Dietmar Redetzky

 

Unser internes Datenschutz-Team stellt täglich die Einhaltung der höchsten Datenschutzstandards sicher und steht Ihnen bei Fragen zur Verfügung.

Datensicherung

Hosting

in Deutschland

Verschluesselung

Verschlüsselte

Datenübertragung

Datenschutz

Sicherer & DSGVO-konformer

Umgang mit Daten

Ausgezeichent

Ausgezeichnete

Lösung