Es ist wieder Zeugniszeit: In den letzten Wochen vor den Schulferien bibbern wohl die einen oder anderen Schüler:innen vor diesem entscheidenden Tag. Nämlich dann wenn die Noten verteilt werden. Doch was wenn die ausgewiesenen Beurteilungen gar nicht korrekt sind? Wenn sie nicht den effektiven Leistungen entsprechen, weil sie auf unsicheren Webanwendungen gespeichert sind?
Ein Albtraum für Schüler:innen und Lehrpersonen. Und so ein Szenario hätte durchaus passieren können im Kanton Bern.
Die Bewertungen der Leistungen von Schüler:innen werden schon lange nicht mehr auf Papier verwaltet. In Kantonen und Gemeinden ist oftmals spezifische Software im Einsatz- dabei können LehrerInnen die Noten gegenseitig einsehen und auch eintragen. Im Kanton Bern wurde bislang flächendeckend die Software “Beurteilung 21” eingesetzt. Nun fanden umtriebige Freiwillige – wir nennen sie jetzt mal klassisch “White Hat Hacker” – vor rund einem Jahr einige brisante Sicherheitslücken in der Software vor, die sie der betreffenden Firma und den Behörden gemeldet haben. DNIP.ch hatte Einsicht in die Untersuchungsergebnisse des Kantons und auch in die Lücken-Liste des Hacker-Teams.
Die gute Nachricht: die gravierendsten Schwachstellen sind alle behoben worden. Laut Angaben der Erziehungsdirektion seien sie nicht ausgenutzt worden.
Die schlechte Nachricht: Die Lücken (veraltete Software-Komponenten, für die funktionale Exploits zur Verfügung standen) sind teils so haarsträubend dass es doch sehr erstaunt weshalb dies fast eine gesamte Dekade lang niemand zuvor bemerkte.
Doch nochmals der Reihe nach.
Was genau ist aus Sicherheits- und Privacysicht nicht optimal gelaufen?
Die Sicherheitslücken
“Beurteilung 21” war bestückt mit veralteten Softwarekomponenten. Die uns vorliegenden Screenshots und auch eigene Checks mit der Wayback Machine (weil in der Zwischenzeit upgedatet worden ist und nicht alle Befunde nachvollzogen werden können) zeigen:
=> Der PDF-Umwandler Ghostscript stammt noch aus dem Jahr 2002, es wurden über all die Jahre kein Updates eingespielt.
=> Der eingesetzte Webserver Tomcat stammt aus dem Jahr 2013 und hatte teils kritische Lücken, die ausgenutzt werden konnten, wie aus der CVE-Datenbank (Criticial Vulnerabilities Exposure) entnommen werden kann.
Dass “Beurteilung 21” nicht regelmässig upgedatet worden ist, zeigte sich auch an fehlenden Security-Headern wie X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy, Content-Security-Policy, Permissions-Policy, die in der Applikation nicht eingebaut gewesen waren.
Doch was bedeuten nun die Befunde konkret?
Es wäre zum Beispiel einfach gewesen einen Angriff über den völlig veralteten Tomcat-Server (also den eingesetzten Web-Server) durchzuführen, bei dem entsprechende Sicherheitslücken bekannt sind, und damit direkt Noten zu bearbeiten. Denn: Hat man Zugriff auf den Werbserver der Anwendung “Beurteilung 21”, kann man über diesen direkt auf den Datenbank-Server zugreifen und Noten verändern.
Die PDFs werden ausserdem aus den Datenbank-Einträgen generiert. Im vorliegenden völlig veralteten Programm Ghostscript hätte ebenfalls dank bekannter Lücken und vorhandener Exploits beliebig Code ausgeführt werden und damit der Web-Server ferngesteuert werden können. Über diesen wiederum lässt sich der Datenbank-Server erreichen. (und nebenbei: Die PDFs sind quasi ein Druckvorlage mit angefüllten Noten und verlangten keine spezifische Signatur zur Überprüfung der “Echtheit”. Da die Beurteilungsformulare auch von aussen zugänglich und herunterladbar sind, liessen sich diese ohne Weiteres ausfüllen von nicht-befugten Lehrpersonen für Schüler:innen).
Auch damit hätte man Noten einer gesamten Schule bearbeiten und verändern können. Das Programm Ghostscript war ausserdem von aussen – also nicht eingeloggt – für die Hacker mit dem Scanner erreichbar.
Was sind die Risiken bei fehlenden Security-Headern bei einer Website?
Die Applikation “Beurteilung 21” bietet viele Einstiegspunkte von aussen, wie hier über offene Antragsformulare. Angreiferinnen hätten zum Beispiel von aussen Schadcode einschleusen wegen fehlender Validierung der User-Inputs. Oder man richtet eine Fake-Adresse ein (wie http://beurteilung.apps.be.com) kopiert das Formular und lässt sich so Zugangsdaten von Lehrpersonen geben, die diese in das Fake-Formular eintippen. Der Browser hätte nichts bemerkt und nichts beanstandet und die Fake-Site normal angezeigt, da es keine entsprechende Einträge zur Website in den entsprechenden wichtigen Browser-Verzeichnissen gab. (Besser wäre nämlich: Nur erlaubte Subdomains von http://be.ch dürfen zum Beispiel beim HSTS-Liste aufgenommen und vom Browser akzeptiert werden).
Doch hier wurden zwischenzeitlich die Hausaufgaben gemacht, die fehlenden Header implementiert und alles auf den neuesten Stand gebracht, wie ein Blick auf das Observatory Tool von Mozilla zeigt.
Natürlich wären solche Angriffe “von aussen” über eine Web Firewall vermeidbar gewesen. Fraglich ist aber ob diese in der Vergangenheit eingerichtet war. Bei einem Programm mit eingesetzten und nicht upgedateten Softwarekomponenten von 2002 und 2013 ist das wohl zu bezweifeln, denn die Firewall würde sofort Applikationsfehler produzieren.
Dies sind soweit die Lücken die das White Hat Hacker-Teams, die wir überprüfen oder nachvollziehen konnten. Die Hacker hatten die Berner Bildungs- und Kulturdirektion BKD vor einem Jahr darüber informiert.
Interessant sind nicht nur gefundenen Lücken, sondern was sich danach hinter den Kulissen abspielte um diese zu beheben. Dem Präsidenten der Piratenpartei und Mitglied des Grossen Gemeinderates Ostermundigen Jorgo Ananiadis wurden die Findings der Hacker-Gruppe vor rund einem Jahr zugetragen. Er meldete diese am 24. März 2021 der Berner Bildungs- und Kulturdirektion BKD. Danach bekam Ananiadis einen Anruf von einem zuständigen Mitarbeiter der CSE IT Solutions, die die Applikation “Beurteilung 21” entwickelte. Dieser beschwichtigte gemäss Angaben von Ananiadis: man habe erst kürzlich ein Security Audit durchgeführt.
Vordergründig spielte die Firma also die Lücken herunter. Gemäss des uns vorliegenden Berichts der Bedag Informatik AG liefen aber die Leitungen zwischen allen beteiligten Akteuren heiss. Es ging danach Schlag auf Schlag: Im Zeitraum von 26.3 bis zum 20.4.2021 konstituierte sich eine Arbeitsgruppe bestehend aus der Verwaltung, und den Firmen CSE IT und Bedag Informatik, die sich mit der Sicherheit der Applikation befasste. Das BKD verfügte daraufhin eine Sperre der Software, die bis zum 16. April andauerte.
Die Reports, die uns vorliegen, bestätigen einen Teil der oben genannten Sicherheitslücken:
Die Findings zu den veralteten Softwarekomponenten wurden etwa durch eine Analyse der Bedag Informatik – in deren Rechenzentrum die Applikation “Beurteilung 21” betrieben wurde – gestützt. Ein Auszug aus dem Bericht:
“Im Wesentlichen konnten die Schwachstellen auf veraltete und z.T. nicht mehr supportete Komponenten oder Technologien zurückgeführt werden, für welche auch funktionaler Exploit Code vorhanden ist. Die Kombination von kritischen Schwachstellen, die relativ einfach und somit auch durch weniger versierte Hacker ausgenutzt werden könnten, und potentiellem Schaden im Falle eines erfolgreichen Hackerangriffes (Schutzstufe der in der Applikation verarbeiteten Daten) haben aus Sicht der Arbeitsgruppe ein grosses bis sehr grosse Risiko für den Betrieb der Anwendung «Schülerbeurteilung» dargestellt.“
Report von Bedag Informatik
Ein eher allgemeineres Verdikt gab es von der später neu hinzugezogenen IT Security-Firma InfoGuard, die einen Penetration Test im Oktober 2021 durchgeführt hatte:
“Die Resultate des Web Applikationstest zeigten, dass die Bildungs- und Kulturdirektion Bern der Informationssicherheit Gewicht beimisst. Nichtdestotrotz wurden mehrere Schwachstellen identifiziert welche durch die Bildungs- und Kulturdirektion Bern in Zusammenarbeit mit ihrem IT Dienstleister nachgebessert wurden.“
Bestätigungsbrief Web Applikationtest der Firma Infoguard AG
Heute scheinen die Lücken des Programms “Beurteilung 21” behoben zu sein gemäss unseren Tests.
Nochmals zusammengefasst: Bei “Beurteilung 21” hätten bis März 2021 Noten einer gesamten Schule manipuliert können, als äussere Angreiferin aber auch als eingeloggte Userin. Eine Klassenlehrperson, die eigentlich nur Zugriff auf die Schulnoten ihrer Klasse hätte haben dürfen, wäre mit technischem Wissen an die Beurteilungen aller Schüler:innen gelangt. Dies ist verheerend, zumal sicherlich nicht alle Lehrperson parallel Buch über die Noten ihrer Schüler:innen führen (auf Papier oder auf einem anderen Tool) für die Verifikation der eingetragenen Noten.
Nun gut: Noch scheint die Sache glimpflich ausgegangen zu sein. Eine Auswertung der Logdaten zeigte offenbar dass die Lücken nicht ausgenutzt worden sind:
“Eine Überprüfung (Auswertung von Logdaten, manuelle und automatisierte Systemchecks) hat keine Hinweise auf einen Hack oder Zugriffe von unbefugten Drittpersonen auf die Server der Applikation «Schülerbeurteilung» zu Tage gebracht.“
Yves Brechbühler, Leiter Kommunikation BKD
Also könnten nur eingeloggte User: innen beziehungsweise Lehrpersonen (Fachlehrpersonen oder Klassenlehrpersonen) die Evaluationen ohne Hack nach Belieben ändern, doch das Missbrauchspotenzial hält sich dank klar definierter Zugriffsrechte, protokollierten Zugriffen und Logdateien – die gemäss Brechbühler durchaus vorhanden waren – in Grenzen.
Sind damit alle privacy-relevanten Probleme rund um die Schulnotenverwaltungssoftware “Beurteilung” gelöst?
Jein. Eine Sache ist “by design” etwas fragwürdig.
Langes digitales Gedächtnis
Einer Lehrperson, die mit der Software gearbeitet hat, fiel nämlich noch etwas anderes auf, das wenig vertrauensfördernd ist: Sofern die Berechtigung vorhanden ist, konnte sie die Leistungen und Noten ihrer Schüler:innen bis zu 15 Jahre zurückzuverfolgen. Ein sehr langer Zeitraum, bei dem fraglich ist ob dieser relevant ist für die aktuelle Beurteilung der Schüer:innen:
Doch das ist laut Berner Bildungs- und Kulturdirektion durchaus so gewollt.
“Verantwortliche (Klassenlehrpersonen und Schulleitungen) können auf die Beurteilungsberichte der zugeordneten Klassen zugreifen, dies während der Aufbewahrungsfrist von 15 Jahren.“
Yves Brechbühler, Leiter Kommunikation BKD
Es gibt an dieser Stelle noch zwei bis drei weitere “interessante” Zugriffsregelungen, die wir derzeit noch untersuchen. Leider hat der Kanton uns hierzu noch keine Antworten geliefert. Wir werden im Update informieren.
Politische Relevanz und Nachfolge-Applikation
Wie geht es nun weiter?
Es wird bald ein Nachfolgeprojekt von “Beurteilung 21” geben. Warum? Die Anforderungen hätten sich geändert, “wegen veränderter Anforderungen aufgrund der Integration der vormaligen Sonderschulen (im Rahmen der Revision des Volksschulgesetzes) in die BKD ersetzt“, wie Yves Brechbühler von der BKD erläutert.
Brisant dabei: Der Auftrag um die Nachfolge-Applikation in der Höhe von 1.5 Millionen Franken mit dem Titel “Beurteilung 21/Evaluation 21 (Bu21/EV21)” wurde ebenfalls an die CSE IT-Solutions vergeben. Die IT-Firma konnte sich gegen sechs Mitbewerber durchsetzen (simap.ch, Meldungsnummer: 1182093). To be fair: die Ausschreibung startete bereits im November 2020, die Vergabe erfolgte im Februar 2021. Also noch vor den gefundenen Sicherheitslücken. Die Firma CTE Solutions stand damals noch nicht in der öffentlichen Kritik.
Ein politisches Nachspiel hatte die unsichere Kantonale Notenverwaltungssoftware bisher nicht. Der grünliberale Kantonsparlamentarier Casimir von Arx, der ebenfalls von den Recherchen des White Hat Hacker-Teams erfahren hat, reichte einen parlamentarischen Vorstoss in der Frühlingssession 2022 ein. Er fragte den Berner Regierungsrat: Wann und wie hat der Regierungsrat die zuständigen Grossratskommissionen über die Sicherheitsmängel informiert?
Die Antwort der Berner Exekutive war vielsagend und nichtssagend zugleich:
“Es erfolgte keine Kommunikation, da keine Schäden entstanden sind.“
Antwort des Berner Regierungsrats zur Anfrage von Casimir von Arx zu den Sicherheitslücken der Schulnotenverwaltungssoftware
Datenschutzrechtlich ist diese Aussage durchaus korrekt. Denn gemäss geltendem Kantonalen Bernischem Datenschutzgesetz besteht keine Meldepflicht gegenüber dem Kanton oder dem kantonalen Datenschützer (ausser im Bereich der öffentlichen Sicherheit). Doch dieses wird demnächst revidiert in Anlehnung des neuen (Bundes-)DSG, spätestens im Herbst beginnt die Vernehmlassung dazu. Und dann erstreckt sich die Meldepflicht auf alle Bereiche.
Kurz: die Berner Bildungs- und Kulturdirektion ist gerade noch “davongekommen”.
Datenschützer Ueli Buri hält auf Anfrage aber fest dass gemäss Kantonalen Informationsgesetz durchaus “von Amtes wegen” über Ereignisse von allgemeinem Interesse zu informieren ist, was auch öffentliche Kommunikation zu gefundenen Sicherheitslücken umfassen kann.
Denn:
“Es sollte ein Anliegen der Verwaltung sein, Vertrauen zu schaffen. Und Transparenz kann das fördern.”
Berner Datenschützer Ueli Buri
Deutliche Worte an die AmtskollegInnen.
2 Antworten
Die Aufbewahrungsfrist für die Beurteilungsdokumentationen der Schülerinnen und Schüler wurde im Kanton Bern tatsächlich mit 15 Jahren ab Schulaustritt festgelegt. Dies hält Ziff. 8.2 des Anhangs 1 der Direktionsverordnung über die Verwaltung und Archivierung der Unterlagen von öffentlich-rechtlichen Körperschaften nach Gemeindegesetz und deren Anstalten (ArchDV Gemeinden). Dann müssen sie zwingend vernichtet werden (Art. 21 Abs. 2 ArchDV Gemeinden) vom 20.10.2014 (BSG 170.711) fest.
Wenn eine Person also die ganze obligatorische Schulzeit an der gleichen Volksschule der gleichen Gemeinde absolviert hat und mit 15 Jahren austritt, so sind die Beurteilungsdaten der 1. Klasse zum Zeitpunkt, in dem die Person 30 Jahre alt wird, noch vorhanden, bzw. werden erst gerade dann gelöscht. Art. 19 Abs. 1 KDSG hält fest, dass nicht mehr benötigte Daten zu vernichten sind. Dies ergibt sich auch aus dem Verfassungsrecht. Auf Noten bzw. Beurteilungen der Volksschule muss nach dem 20. Altersjahr einer Person nur äusserst selten zurückgegriffen werden können. Nach Absolvierung einer Ausbildung der Sekundarstufe II (Berufslehre, Matura, etc.) wird für allfällige weitergehende Ausbildungen auf die Beurteilungen der Sekundarstufe II abgestellt. Die Eltern erhalten zudem alle Beurteilungsberichte ihrer Kinder ausgehändigt; grundsätzlich ist die Idee, dass die später benötigten Beurteilungen der Volksschule dezentral durch die betreffenden Personen aufbewahrt werden. Eine Aufbewahrungsdauer von 15 Jahren ist somit sachlich nicht zu rechtfertigen; sie verstösst gegen Art. 19 KDSG und gegen Verfassungsrecht.
Zugriff auf Personendaten soll haben, wer diese für seine berufliche Tätigkeit auch wirklich benötigt. Der Kanton Bern ist diesbezüglich in anderen Bereichen, z.B. hinsichtlich des Zugriffs von Gemeindebehörden auf die zentrale kantonale Personendatenbank sehr streng. Der Zugriff einer Klassenlehrperson auf Beurteilungen einer Schülerin bzw. eines Schülers ist somit genau so lange gerechtfertigt, als diese Person Klassenlehrperson ist. Nach Austritt aus der Schule sollte nur noch ein eingeschränkter Personenkreis der Schulleitung bzw. des Schulsekretariats Zugriff auf diese Daten haben. Die Zugriffsregelung der Applikation “Beurteilung21” verstösst somit auch diesbezüglich klar erkennbar gegen Datenschutzrecht.
Ich halte hinsichtlich der Aufbewahrungsfristen und des Zugriffsrechts bei “Beurteilung 21” ein Einschreiten der Datenschutzaufsichtsstelle des Kantons Bern für dringend notwendig.
Vielen Dank für Ihren Kommentar, Herr Kettiger. Ich hoffe der Berner Datenschützer liest mit und macht diesen Punkt bei der Entwicklung der Nachfolgeapplikation von “Beurteilung 21” geltend.