Sicherheitsbedenken bei Web-App-Entwicklung

[Photon]

Hallo zusammen,

ein Kollege und ich sind Lehrer und zugleich im IT-Team einer Schule. Wir konzipieren im Moment eine Websoftware für die Absenzenverwaltung unserer Schüler und überlegen uns, wie wir die Sache anpacken, ohne ein Risiko für Datenlecks einzugehen.

Aktuell funktioniert das System so:

• Schüler sendet eine Mail, ggf. mit Foto eines Attests an Lehrer
• Lehrer überprüft Mail und Attest
• Lehrer trägt in eine Excel-Tabelle die verpassten Stunden als entschuldigt bzw. unentschuldigt ein

Folgende Verbesserung möchten wir implementieren:

• Statt einer Excel-Tabelle wird eine Datenbank verwendet
• Eine Web-App greift per IMAP auf den Mailserver zu und stellt die eingegangenen Mails in einer Tabellenübersicht dar
• Bei jedem Eintrag der Tabelle kann der Lehrer auf "entschuldigt" oder "unentschuldigt" klicken, wodurch ein entsprechender Eintrag in eine Datenbank gemacht wird
• Die Datenbank ist nur im lokalen Schulnetz zu erreichen, sodass kein bösartiger Zugriff aus dem Netz möglich ist, die Mails liegen auf einem Mailserver, auf sie ist also auch nur mit Zugangsdaten des Lehrers ein Zugriff möglich

Bei dieser Variante sind wir eigentlich auch ziemlich sicher, dass da kein Datenleck entstehen kann. Das Konstrukt mit dem Mail-Versand sieht jedoch ziemlich umständlich aus, es ist auch schwierig, den Mail-Text automatisiert zu verarbeiten. Als Alternative denken wir also über eine andere Variante nach, sind uns aber unsicher, ob sie infrage kommt, was den Sicherheitsaspekt angeht:

• Schüler nutzt ein Webformular (Vorteile: die relevanten Infos sind direkt strukturiert, kein Mail-Server mehr nötig), bei dem auch Fotos von Attesten als Anhang hochgeladen werden können.
• Lehrer kriegt wieder eine tabellarische Auswertung und kann sie auswerten, wie in der Variante davor.

Bei dieser Variante müsste jedoch das Formular aus dem Internet für die Schüler zugänglich sein. Und da der Kollege und ich nur sehr wenig Ahnung von Web-Sicherheit haben, haben wir da Angst vor einem Datenleck. Wenn ein Angreifer irgendwie an die hochgeladenen Daten kommt, wäre es der Super-GAU, weil das ja hochsensible personenbezogene Daten sind.

Wir fragen uns also: Ist diese letzte Variante für uns tabu, weil wir die Sicherheit der Daten nicht garantieren können, oder stellen wir uns das schwieriger vor, als es tatsächlich ist, und so ein Kontaktformular ist eigentlich nicht so schwer sicher zu machen? Vielleicht gibt es so einer Art "TÜV" für Datensicherheit, den man einen Implementierungsversuch prüfen lassen könnte?

Wir tendieren stark dazu, bei der Mail-Variante zu bleiben, aber ich dachte, ich frag sicherheitshalber mal nach, bevor wir endgültig entscheiden, welche Variante wir fahren!

Viele Grüße
Photon

 

[CyborgBeta]

• Statt einer Excel-Tabelle wird eine Datenbank verwendet
• Eine Web-App greift per IMAP auf den Mailserver zu und stellt die eingegangenen Mails in einer Tabellenübersicht dar
• Bei jedem Eintrag der Tabelle kann der Lehrer auf "entschuldigt" oder "unentschuldigt" klicken, wodurch ein entsprechender Eintrag in eine Datenbank gemacht wird
• Die Datenbank ist nur im lokalen Schulnetz zu erreichen, sodass kein bösartiger Zugriff aus dem Netz möglich ist, die Mails liegen auf einem Mailserver, auf sie ist also auch nur mit Zugangsdaten des Lehrers ein Zugriff möglich

Die Variante ist eigentlich ganz gut (sicher). Knackpunkte könnten aber sein, dass die E-Mail geparst werden muss, um die Daten in die Datenbank einzutragen, und natürlichsprachliche Umschreibungen stellen immer ein Problem dar.

• Schüler nutzt ein Webformular (Vorteile: die relevanten Infos sind direkt strukturiert, kein Mail-Server mehr nötig), bei dem auch Fotos von Attesten als Anhang hochgeladen werden können.
• Lehrer kriegt wieder eine tabellarische Auswertung und kann sie auswerten, wie in der Variante davor.

Statt die Schüler die E-Mail direkt senden zu lassen, könnte auch ein Webformular angeboten werden, dass dann die E-Mail (formatiert) sendet. Ich hab mal https://www.emailjs.com eingesetzt.

Der Vorteil ist, dass die Website (bis auf ein wenig JS-Code) komplett statisch bleiben kann, und somit nicht mit der Datenbank (direkt) kommunizieren muss, und somit keinen Angriffsvektor bietet.

Die Logindaten für das Versenden der E-Mail sieht der Schüler nicht, diese werden bei EmailJS hinterlegt und verwaltet.

 

[entropie88]

Alles was in die DB geht filtern auf db Commands! Loggen das ihr wenigstens mitbekommt wen etwas passiert.

 

[Mojo1987]

Hat es einen Grund das ihr das selbst macht?
Normalerweise gibt's da doch eigentlich schon fertige Lösungen vom Schulträger bzw. entsprechenden Anbietern.

Was noch dazu kommt, Thema Atteste. Eigentlich gibt es diese so bei den meisten Ärzten nicht mehr wirklich, dank eAU.
Selbst wenn müsste man sich die Frage stellen ob man beim Upload solcher Informationen über eine Webseite via Formular nicht aus DSGVO Sicht grobe Schnitzer begeht.

 

[Suxxess]

Die Überlegung ehrt euch und die Idee von CyborgBeta ist sehr gut.

Die Alternative wäre, dass ihr mit einem lokalen Rechner die Daten des Webformulars abholt.

Sprich ihr habt ein normales Formular welches im Internet steht. Dort können die Schüler die Daten eingeben. Das Entschuldigungsschreiben landet in einem Verzeichnis und die Daten in einer Datenbank.

Nun habt ihr noch einen lokalen Rechner der alle 5 Minuten per FTP die Bilder abholt und auf dem Webserver löscht. Das gleiche mit den Daten der Datenbank. Sie werden abgeholt und lokal auf einem anderen Rechner gespeichert.

 

[floq0r]

Unabhängig vom technischen Aspekt würde ich bedenken, dass eure Verantwortung im Schadensfall bei der E-Mail Lösung auf den Abschnitt zwischen Mail-Server und interner Software begrenzt ist (außer ihr seid auch für den Mailserver verantwortlich )

@yxcvb Achja stimmt, die Excel Datei sicher abspeichern. Und stich dir kein Auge aus wenn du einen Bleistift bedienst.
Den Mist an einen Chatbot füttern können wir alle.

 

[mscn]

Die Zeiten, in denen man sowas selber baut, sind lange vorbei .. (u.A. wg. DSGVO).

Ohne die Erlaubnis/Zustimmung der Eltern erfasst ihr am Besten gar keine Daten in irgendeiner Bastellösung (eigentlich auch nicht in einem Excel-Sheet und erst recht nicht, wenn dieses dann in einem Cloudspeicher liegt).

https://www.schulmanager-online.de/ oder Alternativen.

Edit: schließlich reden wir hier nicht über eine Software zur Erfassung heimischer Zierpflanzen, sondern über personenbezogene Gesundheitsdaten.

 

[CyborgBeta]

außer ihr seid auch für den Mailserver verantwortlich

Einen eigenen Mailserver hosten, ist schon eine Hausnummer, aber technisch auch nicht unmachbar.

Aber gesendete E-Mails verbleiben ja auf dem Mailserver unter "Gesendet".

Wenn jemand invalide Daten eingibt (Fritzchen meldet Lieschen Müller krank, obwohl diese ja anwesend ist ...), was ja jetzt auch schon passieren kann, kann dies also nachvollzogen werden.

 

[fendle]

Für sowas würde ich N8N + NocoDB empfehlen. Die könnt ihr auf einem lokalen Server installieren und Webzugriff auf NocoDB nur aus dem Schulnetz erlauben.

Eventuell auch statt einem Schülernamen eine Schülernummer (falls es sowas gibt) hinterlegen.

N8N für die Automatisierungsworkflows und NocoDB für die Datenspeicherung und Visualisierung.

Grundsätzlich die rechtlichen Bestimmungen beachten.

 

[Photon]

Knackpunkte könnten aber sein, dass die E-Mail geparst werden muss, um die Daten in die Datenbank einzutragen, und natürlichsprachliche Umschreibungen stellen immer ein Problem dar.

Genau, deshalb die Idee mit dem Formular, wo die Infos in vordefinierte Felder eingetragen werden, statt dass ein beliebiger Freitext per Mail geschickt wird.

Statt die Schüler die E-Mail direkt senden zu lassen, könnte auch ein Webformular angeboten werden, dass dann die E-Mail (formatiert) sendet. Ich hab mal https://www.emailjs.com eingesetzt.

Dann ist ja ein Drittanbieter im Spiel, was datenschutztechnisch schwierig wäre. Und wenn wir so etwas selbst nachbauen, dann ist wieder die Frage, ob das sicherheitsechnisch zuverlässig ist...

Alles was in die DB geht filtern auf db Commands! Loggen das ihr wenigstens mitbekommt wen etwas passiert.

Wenn was passieren kann, dann ist die Variante direkt raus, weil auf keinen Fall was passieren darf.

Hat es einen Grund das ihr das selbst macht?

Ja, wir haben uns diverse fertige Lösungen angeschaut, aber leider läuft an unserer Schule vieles anders, was Absenzenverwaltung angeht (es ist keine gewöhnliche Schule, sondern aus dem Bereich der Erwachsenenbildung).

Was noch dazu kommt, Thema Atteste. Eigentlich gibt es diese so bei den meisten Ärzten nicht mehr wirklich, dank eAU.

Da haben wir leider keinen Zugriff und verlangen von unseren Schülern weiterhin eine Papiervariante als Fotoanhang. Laut KuMi ist das, soweit wir informiert sind, leider aktuelle noch Stand der Dinge... Siehe zum Beispiel https://bs-kt-och.de/news/krank-umg...onischen Arbeitsunfähigkeitsbescheinigung.pdf

Selbst wenn müsste man sich die Frage stellen ob man beim Upload solcher Informationen über eine Webseite via Formular nicht aus DSGVO Sicht grobe Schnitzer begeht.

Guter Punkt, da werden wir uns auf jeden Fall noch genauer informieren und arbeiten auch mit unserer Datenschutzbeauftragten zusammen.

Die Alternative wäre, dass ihr mit einem lokalen Rechner die Daten des Webformulars abholt.

Sprich ihr habt ein normales Formular welches im Internet steht. Dort können die Schüler die Daten eingeben. Das Entschuldigungsschreiben landet in einem Verzeichnis und die Daten in einer Datenbank.

Nun habt ihr noch einen lokalen Rechner der alle 5 Minuten per FTP die Bilder abholt und auf dem Webserver löscht. Das gleiche mit den Daten der Datenbank. Sie werden abgeholt und lokal auf einem anderen Rechner gespeichert.

Das ist eine sehr interessante Idee, da könnte man sogar das Dateisystem von einem Skript überwachen lassen und das Abholen veranlassen, sobald eine Änderung festgestellt wird. Danke für den Tipp!

Achten Sie darauf, die Excel-Datei sicher zu speichern und vor unbefugtem Zugriff zu schützen.

Liegt in der Cloud unseres vom KuMi bereitgestellten Anbieters, alles gut.

Unabhängig vom technischen Aspekt würde ich bedenken, dass eure Verantwortung im Schadensfall bei der E-Mail Lösung auf den Abschnitt zwischen Mail-Server und interner Software begrenzt ist (außer ihr seid auch für den Mailserver verantwortlich )

Genau, deswegen sind wir da auch sehr vorsichtig und lassen es im Zweifel besser sein, bevor wir uns auf irgendwelche riskanten Unternehmungen einlassen.

 

[CyborgBeta]

Ohne die Erlaubnis/Zustimmung der Eltern erfasst ihr am Besten gar keine Daten

Na ja, dann muss es neben dem Formular eben noch eine nicht digitale Möglichkeit geben, sein Kind krankzumelden.

 

[tRITON]

Ich denke auch, wenn man den durchaus machenbaren Aufwand mit der DSGVO gelöst hat, so habt ihr hier sicher ein Projekt vor euch, was sicher mehrere Monate in Anspruch nimmt und das neben der beruflichen Zeit. Dazu noch die Pflege über die Jahre. Das wird schwer.

 

[mscn]

Na ja, dann muss es neben dem Formular eben noch eine nicht digitale Möglichkeit geben

Anrufen z.B. - funktioniert im Zweifel immer. Oder E-Mail (aber sicher nicht mit Attest wenn unverschlüsselt).
Oder einfach, wie jede normale Schule, auf eine der bekannten Lösungen setzen.

 

[CyborgBeta]

Dann ist ja ein Drittanbieter im Spiel, was datenschutztechnisch schwierig wäre.

Na ja, einen tod muss man sterben. /s

Und wenn wir so etwas selbst nachbauen, dann ist wieder die Frage, ob das sicherheitsechnisch zuverlässig ist

Ich möchte euch nicht zu nah treten, aber es ist dann nicht sicherheitstechnisch zuverlässig.

 

[ApolloX30]

Der Datenverarbeitung müssen ja alle Betroffenen (Eltern?) zustimmen (Datenschutzerklärung + expliziter Konsent). Aber was tun, wenn das manche Eltern nicht machen, was vermutlich kommen wird? Dann brauchts eine herkömmliche Weise auch noch parallel - diejenige, welche halt jetzt auch schon existiert.

Ich würde mir da auch die Workload niedrig halten und auf ne bestehende Lösung gehen.

 

[Photon]

Um nochmal die relevanten Punkte rauszugreifen, damit nicht immer wieder auf sie eingegangen wird:

• Unsere Schüler sind überwiegend volljährig, selten sind welche dabei, die erst 17 sind. Die Einverständniserklärung wird selbstverständlich eingeholt, bevor ihre Daten verarbeitet werden.
• Bestehende Lösungen passen nicht zu unseren Regularien, was Absenzenverwaltung angeht, weil sie für weniger exotische Schulformen, z.B. Mittelschulen/Realschulen/Gymnasien entwickelt werden, wir haben schon diverse getestet.

 

[MoebiusHRO]

Ich werde mal Nextcloud in den Raum….fertige Lösung…(Chat) und zusätzlich noch eine Vielzahl an Möglichkeiten evtl. Lernmaterial hierüber auch zu verteilen (Deck etc)…außerdem einfach zu installieren…und ihr spart euch die Entwicklung

 

[mscn]

Für sowas würde ich N8N + NocoDB empfehlen. Die könnt ihr auf einem lokalen Server installieren und Webzugriff auf NocoDB nur aus dem Schulnetz erlauben.

Das sind alles nachgeordnete Gedanken. denn bereits die Erfassung bedarf der ausdrücklich Zustimmung der/des Erziehungsberechtigten.

Und wenn ich einen Wisch bekäme, auf dem ich der Erfassung dieser Daten in einer Bastellösung zustimmen sollte - ähm, nein.

Und wenn dann keiner zustimmt, warum die Arbeit und das Risiko eingehen?

 

[kachiri]

Anrufen z.B. - funktioniert im Zweifel immer.

So habe ich das in meiner Schulzeit noch gemacht. Angerufen und Attest beim nächsten Mal beim Klassenlehrer vorgezeigt.
Gut. Ist jetzt auch ein paar Jahre her. Aber ob man alles neu erfinden muss? Ich weiß ja nicht.

Beim aktuellen Lehrgang, den ich besuche, gibt es ein Formular in Moodle. Das generiert halt eine E-Mail. Kurs und Name werden aus dem Profil gezogen. Dann kann man den Zeitraum/Tag auswählen und ob man im Zeitraum/Tag eine Prüfung/Klausur schreibt.
Attest muss man manuell nachsenden, wenn eine Prüfung ansteht.

Wird dann im Kursbuch gepflegt. Also quasi im Klassenbuch. Die analoge Exceldatei.

Ich hätte hier auch harte Datenschutzbedenken. Und auch wenn die Schüler volljährig sind: Die können genauso für sich selbst widersprechen.

 

[mscn]

Bestehende Lösungen passen nicht zu unseren Regularien, was Absenzenverwaltung angeht,

Inwiefern besteht an eurer Schule ein abweichender "Datenbedarf" bei Abwesenheit, als in anderen Schulen?
Wie geht ihr mit sonstigen Dokumenten/Unterlagen um, schickt ihr Briefe/Fax?

Den Schulmanager kenne ich nicht nur durch meine Kinder - es gibt eigentlich nichts, was man damit nicht machen kann (vielleicht stimmen eure "Prozesse" nicht?).