9
Wen interessiert eine Sicherheitslücke (nicht)...
Seit Sommer dieses Jahres habe ich für ein Produkt - ich sage auch ganz offen welches: Time for Kids Schulfilter Plus - eine Sicherheitslücke der Kategorie "Totalschaden" auf dem Schreibtisch.
Die Software wird bei einem Großteil der deutschen Schulen eingesetzt - vorallem weil es eine der wenigen ist, die legal dort als Filter verwendet werden darf (und die noch grausigere Konkurrenz mittlerweile aufgegeben hat).
Bei dieser Software ist es aber möglich bei einem großen Teil der Installationen (vorallem den neueren) sie immer zu umgehen - dazu kommt, dass ein Unterrichtseinsatz wie vom Hersteller angedacht, so schlicht nicht möglich ist.
Wie reagieren also jetzt verschiedene Leute darauf?
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone ist?
Die Software wird bei einem Großteil der deutschen Schulen eingesetzt - vorallem weil es eine der wenigen ist, die legal dort als Filter verwendet werden darf (und die noch grausigere Konkurrenz mittlerweile aufgegeben hat).
Bei dieser Software ist es aber möglich bei einem großen Teil der Installationen (vorallem den neueren) sie immer zu umgehen - dazu kommt, dass ein Unterrichtseinsatz wie vom Hersteller angedacht, so schlicht nicht möglich ist.
Wie reagieren also jetzt verschiedene Leute darauf?
- Der Hersteller: "Jaja, wissen wir. Da kommt in 2 Wochen ein Update" - das war im Sommer, passiert ist nichts
- Der für den Kauf verantwortliche: "Ich habe noch nicht gehört, dass die Lücke ausgenutzt wird, dann ist das kein Problem"
- heise: Keine Reaktion
- BSI: "Der Fisch ist zu klein, als dass wir uns darum kümmern würden" (sinng.) [ohne Kenntnis der Spezifika]
- Bundesland: Darum kümmern wir uns nicht, machen Sie das mit dem Schulamt aus - und damit lande ich wieder bei dem für den Kauf verantwortlichen.
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone ist?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157875
Url: https://administrator.de/contentid/157875
Printed on: April 19, 2024 at 22:04 o'clock
9 Comments
Latest comment
Ansich ist es nur eine Sache des Herstellers. Und wenn er nicht darauf reagiert, sollte man die Software einfach in die nächstbeste Rundablage heften. Der Einkäufer kann ja nichts dafür, weil er ja ansich nur eine Möglichkeit hat, Internet ja oder nein. heise hat damit absolut nichts zu tun, weil ja keine hochakute Sicherheitslücke ist, welche es ermöglicht, das System zu übernehmen, sondern man kann damit den Filter umgehen. Desweiteren ist es ne, ich nenns mal so, branchenspezifische Software. Stell dir mal vor, auf heise.de würde von jeder Software, welche im deutschen Markt genutzt wird, die Sicherheitslücken melden.
Die Filtersoftware soll den Lehrern auch nur die Arbeit mit dem Internet vereinfachen, die Aufsichtspflicht haben die weiterhin.
PS: Ich hab das Ding damals auch in der Schule im weg gehabt und fleißig umgangen. Meine Mitschüler wollten auch, aber warum sollte ich, war meine Lücke, also hab ich die auch genutzt. Die Lehrer haben die Benutzung auch hingenommen, weil die wussten, dass ich effektiv mehr Ahnung vom Schulnetz durch Beobachtung hatte als die von der Administration.
Die Filtersoftware soll den Lehrern auch nur die Arbeit mit dem Internet vereinfachen, die Aufsichtspflicht haben die weiterhin.
PS: Ich hab das Ding damals auch in der Schule im weg gehabt und fleißig umgangen. Meine Mitschüler wollten auch, aber warum sollte ich, war meine Lücke, also hab ich die auch genutzt. Die Lehrer haben die Benutzung auch hingenommen, weil die wussten, dass ich effektiv mehr Ahnung vom Schulnetz durch Beobachtung hatte als die von der Administration.
Moin Dog,
Bei dem Thema und wenn das Scheunentor bei deutschen Schulen std. ist - würde ich doch die anderen 3 Buchstaben bemühen.
BSI
Good Luck
Bei dem Thema und wenn das Scheunentor bei deutschen Schulen std. ist - würde ich doch die anderen 3 Buchstaben bemühen.
BSI
Good Luck
Was du natürlich machen kannst: Dem Hersteller nen freundlichen Link geben auf diesen Thread und dem erklären das du dort demnächst die Sicherheitslücke veröffentlichen wirst in der Hoffnung das dir jemand erklärt wie du die abschalten kannst. Da DER dir nicht hilft ist das ja der einzige Weg.
Ab und an werden die Hersteller dann aktiv wenn deren Probleme plötzlich bekannt werden....
Ab und an werden die Hersteller dann aktiv wenn deren Probleme plötzlich bekannt werden....
Wie wird sie denn umgangen bzw. wie äußert sich diese Sicherheitslücke?
Hi !
Hört mir blos auf mit Schulnetzen....
Der Billigste (nein, nicht der Preiswerteste) bekommt den Zuschlag, muss mit minimalstem Budget, aus biologischen Abfallprodukten Sahne rühren und sollte möglichst dafür auch noch alle Zertifikate vorlegen. Ne Ne, das Spiel kenne ich schon zu genüge: Ausschreibungen von Schulen, da fasse ich nicht mehr hin, nicht für alles Geld der Welt....
Naja vielleicht hilft der Thread an sich ja schon, wie Maretz meint, einfach mal eine Mail (mit dem Link hierher) an den Hersteller posten. Öffentlichkeitsarbeit hilft....wenigstens manchmal...Wenn nicht, dann weisst Du danach wenigstens ganz genau wo Du stehst...
mrtux
Hört mir blos auf mit Schulnetzen....
Der Billigste (nein, nicht der Preiswerteste) bekommt den Zuschlag, muss mit minimalstem Budget, aus biologischen Abfallprodukten Sahne rühren und sollte möglichst dafür auch noch alle Zertifikate vorlegen. Ne Ne, das Spiel kenne ich schon zu genüge: Ausschreibungen von Schulen, da fasse ich nicht mehr hin, nicht für alles Geld der Welt....
Naja vielleicht hilft der Thread an sich ja schon, wie Maretz meint, einfach mal eine Mail (mit dem Link hierher) an den Hersteller posten. Öffentlichkeitsarbeit hilft....wenigstens manchmal...Wenn nicht, dann weisst Du danach wenigstens ganz genau wo Du stehst...
mrtux
wenn sie nicht grade in Windows oder dem iPhone ist
... erst recht dort nicht - wird ja eh nach einen Jahr ausgetauscht - vom Hersteller - da muss es doch in Rauch aufgehen.
Zumal grad bei den Mobil-Telefonen ja auch gilt: Es MÜSSEN immer mehr Features rein in die Büchse... Das die Akku-Lz dafür mittlerweile oft nur noch 1-2 Tage Standby ist - egal! Dafür kann ich ja mit meinem Telefon dann auch den Fernseher steuern o.ä... Und das all diese tollen Features auch potenzielle Fehlerquellen sind - och, wen intressierts... Was macht es schon wenn der Hersteller vergisst das es ne Sommer- und ne Winterzeit geben kann und der Wecker dafür mal eben bei der Zeitumstellung leider nicht mehr die deutsche Zeitzone beachtet ;)
Von daher: GRADE bei Mobil-Telefonen kann man es sich sparen die Hersteller auf Fehler hinzuweisen...
Von daher: GRADE bei Mobil-Telefonen kann man es sich sparen die Hersteller auf Fehler hinzuweisen...
Zitat von @dog:
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone
ist?
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone
ist?
Entweder BSI oder die Sicherheitslücke WIRKLICH veröffentlichen.
(also auf wkw, schuelervz, div. Kiddie-Plattformen wie knuddels.de und so Kram halt; wenn Du da Hilfe brauchst, sag Bescheid :-P )
Nur dann wird der Leidensdruck so groß, daß der Hersteller reagiert.
Mach ich auch so, ist leider das Einzige, was gegen geistige Einzeller hilft...
Lonesome Walker
Kleines Update.
Die Antwort des BSI ist heute gekommen und war sinngemäß:
Die Antwort des BSI ist heute gekommen und war sinngemäß:
Wir kennen die Software nicht [und wollen sie auch gar nicht kennen]. Fragen Sie jemand anderes.
Die genaue Beschreibung hatte ich diesmal nicht angefügt.
