Stashcat / schul.cloud
Allgemein
Der Unternehmenssitz der heinekingmedia GmbH ist in Hannover (Niedersachsen), wo auch die Polizei und Schulen zu den Nutzern zählen. Darüber hinaus wird Stashcat u.a. auch bei der CDU in Niedersachsen als “parteiinterner Messenger” angeboten (es wird argumentiert, daß dies auch eine „Wirtschaftsförderung“ sei). Stashcat ist auch die Basis für „schul.cloud“ (nicht zu verwechseln mit der „Schul-Cloud“ des Hasso-Plattner-Instituts!)
Technik
Stashcat ist ein Inselsystem und setzt auf ein technisches “Abschotten” des Systems zur Absicherung, wodurch Mißbrauch vermieden werden soll. Es wird kein standardisiertes Protokoll (und auch nicht ein abgewandeltes XMPP) verwendet - sondern eine firmeninterne Entwicklung, in die keine Einsicht gewährt wird.
„Details zu der Krypto-Lösung und wie sich diese etwa von Whatsapp beziehungsweise Signal unterscheide, gibt Heinekingmedia nicht heraus. Auch der IT-Dienstleister der Polizei Niedersachsen, auf dessen Server NIMes läuft, und die Zentrale Polizeidirektion können keine weiteren Angaben dazu machen, da dem zum Teil “die Geschäftsgeheimnisse des Anbieters der Applikation” entgegenstünden.“
(Quelle: golem.de)
Beschreibung lt. „trusted“-Redaktion:
„… Stashcat verbindet die klassischen Funktionen eines IM-Tools mit einem eigenen Cloud Speicher. In diesem lagern Sie Dateien und teilen Sie so direkt aus der App heraus mit Ihren Kollegen - ohne den Umweg über Google Drive oder Dropbox zu nehmen. Zudem bietet stashcat unter dem Motto “Ihre App, unsere Technologie” die Möglichkeit, den Messenger nach Belieben in den Firmenfarben zu gestalten. Ein nettes Feature. Besonderer Wert wird auf den Datenschutz gelegt: Sollte Ihnen die ohnehin schon strenge Regelung nach DIN-Standard und die Speicherung der Daten auf ausschließlich deutschen Servern nicht ausreichen, können Sie sich dazu entscheiden, den Dienst auch lokal auf dem eigenen Server zu hosten. Zugriff auf den Messenger haben Sie, so oder so, per Web, Desktop und mobil auf iOS- und Android-Geräten. Dafür fehlt es leider an Video- und Voice-Chat und an Integrationen zu gänigen Business Tools.“
Quelle: https://trusted.de/stashcat (extern)
Jeder Benutzer erhält einen eigenen Account in der schul.cloud Plattform, der den Vor- und Nachnamen des Nutzers in Klartext umfasst
Sicherheit
Seitens des Herstellers wird zwar bei Nachfrage auf externe Prüfungen („Audits“) verwiesen …
Die Prüfberichte sind jedoch trotz expliziter Nachfrage im März 2019 nicht einsehbar - und somit auch als „nicht vorhanden“ zu bewerten.
Wie bei allen Computerprogrammen kann es dennoch auch bei „closed source“ Produkten Sicherheitsschwachstellen geben. Eine eigene Recherche zu Stashcat im Internet hat ergeben, daß die Sicherheitsfirma CIPHRON im Jahr 2017 einige Schwachstellen in kryptographischen und sicherheitsgebenden Funktionen des Instant Messengers StashCat gefunden hat. Diese wurden dokumentiert und dem Hersteller bekannt gemacht, damit dieser entsprechend reagieren kann.
Die zahlreichen aufgeführten Schwachstellen seien alle behoben, die damit verknüpften Angriffspunkte beseitigt worden, versichert die hinter Stashcat stehende Firma.
Quellen:
Erfahrungen Anderer
Darüber hinaus haben 2019 / 2020 auch andere sehr interessante Erkenntnisse und Erfahrungen mit heinekingmedia bzw. der “schul.cloud” gemacht - das auf Stashcat basiert. Diese sind auf
https://philippdormann.de/schul.cloud/ (extern) dokumentiert:
Deren Fazit: „Von der ‘schul.cloud’ sind wir nicht überzeugt.“
Werbeauftritt
Das „kostenlose“ Angebot der „schul.cloud“ ist der Aufhänger, um kostenpflichtige Dienste (schul-cloud-pro) zu verkaufen.
Auf der Seite “schul.cloud” wurde damit geworben: “So sicher, dass es auch die Polizei erlaubt! Mehr zum Polizeimessenger.”
Der Werbespruch wurde Stand 03.03.2019 von der Seite entfernt - wird aber weiterhin noch auf der Seite der Fa. heinekingmedia verwendet.
Interessanterweise warb/wirbt die Firma heinekingmedia GmbH mit Argumenten für Stashcat, die exakt auch für Jabber(XMPP) sowie Matrix zutreffen:
Andreas Noack, Geschüftsführer des Kommunikationsunternehmens aus Hannover, sagt: „Nutzer können bei einem US-Anbieter wie WhatsApp nie ganz sicher sein, dass ihre Daten auch wirklich verschlüsselt werden.“ Das sei nur möglich, wenn die Kunden den Messenger selbst betrieben.
Stashcat soll Behörden die Möglichkeit bieten, unkompliziert über angelegte Gruppen miteinander Informationen oder Dokumente auszutauschen.
Ende-zu-Ende-Verschlüsselung der Inhalte
Es gibt Einzelchats, Gruppendiskussionen und die Möglichkeit, Themenkanäle anzulegen. Beim Datenaustausch können die Nutzer aber auch Excel- und Powerpoint-Dateien hin- und herschicken.
Der Messenger synchronisiert zudem alle genutzten Geräte der einzelnen Nutzer, sodass der Dienst auf allen Plattformen aktuell bleibt.
Als wichtigsten Unterschied zu anderen Messenger-Diensten betonen die Macher, dass Stash cat auf Kundenwunsch komplett auf den behörden - oder firmeneigenen Servern laufen kann.
Weitere Vorteile seien übergreifende Kommunikation durch zentrale Kanäle und umgehende Erreichbarkeit, die verzweigte Organisierbarkeit verschiedener Nutzergruppen sowie der einfache Austausch von Dokumenten, Bildern oder Videos über alle Endgeräte und Plattformen.
Auch der Aufbau behördenübergreifender Kommunikationsnetzwerke soll mit Stashcat möglich sein.
Lizenzen
“kostet Sie nichts” und “Vertrag zur Datenverarbeitung im Auftrag ist nicht erforderlich”. Letzteres stimmt nicht, da eine Schule, sobald das nicht Einzelpersonen “just for fun” nutzen, sondern die Schule das verpflichtend als Kommunikationsmedium einsetzt, eben ganz klar einen solchen Vertrag mit dem Dienstleister abschließen muss! Das wiederum geht nur mit der Pro-Variante von schul.cloud.
Quellen: Artikel “dbb magazin” vom Mai 2016 / Internetauftritt Stashcat
Fragen zum Produkt
Im Februar 2019 wurden dem Hersteller verschiedene Fragen gestellt und wie folgt beantwortet:
1. Muß für die kostenlose Nutzung von 'schul.cloud' ein 'Vertrag zur Datenverarbeitung' geschlossen werden?
_Heinekingmedia:\
Nein, in der kostenfreien Version stimmt jede/r Nutzer/in den Nutzungsbedingungen zu und bestätigt in diesem Zuge auch die Datenschutzrichtlinien. Zusätzlich kann von der Schule auf Wunsch ein Vertrag zur Auftragsverarbeitung mit der heinekingmedia GmbH abgeschlossen werden._
2. Sicherstellung Mindestalter
Wie wird sichergestellt, daß bei Schülern unter 18 Jahren eine gültige Einverständniserklärung der Eltern vorliegt?\
Wird das Geburtsdatum gespeichert/wo?
_Heinekingmedia:\
Jede/r Nutzer/in stimmt den Nutzungsbedingungen eigenverantwortlich zu. Im Falle minderjähriger Schüler, stellen die Lehrer sicher, dass die Eltern die Einverständniserklärungabgeben. Wir als technischer Anbieter haben laut Nutzungsberechtigungen aber das Recht, Nutzer auszuschließen, wenn wir einen Verstoß gegen die Nutzungsbedingungen feststellen._
3. Verschlüsselung
\
a) Ist der Quellcode zum Signierungsalgorithmus einsehbar und überprüfbar?
Auf der Seite findet sich u.a. eine Information zum “Signierungsalgorithmus (SHA256withRSA)”. Ist der Quellcode diesbezüglich einsehbar und überprüfbar?
Heinekingmedia:
Es handelt sich um eine Closed Source Lösung, die wir inhouse eigenständig entwickeln. Der Quellcode ist daher nicht öffentlich einsehbar, wurde aber im Rahmen des Polizei-Rollouts von stashcat®, der Basistechnologie, überprüft und freigegeben.
b) Spezial-/Fachbegriffe
Was ist unter
- “Perfect Forward Secrecy”
- “automatische Patches der SSL Endpoints”,
- “Downgrade Attack Prevention” und
- “Secure Renegotiation”
zu verstehen?
Anregung:
Wenn Fachbegriffe aufgeführt werden, sollten diese - für die Endbenutzer verständlich - erläutert werden.
Heinekingmedia:
Alle Informationen zum Datenschutz und zur Sicherheit in der schul.cloud werden auf unserer Website www.schul.cloud im Bereich Datenschutz aufgeführt. Wir planen demnächst eine generelle Umgestaltung der Datenschutz-Unterseite für alle Messenger-Websites. Im Zuge dieser Umgestaltung planen wir generell, die Begrifflichkeiten für die verschiedenen Empfängergruppen entsprechend verständlicher zu gestalten. Daher vielen Dank für das Feedback.
c) Perfekte, in die Zukunft gerichtete Sicherheit
“Perfect Forward Secrecy zum Schutz der Daten vor nachträglicher Entschlüsselung der Kommunikation”
- Wie wird dies in der Praxis gehandhabt bzw. wie läuft das für den Benutzer ab?
- Werden Nachrichten (Messenger) und Daten (Dateisystem) verschlüsselt?
- Wann/wie oft muß ein Schlüssel eingegeben werden?
Heinekingmedia:
Mit jedem Nutzer-Account ist ein Private Key gekoppelt. Hierzu muss zusätzlich zum Account-Passwort ein Verschlüsselungskennwort vom Nutzer vergeben werden. Dieses Verschlüsselungskennwort wird bei jedem Login in die schul.cloud® vom Nutzer eingegeben.
</div>
4. Protokoll: Welches Protokoll kommt zum Einsatz (öffentlicher Standard oder Eigenentwicklung)?
_Heinekingmedia:\
Es handelt sich hierbei um eine Eigenentwicklung._
5. Kommunikation
* Ist eine Kommunikation zu anderen Schulen (andere schul.cloud-Nutzer) möglich?
* Ist eine Öffnung des Messengers gemäß der Forderung der Bundesinnenministerin zur Öffnung von WhatsApp geplant?
_Heinekingmedia:\
Die schul.cloud ist eine geschlossene Plattform. Für jede Schule wir eine eigene Umgebung erstellt. Zusätzlich ist es in der schul.cloud pro möglich, Mandantenübergreifend zu kommunizieren, sodass mehrere Schul-Umgebungen miteinander verbunden werden können. Die Verbindung funktioniert immer bewusst über einen Administrator._
6. Schnittstellen
* Welche Daten können extrahiert/exportiert werden?
* Gibt es standardisierte Datenaustauschschnittstellen, wie z.B. Export als Excel, CSV, XML?
* Gibt es APIs um mit eigenen Systemen auf die Daten und Vorgänge zuzugreifen, wie REST, WebServices oder XML-RPC?
* Können / wie können Drittsysteme (z.B. Nextcloud) eingebunden werden?
_Heinekingmedia:\
In der schul.cloud können grundsätzlich alle Dateiformate geteilt und ausgetauscht werden. Für einzelne Funktionen besteht die Möglichkeit zu einem Excel-Export. Die Anbindung von Drittsystemen ist in der schul.cloud nicht vorgesehen._
7. Benutzeradministration
* Welche Benutzerrollen gibt es?
* Gibt eine Benutzerhierarchie bzw. Benutzergruppen?
* Was wird bei identischen Namen verfahren?
_Heinekingmedia:\
In der schul.cloud gibt es die Benutzerrollen Schüler, Lehrer und Eltern. In der schul.cloud pro kann jede Schule individuelle Benutzerrollen definieren. Zudem können Kontaktgruppen definiert werden. Da sich jeder Nutzer anhand eines Einladungsschlüssels selbstständig registriert, gibt es keine Probleme bei identischen Namen._
8. Externe Prüfung: Wann und von wem wurde schul.cloud zuletzt auditiert/geprüft?
_Heinekingmedia:\
Die Basistechnologie wurde im Rahmen des Polizei-Rollouts wie oben beschrieben geprüft._
9. Praxisfragen
* Auf welchen Betriebssystemen kann schul.cloud betrieben werden?
* Ist es möglich Dateien lokal zu speichern/wo?
* Können Dokumente direkt aus der Anwendung heraus geöffnet und gespeichert werden (z.B. Textverarbeitung, Tabellenkalkulation, ...)?
_Heinekingmedia:\
schul.cloud kann als Desktop-Client auf Windows- und Mac-Systemen betrieben werden. Zudem existieren native Apps für Android und iOS. In Form des Web-Clients kann die schul.cloud zudem auf beliebigen weiteren Systemen verwendet werden. Dateien können direkt aus der Dateiablage auf das lokale Gerät gespeichert werden. Dokumente können als Vorschau in der Anwendung geöffnet werden. Zum Bearbeiten müssen sie heruntergeladen werden._
10. Sonstiges
* Kann auch ein anderer Subunternehmer zur Verarbeitung der Daten gewählt werden? Wie sind hier die Abhängigkeiten?
* Wie würden Sie den Mehrwert beschreiben, den das System gegenüber einer einfachen Dateiablage hat?
* Gibt es eine Roadmap für die Weiterentwicklung von Funktionen als/in Richtung eLearning-Plattform?
* Gibt es eine Featureliste?
* Gibt es eine Demo-Version, um die Funktionalität zu testen?
_Heinekingmedia:\
Nein, die schul.cloud wird in einem gesicherten Rechenzentrum in München bereitgestellt. In der schul.cloud pro ist eine on Premise Installation grundsätzlich möglich. Gegenüber einer normalen Dateiablage bietet die schul.cloud Kommunikationsmöglichkeiten, den direkten Austausch von Informationen und Dateien. Somit kann die komplette Schulkommunikation und Unterrichtsorganisation über die schul.cloud abgedeckt werden. Die schul.cloud als Kommunikationsplattform wird ständig am Bedarf der Praxis weiterentwickelt. Für die Einsicht der Funktionen der schul.cloud besuchen Sie gerne unsere Website. Schulen können sich - ebenfalls über unsere Website - selbstständig für die Nutzung der schul.cloud kostenfrei registrieren. Bei einer Erst-Registrierung prüfen wir die Schulzugehörigkeit._
Das Marketing der Fa. heinkingmedia GmbH ist super und arbeitet sehr professionell. Auch der Internetauftritt ist richtig gut gemacht. Kleiner Wehrmutstropfen hier ist das Ergebnis bei Webbkoll (extern) …
Webbkoll
Quelle: https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fschul.cloud (extern)
Aktueller Stand
Die o.g. Informationen sind Stand 30.04.2021 immer noch aktuell. Der Fa. heinekingmedia sind die Inhalte dieser Seite bekannt; es gab hierzu einen Austausch per E-Mail.
Am 24.08.2020 kam noch folgende Anfrage: „Ist es noch möglich Ihnen Input zu geben? Falls ja würde ich mich darum kümmern …“
Trotz positiver Beantwortung am 30.08.2020 („Ja - ich würde Ihre Infos dann bei der nächsten Aktualisierung der Seite mit berücksichtigen.“) ist bis April 2021 keine diesbezügliche Nachricht eingegangen.
Fazit
Eine weitere Insellösung bedeutet für den Nutzer letztendlich jedoch erneut eine weitere (dritte, vierte, fünfte?) inkompatible Messenger-App. Selbst die Bundesjustizministerin fordert eine Öffnung der Messengerdienste (insbesondere von WhatsApp).