Stashcat / schul.cloud

- Lesezeit: 11 Minuten -

Allgemein

Der Unternehmenssitz der heinekingmedia GmbH ist in Hannover (Niedersachsen), wo auch die Polizei und Schulen zu den Nutzern zählen. Darüber hinaus wird Stashcat u.a. auch bei der CDU in Niedersachsen als “parteiinterner Messenger” angeboten (es wird argumentiert, daß dies auch eine „Wirtschaftsförderung“ sei). Stashcat ist auch die Basis für „schul.cloud“ (nicht zu verwechseln mit der „Schul-Cloud“ des Hasso-Plattner-Instituts!)

Technik

Stashcat ist ein Inselsystem und setzt auf ein technisches “Abschotten” des Systems zur Absicherung, wodurch Mißbrauch vermieden werden soll. Es wird kein standardisiertes Protokoll (und auch nicht ein abgewandeltes XMPP) verwendet - sondern eine firmeninterne Entwicklung, in die keine Einsicht gewährt wird.

„Details zu der Krypto-Lösung und wie sich diese etwa von Whatsapp beziehungsweise Signal unterscheide, gibt Heinekingmedia nicht heraus. Auch der IT-Dienstleister der Polizei Niedersachsen, auf dessen Server NIMes läuft, und die Zentrale Polizeidirektion können keine weiteren Angaben dazu machen, da dem zum Teil “die Geschäftsgeheimnisse des Anbieters der Applikation” entgegenstünden.“
(Quelle: golem.de)

Beschreibung lt. „trusted“-Redaktion:
„… Stashcat verbindet die klassischen Funktionen eines IM-Tools mit einem eigenen Cloud Speicher. In diesem lagern Sie Dateien und teilen Sie so direkt aus der App heraus mit Ihren Kollegen - ohne den Umweg über Google Drive oder Dropbox zu nehmen. Zudem bietet stashcat unter dem Motto “Ihre App, unsere Technologie” die Möglichkeit, den Messenger nach Belieben in den Firmenfarben zu gestalten. Ein nettes Feature. Besonderer Wert wird auf den Datenschutz gelegt: Sollte Ihnen die ohnehin schon strenge Regelung nach DIN-Standard und die Speicherung der Daten auf ausschließlich deutschen Servern nicht ausreichen, können Sie sich dazu entscheiden, den Dienst auch lokal auf dem eigenen Server zu hosten. Zugriff auf den Messenger haben Sie, so oder so, per Web, Desktop und mobil auf iOS- und Android-Geräten. Dafür fehlt es leider an Video- und Voice-Chat und an Integrationen zu gänigen Business Tools.“
Quelle: https://trusted.de/stashcat (extern)

Jeder Benutzer erhält einen eigenen Account in der schul.cloud Plattform, der den Vor- und Nachnamen des Nutzers in Klartext umfasst

Sicherheit

Seitens des Herstellers wird zwar bei Nachfrage auf externe Prüfungen („Audits“) verwiesen …

Wie bei allen Computerprogrammen kann es dennoch auch bei „closed source“ Produkten Sicherheitsschwachstellen geben. Eine eigene Recherche zu Stashcat im Internet hat ergeben, daß die Sicherheitsfirma CIPHRON im Jahr 2017 einige Schwachstellen in kryptographischen und sicherheitsgebenden Funktionen des Instant Messengers StashCat gefunden hat. Diese wurden dokumentiert und dem Hersteller bekannt gemacht, damit dieser entsprechend reagieren kann.

Die zahlreichen aufgeführten Schwachstellen seien alle behoben, die damit verknüpften Angriffspunkte beseitigt worden, versichert die hinter Stashcat stehende Firma.

Quellen:

Auf der Seite des Anbieters gibt es eine Übersicht mit (allen?) aktuellen / bisherigen Sicherheitsmeldungen zur schul.cloud: https://schul.cloud/sicherheit/sicherheitsmeldungen (extern)

Erfahrungen Anderer

Darüber hinaus haben 2019 / 2020 auch andere sehr interessante Erkenntnisse und Erfahrungen mit heinekingmedia bzw. der “schul.cloud” gemacht - das auf Stashcat basiert. Diese sind auf https://philippdormann.de/schul.cloud/ (extern) dokumentiert:

Deren Fazit: „Von der ‘schul.cloud’ sind wir nicht überzeugt.“

Werbeauftritt

Das „kostenlose“ Angebot der „schul.cloud“ ist der Aufhänger, um kostenpflichtige Dienste (schul-cloud-pro) zu verkaufen.

Auf der Seite “schul.cloud” wurde damit geworben: “So sicher, dass es auch die Polizei erlaubt! Mehr zum Polizeimessenger.”
Der Werbespruch wurde Stand 03.03.2019 von der Seite entfernt - wird aber weiterhin noch auf der Seite der Fa. heinekingmedia verwendet.

Interessanterweise warb/wirbt die Firma heinekingmedia GmbH mit Argumenten für Stashcat, die exakt auch für Jabber(XMPP) sowie Matrix zutreffen:

  • Andreas Noack, Geschüftsführer des Kommunikationsunternehmens aus Hannover, sagt: „Nutzer können bei einem US-Anbieter wie WhatsApp nie ganz sicher sein, dass ihre Daten auch wirklich verschlüsselt werden.“ Das sei nur möglich, wenn die Kunden den Messenger selbst betrieben.

  • Stashcat soll Behörden die Möglichkeit bieten, unkompliziert über angelegte Gruppen miteinander Informationen oder Dokumente auszutauschen.

  • Ende-zu-Ende-Verschlüsselung der Inhalte

  • Es gibt Einzelchats, Gruppendiskussionen und die Möglichkeit, Themenkanäle anzulegen. Beim Datenaustausch können die Nutzer aber auch Excel- und Powerpoint-Dateien hin- und herschicken.

  • Der Messenger synchronisiert zudem alle genutzten Geräte der einzelnen Nutzer, sodass der Dienst auf allen Plattformen aktuell bleibt.

  • Als wichtigsten Unterschied zu anderen Messenger-Diensten betonen die Macher, dass Stash cat auf Kundenwunsch komplett auf den behörden - oder firmeneigenen Servern laufen kann.

  • Weitere Vorteile seien übergreifende Kommunikation durch zentrale Kanäle und umgehende Erreichbarkeit, die verzweigte Organisierbarkeit verschiedener Nutzergruppen sowie der einfache Austausch von Dokumenten, Bildern oder Videos über alle Endgeräte und Plattformen.

  • Auch der Aufbau behördenübergreifender Kommunikationsnetzwerke soll mit Stashcat möglich sein.

Lizenzen

“kostet Sie nichts” und “Vertrag zur Datenverarbeitung im Auftrag ist nicht erforderlich”. Letzteres stimmt nicht, da eine Schule, sobald das nicht Einzelpersonen “just for fun” nutzen, sondern die Schule das verpflichtend als Kommunikationsmedium einsetzt, eben ganz klar einen solchen Vertrag mit dem Dienstleister abschließen muss! Das wiederum geht nur mit der Pro-Variante von schul.cloud.

Quellen: Artikel “dbb magazin” vom Mai 2016 / Internetauftritt Stashcat

Fragen zum Produkt

Im Februar 2019 wurden dem Hersteller verschiedene Fragen gestellt und wie folgt beantwortet:

1. Muß für die kostenlose Nutzung von 'schul.cloud' ein 'Vertrag zur Datenverarbeitung' geschlossen werden?

2. Sicherstellung Mindestalter

3. Verschlüsselung

4. Protokoll: Welches Protokoll kommt zum Einsatz (öffentlicher Standard oder Eigenentwicklung)?

5. Kommunikation

6. Schnittstellen

7. Benutzeradministration

8. Externe Prüfung: Wann und von wem wurde schul.cloud zuletzt auditiert/geprüft?

9. Praxisfragen

10. Sonstiges

Das Marketing der Fa. heinkingmedia GmbH ist super und arbeitet sehr professionell. Auch der Internetauftritt ist richtig gut gemacht. Kleiner Wehrmutstropfen hier ist das Ergebnis bei Webbkoll (extern) …

Webbkoll

Ergebnis der Seitenanalyse durch Webbkoll Quelle: https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fschul.cloud (extern)


Aktueller Stand

Die o.g. Informationen sind Stand 30.04.2021 immer noch aktuell. Der Fa. heinekingmedia sind die Inhalte dieser Seite bekannt; es gab hierzu einen Austausch per E-Mail. Am 24.08.2020 kam noch folgende Anfrage: „Ist es noch möglich Ihnen Input zu geben? Falls ja würde ich mich darum kümmern …“

Trotz positiver Beantwortung am 30.08.2020 („Ja - ich würde Ihre Infos dann bei der nächsten Aktualisierung der Seite mit berücksichtigen.“) ist bis April 2022 keine diesbezügliche Nachricht eingegangen.


Fazit

Eine weitere Insellösung bedeutet für den Nutzer letztendlich jedoch erneut eine weitere (dritte, vierte, fünfte?) inkompatible Messenger-App. Selbst die Bundesjustizministerin fordert eine Öffnung der Messengerdienste (insbesondere von WhatsApp).