Stashcat

- Lesezeit: 6 Minuten -

Allgemein

Der Unternehmenssitz der heinekingmedia GmbH ist in Hannover (Niedersachsen), wo auch die Polizei und Schulen zu den Nutzern zählen. Darüber hinaus wird Stashcat u.a. auch bei der CDU in Niedersachsen als “parteiinterner Messenger” angeboten (es wird argumentiert, daß dies auch eine Wirtschaftsförderung sei).

Technik

Stashcat ist ein Inselsystem und setzt auf ein technisches “Abschotten” des Systems zur Absicherung, wodurch Mißbrauch vermieden werden soll. Es wird kein standardisiertes Protokoll (und auch nicht ein abgewandeltes XMPP) verwendet - sondern eine firmeninterne Entwicklung, in die keine Einsicht gewährt wird.

„Details zu der Krypto-Lösung und wie sich diese etwa von Whatsapp beziehungsweise Signal unterscheide, gibt Heinekingmedia nicht heraus. Auch der IT-Dienstleister der Polizei Niedersachsen, auf dessen Server NIMes läuft, und die Zentrale Polizeidirektion können keine weiteren Angaben dazu machen, da dem zum Teil “die Geschäftsgeheimnisse des Anbieters der Applikation” entgegenstünden.“
(Quelle: golem.de)

Beschreibung lt. „trusted“-Redaktion:
„… Stashcat verbindet die klassischen Funktionen eines IM-Tools mit einem eigenen Cloud Speicher. In diesem lagern Sie Dateien und teilen Sie so direkt aus der App heraus mit Ihren Kollegen - ohne den Umweg über Google Drive oder Dropbox zu nehmen. Zudem bietet stashcat unter dem Motto “Ihre App, unsere Technologie” die Möglichkeit, den Messenger nach Belieben in den Firmenfarben zu gestalten. Ein nettes Feature. Besonderer Wert wird auf den Datenschutz gelegt: Sollte Ihnen die ohnehin schon strenge Regelung nach DIN-Standard und die Speicherung der Daten auf ausschließlich deutschen Servern nicht ausreichen, können Sie sich dazu entscheiden, den Dienst auch lokal auf dem eigenen Server zu hosten. Zugriff auf den Messenger haben Sie, so oder so, per Web, Desktop und mobil auf iOS- und Android-Geräten. Dafür fehlt es leider an Video- und Voice-Chat und an Integrationen zu gänigen Business Tools.“
Quelle: https://trusted.de/stashcat (extern)

Jeder Benutzer erhält einen eigenen Account in der schul.cloud Plattform, der den Vor- und Nachnamen des Nutzers in Klartext umfasst

Sicherheitsprüfungen

Seitens des Herstellers wird zwar auf externe Prüfungen („Audits“) verwiesen.

Wie bei allen Computerprogrammen kann es dennoch auch bei „closed source“ Produkten Sicherheitsschwachstellen geben. Eine eigene Recherche zu Stashcat im Internet hat ergeben, daß die Sicherheitsfirma CIPHRON im Jahr 2017 einige Schwachstellen in kryptographischen und sicherheitsgebenden Funktionen des Instant Messengers StashCat gefunden hat. Diese wurden dokumentiert und dem Hersteller bekannt gemacht, damit dieser entsprechend reagieren kann.

Die zahlreichen aufgeführten Schwachstellen seien alle behoben, die damit verknüpften Angriffspunkte beseitigt worden, versichert die hinter Stashcat stehende Firma.

Quellen:

Werbeauftritt

Dass das “kostenlose” Angebot der Schul-Cloud ist der Aufhänger, um kostenpflichtige Dienste (schul-cloud-pro) zu verkaufen.

Auf der Seite “schul.cloud” wurde damit geworben: “So sicher, dass es auch die Polizei erlaubt! Mehr zum Polizeimessenger.”
Der Werbespruch wurde Stand 03.03.2019 von der Seite entfernt - wird aber weiterhin noch auf der Seite der Fa. heinekingmedia verwendet.

Interessanterweise warb/wirbt die Firma heinekingmedia GmbH mit Argumenten für Stashcat, die exakt auch für Jabber(XMPP) sowie Matrix zutreffen:

  • Andreas Noack, Geschäftsführer des Kommunikationsunternehmens aus Hannover, sagt: „Nutzer können bei einem US-Anbieter wie WhatsApp nie ganz sicher sein, dass ihre Daten auch wirklich verschlüsselt werden.“ Das sei nur möglich, wenn die Kunden den Messenger selbst betrieben.

  • Stashcat soll Behörden die Möglichkeit bieten, unkompliziert über angelegte Gruppen miteinander Informationen oder Dokumente auszutauschen.

  • Ende-zu-Ende-Verschlüsselung der Inhalte

  • Es gibt Einzelchats, Gruppendiskussionen und die Möglichkeit, Themenkanäle anzulegen. Beim Datenaustausch können die Nutzer aber auch Excel- und Powerpoint-Dateien hin- und herschicken.

  • Der Messenger synchronisiert zudem alle genutzten Geräte der einzelnen Nutzer, sodass der Dienst auf allen Plattformen aktuell bleibt.

  • Als wichtigsten Unterschied zu anderen Messenger-Diensten betonen die Macher, dass Stash cat auf Kundenwunsch komplett auf den behörden - oder firmeneigenen Servern laufen kann.

  • Weitere Vorteile seien übergreifende Kommunikation durch zentrale Kanäle und umgehende Erreichbarkeit, die verzweigte Organisierbarkeit verschiedener Nutzergruppen sowie der einfache Austausch von Dokumenten, Bildern oder Videos über alle Endgeräte und Plattformen.

  • Auch der Aufbau behördenübergreifender Kommunikationsnetzwerke soll mit Stashcat möglich sein.

Lizenzen

“kostet Sie nichts” und “Vertrag zur Datenverarbeitung im Auftrag ist nicht erforderlich”. Letzteres stimmt nicht, da eine Schule, sobald das nicht Einzelpersonen “just for fun” nutzen, sondern die Schule das verpflichtend als Kommunikationsmedium einsetzt, eben ganz klar einen solchen Vertrag mit dem Dienstleister abschließen muss! Das wiederum geht nur mit der Pro-Variante von schul.cloud.

Quellen: Artikel “dbb magazin” vom Mai 2016 / Internetauftritt Stashcat

Fragen zum Produkt

Im Februar 2019 wurden dem Hersteller verschiedene Fragen gestellt und wie folgt beantwortet:

1. Muß für die kostenlose Nutzung von 'schul.cloud' ein 'Vertrag zur Datenverarbeitung' geschlossen werden?

2. Sicherstellung Mindestalter

3. Verschlüsselung

4. Protokoll: Welches Protokoll kommt zum Einsatz (öffentlicher Standard oder Eigenentwicklung)?

5. Kommunikation

6. Schnittstellen

7. Benutzeradministration

8. Externe Prüfung: Wann und von wem wurde schul.cloud zuletzt auditiert/geprüft?

9. Praxisfragen

10. Sonstiges

Fazit

Das Marketing der Fa. heinkingmedia GmbH ist super und arbeitet sehr professionell. Auch der Internetauftritt ist richtig gut gemacht. Kleiner Wehrmutstropfen hier ist das Ergebnis bei Webbbkoll.

Eine weitere Insellösung bedeutet für den Nutzer letztendlich erneut eine weitere (dritte, vierte, fünfte?) inkompatible Messenger-App. Selbst die Bundesjustizministerin fordert eine Öffnung der Messengerdienste (insbesondere von WhatsApp).