Der Webmailer von München

Ein Leser weist darauf hin, dasss es mit der IT an Münchner Schulen nicht zum Besten stehe.

Der Bayerische Rundfunk nämlich beklage,

Der Web-Mailer Horde, den viele Grund- und Hauptschulen der Stadt München nutzen, hat seit Juni 2020 keine Updates mehr erhalten. In dreieinhalb Jahren keine Updates machen zu können, das sei brandgefährlich, sagt IT-Sicherheitsexperte Florian Hansemann von der Firma HanseSecure: “Das ist eine extrem alte Software, die Wahrscheinlichkeit ist sehr hoch, dass man da Sicherheitslücken findet.” Was noch schlimmer sei, so Hansemann, die Software erhalte grundsätzlich keine Updates mehr. Sie hat ihr sogenanntes ‘End of Life’ erreicht.

Ja.

Kenne ich.

Hatte ich früher auch mal in Verwendung, neben Squirrelmail. SquirrelMail und Horde waren früher mal die beiden Platzhirsche als Webmailer, werden aber beide nicht mehr oder nicht mehr gut gepflegt, wohl weil die Zeit der Webmailer eher abgelaufen ist, seit jeder ein Smartphone in der Tasche hat. Wenn man so etwas noch braucht, kann man Roundcube verwenden, der ist neuer und wird noch gepflegt. Rainloop gab es auch mal, aber der sieht auch nicht aus, als ob da noch viel liefe. Ansonsten gibt es sowas noch als Teil von ganzen Suiten wie Owncloud/Nextcloud.

Manchmal haben solche Webmailer noch ihre Vorteile, aber sie sind schon etwas anachronistisch – haben allerdings durchaus ihre Vorteile, wenn man aus dem „HomeOffice“ arbeiten soll.

Wer jetzt fragt: Was ist ein Webmailer?

Das sind Programme, die ganz normale e-Mail-Clients darstellen, aber nicht auf dem Rechner direkt laufen, wie sonst üblich, sonder auf einem Webserver und mit dem Webbrowser bedient werden. Kennt Ihr alle, die ganzen Accounts bei Google Mail, Hotmail und so weiter haben alle eine Webschnittstelle, um per Browser ohne Softwareinstallation auf die Mailbox zuzugreifen. Alternative sind lokal installierte Mailprogramme, die per SMTP und IMAP zugreifen.

Meistens sind die Dinger in PHP geschrieben, und PHP ist so eine Sache in Sachen Sicherheit. Eigentlich ein einziger Krampf, Sicherheitslücken per Design. Aber eher über die Webschnittstelle als über präparierte Mail anzugreifen. Deshalb kann man das etwas im Zaum halten, wenn man das nur einem geschlossenen Benutzerkreis überhaupt anbietet. Da stellt man ein Portal, einen Reverse Proxy, eine Firewall, VPN oder sowas davor, bei der man sich erst authentifizieren muss, bevor man überhaupt dran kommt. Und damit hat man einen großen Teil der Angriffsfläche schon einmal abgedichtet, im Gegensatz etwa zu einem Blog, was ja weltweit offen stehen muss. Unter diesen Voraussetzungen ist das freilich nicht schön, einen PHP-Webmailer zu haben, aber ich sage mal, dass das je nach Umfeld und Sicherheitsanforderung gerade noch so vertretbar sein kann, wenn das Ding überhaupt nur einem geschlossenen Benutzerkreis zugänglich ist. Man muss es deshalb auch nicht dramatisieren, wenn das Ding hinter irgendeinem Zugangsschutz steht. Man muss natürlich aufpassen, dass einem da nicht per E-Mail irgendein XSS, Code Injection oder sowas untergejubelt wird.

Gerade deshalb sollte man schon darauf achten, nur Software einzusetzen, die noch gepflegt wird. Und natürlich auch aktualisieren, denn die Pflege nützt ja auch nichts, wenn man die Updates nicht einspielt.

Nun ist ein Webmailer eine relativ kompakte Sache und normalerweise leicht durch einen anderen zu ersetzen. Horde allerdings hatte einige Zusatzmodule und Zusatzfunktionen, wie PGP-Unterstützung oder ManageSieve, die es möglicherweise schwierig oder unmöglich machen, ihn durch einen anderen zu ersetzen.

Schaut man auf deren Homepage, dann ist die neueste Meldung in den News vom September 2017. Und ein Git-Repository dazu wurde im Oktober 2017 auf deprecated gesetzt, allerdings mit dem Hinweis, dass es nur das Ende des monolithischen Repos sei, und man jetzt auf Module setze.

Schaut man allerdings auf https://github.com/horde, dann sieht man, dass die letzten Änderungen von heute sind. Sehr unübersichtlich.

Es gibt ein Repo für den Webmailer, aber da ist der letzte Log-Eintrag von 2019, aber seit 2017 scheint da fast nichts mehr zu passieren, hat jemand nur noch kleinste Bugfix-Änderungen vorgenommen. Also ob sie den Laden dicht gemacht und vergessen hätten, einem der Developer Bescheid zu sagen. Gab es nicht auch mal einen Japaner, der noch bis in die 60er oder 70er eine Insel verteidigt hat, weil ihm keiner sagte, dass der zweite Weltkrieg vorbei ist?

Das ist so scheintot. Es gibt noch Bewegung in den Repos, aber nach Pflege sieht das nicht mehr aus.

Das ist schon etwas problematisch, weil seit 2017 noch einige Angriffstypen bekannt wurden, andererseits aber kaum jemand noch solche alte Software überhaupt sicherheitsuntersucht.

Gut, bevor man da jetzt den Untergang Münchens ausruft, müsste man schon wissen, wo und wie das eingesetzt wurde. Man muss sich in solchen Fällen davor hüten, ein Drama zu sehen, wo keines ist. Vielleicht war das ja auch nur irgendein Wartungszugang, an denen keiner mehr rankommt. Solche Blind- und Ferndiagnosen sind immer riskant, da kann man sich blamieren.

Natürlich seien im E-Mailverkehr von Grund- und Hauptschulen Daten von Kindern und Jugendlichen vorhanden, so der Münchner IT-Sicherheitsexperte Hansemann: “Wenn Hacker jetzt diese Daten erbeuten, könnten sie das beispielsweise als Identitäts-Diebstahl verwenden, sich als Kind ausgeben, die Personalien von ihnen übernehmen, die Anschrift heraussuchen, Stalking”, das seien die Themen, um die es da gehe. Immer wieder tauchen Daten von Kindern und Jugendlichen auf einschlägigen Hackerseiten im Darknet auf, so IT-Sicherheitsexperten.

Das würde ich jetzt nicht unbedingt so sehen. Erstens ist das ja gar nicht gesagt, weil ja nicht klar ist, worum es überhaupt geht. Es könnte genauso gut ein Zugang für den Hausmeister sein, um Klopapier nachzubestellen. Es erschließt sich mir auch nicht unbedingt und zwingend, warum Schulen Daten und Kindern und Jugendlichen durch die Gegend mailen sollten. „Hiermit möchte ich alle Kollegen der Münchner Schulen informieren, dass das Geburtsdatum der Susi Meier immer noch und unverändert der 1.12.2013 ist, und Rudi schon wieder seine Hausaufgaben nicht gemacht hat!“? Das überzeugt mich jetzt nicht so. Das drängt sich mir nicht auf, und es ist auch nicht typisches Hackerwerk, Emails durchzulesen, ob da irgendwelche Privatdaten drin sind, wie etwa die Kreditkartennummern der Schüler aus der 7b. Es gibt natürlich die Gefahr, dass sich irgendwelche Pädophilen damit an andere Kinder ranpirschen, aber das wirkt jetzt schon etwas weit hergeholt.

Will sagen:

So richtig überzeugend finde ich den Artikel jetzt auch nicht, dazu ist zu wenig Information und zu viel Erregung drin.

Der Sprecher des bayerischen Elternverbandes Gundolf Kiefer ist Professor für Technische Informatik an der Hochschule Augsburg. Veraltete Web-Mailer zu nutzen, sei ein Unding. Er sorgt sich um die Datensicherheit in der Schule, die die Datenschutzgrundverordnung, kurz DSGVO, eigentlich vorgibt: “Es macht natürlich nervös, nicht ohne Grund, das sieht die DSGVO ja auch vor, die Daten von Minderjährigen, die müssen ganz besonders geschützt werden, weil die Kinder, die können sich nicht wehren.” Sie seien am Schluss die Leidtragenden.

Ja .. naja. Die Frage ist halt, ist das per Web oder SMTP überhaupt von außen zugängliches, oder ein in sich geschlossenes System. Ich würde da eher fragen, welche Daten von Kindern überhaupt rumgemailt werden, egal mit welcher Software. Denn wenn die da irgendeinen uralten verlausten Windows-Rechner mit Uralt-Outlook einsetzen, ist das eigentlich gefährlicher als ein abgeschottetes Horde. Das ist immer ein bisschen schwierig, sich aus einem komplexen System so völlig isoliert und kommentarlos eine Komponente herauszupicken und sich darüber dann aufzuregen. Aber Ihr wisst ja auch, was ich von deutschen Informatik-Professoren halte.

Außerdem ist es ein Trugschluss zu glauben, dass eine aktuelle und aktualisierte Software dann sicher ist, denn jede Softwareversion war ja irgendwann mal aktuell und dann kam eine neue, wegen irgendeines Sicherheitsproblems gepatchte Version. Es gäbe ja keine Updates, wenn „aktuelle“ Versionen immer sicher sind. Das ist so ein Laien-Glaube, dass man alle Sicherheitsprobleme lösen kann, indem man einfach immer nur alles schön aktualisiert und patcht. So wie man 20, 30 Jahre lang dachte, dass alles gut wäre, wenn überall Virenscanner installiert sind. Da ist so typisches Laien-Halbwissen, so diese Haken-Dran-Mentalität. So ein Glaube an magische Artefakte und Rituale.

Ein gutes Licht auf München wirft es allerdings auch nicht. Wie gesagt, das ist schwer zu beurteilen, solange man kaum etwas darüber erfährt. Ich warne da sehr, sich auf solche Empörungsargumente einzulassen, wie „irgendwo läuft eine veraltete Software“ und „Datenschutz!“. Sowas kann überaus leicht nach hinten los gehen. Damit kann man sich enorm auf die Schnauze legen.

Ich halte es bei dieser Informationslage deshalb für falsch oder ungeschickt, die Vorwurfsschiene zu fahren, sondern da erst einmal nachfragen und klären. Da kann man als ISO auch nicht einfach hingehen und draufhauen, sondern muss erst einmal fragen und ermitteln. Was, warum, wieso. Das ist nicht per se schon zwingend ein Sicherheitsloch oder Datenschutzproblem.

Außerdem ist es nur eine Information, dass es zu Horde keine Updates mehr gibt. Interessanter wäre, von wann denn die installierte Version ist. 2010?

Wenn es um IT-Ausstattung der Schule gehe, denke man immer nur an die Anschaffung, aber nicht an die Folgekosten und die Sicherheit: “Das muss unserer Ansicht nach unbedingt auch ernster genommen werden. Wir brauchen IT-Fachpersonal”, so Kiefer.

Und da ist noch ein Problem: Nicht immer haben wirkliche Experten die IT-Sicherheit der Schulen in der Hand. Bayerns Kultusministerium erlaubt laut “Empfehlungen zur IT-Ausstattung von Schulen für die Jahre 2023 und 2024” den Lehrkräften in einem “vertretbaren Maß”, technische IT-Administration von Hard- und Software vorzunehmen. Das sei ein Problem, meint Hans Rottbauer vom Lehrer- und Lehrerinnenverband: “Schulen haben IT-Systeme, die durchaus vergleichbar sind mit einer mittelständischen Firma. In einer mittelständischen Firma ist ein festangestellter ITler vorhanden. Es ist eine Fachkraft da, die in diesem Bereich ausgebildet ist, die diesen Bereich betreut. Und genau so sollte es eigentlich an den Schulen sein. Wir brauchen hier eine bessere Ausstattung, personelle Ausstattung.”

Ja. Da sehe ich das größere und ernstere Problem. Dass da jeder drin rumfuhrwerkt, was er gerade irgendwo irgendwie kann. Die interessante Frage wäre, ob Horde überhaupt von München oder von irgendeinem Lehrer installiert wurde, der das kannte und dann 2015 in Rente gegangen ist.

Für den Münchner Rechtsanwalt Marc Maisch ist der Einsatz des veralteten Web-Mailers sogar ein klarer Verstoß gegen die Datenschutzgrundverordnung, die verlange, “dass man Maßnahmen trifft, die nach dem aktuellen Stand der Technik funktionieren. Und in dem Fall, würde ich sagen, gibt es überhaupt keine andere Lösung, als hier auf diesen Web-Mailer zu verzichten. Und ein neues Webmail-System einzuführen.” Aufgrund der BR-Recherchen hat Rechtsanwalt Marc Maisch dem Datenschutzbeauftragten eine Beschwerde geschickt. Die sei nun in Arbeit, teilt das Amt kurz vor Weihnachten mit.

Ja, Herrgott, was soll er als Rechtsanwalt auch anderes sagen?

Andererseits aber wirkt München da auch irgendwie aufgeschreckt:

Stadt München kündigt Verbesserung an

Verantwortlich für die IT-Sicherheit an Bayerns Schulen ist der sogenannte Sachaufwandsträger, in diesem Fall ist das die Stadt München. Das IT-Referat der Stadt teilt auf Anfrage des BR mit, die Ablösung vom Horde-Web-Client erfolge in einem bereits laufenden, weitreichenden Umstrukturierungsprojekt: “Ziel ist es, die Ablösung des Horde Web Client reibungsarm und ohne Einschränkungen für die Bildungseinrichtungen vorzunehmen.” Wann der Prozess abgeschlossen sein wird, teilt die Stadt nicht mit.

„Verantwortlich“ heißt noch nicht, dass die das auch waren und davon wussten. Das ist so eine typische Pressesprecher-Antwort.

Der Knackpunkt an dieser Stelle ist „Das IT-Referat der Stadt München“. Das wirft doppelt Fragen auf.

Die erste ist: Wieso eigentlich München?

Warum muss das in jeder Stadt von einer anderen Stelle gemacht werden? Warum soll das in Nürnberg anders sein als in München? Wäre das nicht Sache des Bundeslandes oder des Bundes? Ist sowas nicht von vornherein zum Scheitern verurteilt, wenn da jede Stadt, jede Kommune ihre eigene Suppe kochen muss? Und was haben die da für einen Urwald, wenn das Austauschen eines Webmailers schon wie ein größeres Projekt erscheint? Sowas ist doch in einer ordentlich gewarteten Umgebung einer ein Projekt von ein, zwei Tagen Implementierung, dann Testen, Dokumentieren, Ausrollen, weil es ja um fertige und gut abgegrenzte Software geht. Und daraus gleich ein „bereits laufendes, weitreichendes Umstrukturierungsprojekt“? Naja, könnte auch heißen, „wir bauen das sowieso gerade alles neu, und das lohnt sich gerade nicht, um ein Detail einen Aufstand zu machen“. Kann sein. Kann auch nicht sein. Es ist zwar schon sehr lange her, aber ich habe vor vielen Jahren mal auf einem Webserver Horde und SquirrelMail installiert, oder genauer gesagt, die automatisierte Installation in Puppet geschrieben. Ein Riesen-Projekt war das nicht, das geht flott, das ist nicht allzu schwierig. So eine übliche PHP-Installation eben. Und zu Roundcube gibt es sogar fertige Docker-Container. Habe ich neulich sogar noch getestet, findet man unter https://hub.docker.com/r/roundcube/roundcubemail, Zack, kann man sofort ausprobieren.

Ich als (ehemaliger, habe ja keinen Bock mehr) ISO und Sicherheitsexperte finde diesen Zuständigkeitsdickicht viel schlimmer als eine veraltete Softwareversion.

Die zweite ist: IT-Referentin von München, Chefin von det janze, ist das grüne Gender-Prinzesschen Laura Sophie Dornheim, diese politisch gewollte Fehlbesetzung von SPDs Gnaden, diese Versorgungspostenempfängerin, deren Tätigkeit darin besteht, die Münchner IT zum Gendern zu bringen und auf Frauenquote zu bügeln. Diese Personalpolitik halte ich für das viel größere Problem als eine veraltete Horde-Version. Denn wenn die ganze Struktur Mist ist, dann hilfe es auch nicht, einzelne Komponenten auszutauschen und sich über eine PHP-Applikation aufzuregen.

Die eigentliche Frage muss sein, warum die Stadt München hier die Priorität auf Gender und Parteiposten und nicht auf Sachkunde setzt.

Warten wir mal ab, was da noch so kommt.

Vielleicht gehören zu den personenbezogenen Daten der Schüler, die die da ständig rummailen, ja die tagesaktuellen Geschlechtspronomen und die Termine für die Geschlechtsumwandlungsoperationen. Das wäre dann schon ein Datenschutzproblem.

Wenn man was auf dem Kasten hätte, würde man sich nicht so sehr über eine Softwareversion erregen, sondern klären, was wo wie warum und an wen übertragen wird, Verfahrensverzeichnis und so weiter. Aber so hat man halt was Greifbares, über das man sich möglichst einfach aufregen kann.

Die ganz Ausgebufften würden fragen, was sie da eigentlich machen, wenn es keinen gepflegten Webmailer mehr gibt, weil auch roundcube irgendwann mal End of Life haben wird, denn die Dinger sind insgesamt etwas aus der Mode. Oder PHP dann auch einfach nicht mehr tragbar ist. Und dann?