Unsere Neue Komunikations-App "KinBri"
Um nicht mehr über WhatsApp die Bilder der Kinder verschicken zu müssen, hat unser Sohn eine Gruppen-Chat-App speziel für unsere Kindertagespflege entwickelt. Sie kann sowohl als Desktop Version im Browser, als auch als App auf dem Handy verwendet werden.
Er hat vor allem auf maximal mögliche Sicherheit unserer Daten geachtet.
Benutzer werden grundsätzlich von uns vergeben und können nicht selbst erstellt werden.
Im Anschluß die Installationsanleitung und Datenschutzerklärung der App.
Installation der App
Mit dem Link https://app.kinbri.de/ kommt ihr auf den Loginbereich der Desktop Version. Hier gebt ihr die von uns erhaltenen Zugangsdaten ein und müsst anschließend ein eigenes neues sicheres Passwort eingeben.
Wenn ihr die App nicht nur auf dem Browser verwenden wollt, könnt ihr sie auch auf dem Smartphone installieren. Oben rechts auf die drei Punkte klicken. (Android)
Bei iOS Geräten tippe auf das kleine Hochladen-Icon (Qadrat mit Pfeil) welches sich in deinem geöffneten Browser befindet.
Ein Menü öffnet sich und:
"Zum Startbildschirm hinzufügen" anklicken und die App installiert sich. Fertig.
Datenschutz der KinBri App
Diese Datenschutz-Information ist vermutlich juristisch gesehen nicht korrekt geschrieben, aber ich möchte dennoch erklären welche eurer persönlichen Daten, in diesr App, wie genutzt werden.
Sämtliche Inhalte (also die Galerie Bilder, die Chatnachrichten und die Statustexte) werden nur verschlüsselt auf dem Server gespeichert. Es ist nur für Nutzer der jeweiligen Kindertagespflegeeinrichtung möglich diese Informationen zu entschlüsseln und anzuzeigen.
Solange also jeder Nutzer ein sicheres Passwort nutzt, kann niemand an die Informationen, die ihr hier teilt, gelangen!
Außerdem werden die Inhalte jeweils nur für den derzeitigen und letzten Monat gespeichert. Daraufhin sind sie nicht mehr auf dem Server zu finden. Ich mache das, um Speicherplatz und so auch Kosten zu sparen. Falls ihr also Bilder behalten wollt, müsst ihr sie vorher herunterladen. Chatnachrichten und Bilder werden zwar auch auf euren Geräten im Browser solange gespeichert bis ihr euch ausloggt, oder aber euer System sie automatisch aufräumt. Da das ganze hier eine WebApp ist, sie also vollständig im Internetbrowser läuft, kann das durchaus immer wieder passieren, wenn dieser der Meinung ist, dass er mehr Speicherplatz braucht.
Es werden keine Cookies im ganz klassischen Sinn gespeichert. Es werden allerdings Informationen auf eurem Gerät gespeichert, die zwar nicht offiziell Cookies sind, aber praktisch genau den selben Nutzen haben.
Das sind zum Einen Informationen, die euer Gerät nicht wieder verlassen, sondern genutzt werden, um die Funktionen dieser App zu gewährleisten: bspw. Nutzerinformationen und entschlüsselte Chatnachrichten.
Zum Anderen wird ein sogenannter JSON-Web-Token (JWT) gespeichert. Das sind längere Zeichenreihen in denen eure Nutzerid (für die Serverdatenbank) gespeichert ist und die außerdem ein Ablaufdatum haben. Jedes Mal wenn eure App Informationen vom Server haben will, sendet sie diesen JWT mit. Dadurch weiß der Server wer die Anfrage sendet und wie er sie handhaben soll.
Keine Logs vom Client werden automatisch an den Server gesendet. Ich gebe euch allerdings die Option dies im Fall eines Fehlers freiwillig zu tun. Aber auch in diesen Fällen werden keinerlei Gerätedaten gesendet sondern nur das, was ihr auf dem Bildschirm seht. Ich mache auch keinerlei Analysen darüber wie ihr die App nutzt.
Der Server logged alle möglichen Informationen, damit ich bei einem möglichen Fehler diesen hoffentlich gut nachvollziehen kann. Als persönliche Information wird nur der Nutzername geloggt. Alle anderen Informationen sind nicht zu euch zurückverfolgbar.
Zur Verschlüsselung sämtlicher Inhalte wird ein sogenanntes symmetrisches Verschlüsselungsverfahren genutzt. Das bedeutet, dass all diese Inhalte mit dem selben "Passwort" ver- bzw. entschlüsselt werden. Dieses Passwort wird allerdings nicht von einem Menschen ausgedacht, sondern jeden Monat von einem eurer Geräte generiert. Damit ihr dann alle dieses Passwort auch wisst, wird es mit einem sogenannten asymmetrischen Verschlüsselungsverfahren für jeden von euch extra verschlüsselt. Es ist ziemlich abgefahrene Mathematik und ich gehe nicht weiter darauf ein wie die Verschlüsselungen an sich funktionieren. Für weitere Infos kann man bspw. mal nach "Diffie-Hellman" suchen.
Ich hab leider noch keine wirklich ausgefeilte Lösung gefunden wie ich trotzdem mehrere Geräte pro Account erlauben kann. Darum mache ich etwas, was man absolut nicht machen sollte: Ich speichere den privaten asymmetrischen Schlüssel in der Datenbank. Bevor er allerdings an den Server gesandt wird, wird er symmetrisch mit dem Passwort des Nutzers verschlüsselt. Das Passwort wiederum wird lokal beim Nutzer gehashed, weshalb der Server niemals das Passwort selbst kennt. (Bevor das Passwort in der Datenbank zur Authentifizierung abgespeichert wird, wird es selbstverständlicherweise nochmals mit Salt gehashed.) Deswegen noch einmal: Der Server kann diesen Key niemals herausfinden, solange das vom Nutzer gewählte Passwort sicher ist. Ich werde dennoch in Zukunft ein besseres System zum Teilen der Keys zwischen Clients desselben Nutzers bauen, damit dieses Problem gelöst wird. Dauert aber noch. Das aktuelle neue Konzept kann auf Google Docs eingesehen und kommentiert werden.
Auch werden derzeit noch einige Metadaten wie zum Beispiel: "Wann wurde eine Chatnachricht erstellt?" oder "Wer hat eine Nachricht bereits gelesen?" unverschlüsselt in der Datenbank gespeichert. Dies ist mit meiner derzeitigen Sicherheitsarchitektur kaum anders möglich. Dies wird allerdings mit der Umsetzung, der im letzten Abschnitt erwähnten, neuen Architektur nicht mehr passieren.
Das Feedback, welches ihr mir über das Textfeld senden könnt, wird nicht verschlüsselt. Da ich als Administrator gar keinen Zugriff auf die verschlüsselten Daten habe, könnte ich es sonst gar nicht lesen.
Keinerlei Daten werden von mir an Dritte weitergegeben. Mehr oder weniger. Diese Webseite muss irgendwo gehostet werden. Dafür habe ich Hetzner ausgewählt. Die Server liegen in Deutschland und erfüllen die DSGVO. Es werden dennoch von Hetzner zumindest eure IP Adressen geloggt. Das ist eine völlig normale Aktivität, die nahezu jede einzelne Seite im Internet durchführt.
Für jeden Nutzer werden folgende Daten in der Datenbank gespeichert:
Nutzername: Dieser wird unverschlüsselt gespeichert, da es ganz einfach immer notwendig ist. Der Nutzername wird von den Administratoren (= Tageseltern) festgelegt.
Anzeigename: Dieser wird unverschlüsselt gespeichert, da es derzeit noch notwendig ist (in Zunkunft werde ich ihn möglicherweise ebenfalls verschlüsseln). Er kann von euch selbst festgelegt werden.
Passwort: Dieses wird sicher und unlesbar gespeichert. Genauer heißt es, dass es mit einer sha512 Implementierung und einem zufälligen 16 Zeichen langen Salt vom Server gehashed wird bevor es gespeichert wird.
Kindertagespflegeeinrichtung: Diese Information muss auch unverschlüsselt gespeichert werden.
Chatfarbe: Diese wird unverschlüsselt gespeichert, da es derzeit noch notwendig ist (in Zunkunft werde ich sie möglicherweise ebenfalls verschlüsseln). Sie kann von euch selbst festgelegt werden.
Keys: Es werden verschiedene Keys gespeichert. Alle bis auf den Public-Key werden dafür vorher verschlüsselt. Keys werden genutzt, um die vollständige Verschlüsselung aller Inhalte zu praktizieren. Siehe Abschnitt "Verschlüsselung".
Tokens: Die aktiven Tokens werden ebenfalls gespeichert. Für mehr Infos siehe Abschnitt "Cookies".
Administrator: Ist der Nutzer ein Administrator?