Klapp, Datenschutz für die Schule? - Nein!
3. September 2022 - Lesezeit: 12 Minuten
Klapp ist eine Kommunikationsplattform, die für Schulen gedacht ist, also für den Informationsaustausch zwischen Lehrern und Eltern oder Schülern. Sie verspricht eine einfache Bedienung, sowie mit Daten sorgfältig umzugehen.
Auf die Plattform kann mit einem Browser über ein Portal oder direkt mit einer Smartphone App zugegriffen werden. Die App kann aus den üblichen Stores installiert werden. Auf der Home Page gibt es zudem einen Link, mit dem die App als Android APK heruntergeladen werden kann.
Erst muss aber die Lehrperson eine Klasse einrichten. Die Eltern kriegen dann einen Code, mit dem sie sich registrieren können. Danach haben sie Zugriff auf Informationen, die ihr Kind, dessen Klasse sowie Lehrpersonen betreffen. Der Code kann beliebig oft weitergegeben werden, z.B. Betreuungspersonen, Grosseltern, usw.
Um es vorweg zu nehmen: Die Bedienung ist wirklich einfach und selbsterklärend. Zudem können Mitteilungen in sehr viele Sprachen übersetzt werden, was gerade für Eltern ohne lokale Sprachkenntnisse sehr hilfreich ist. Mehr Informationen gibt es auf der Home Page von Klapp.
Da Klapp mit Datenschutz wirbt, ist es natürlich interessant zu wissen, welche Tracker in der Home Page und in der App eingebaut sind. Um das herauszufinden, verwende ich das Plugin uBlockOrigin im Browser, sowie die Firewall NetGuard auf dem Smartphone (Android).
Erst wird einmal die Home Page von Klapp, klapp.pro, untersucht. Das Resultat ist ernüchternd, uBlockOrigin blockiert über 30 Tracker:
Wenn bereits die Home Page eine solche Flut von unerwünschten Merkmalen aufweist, wirkt das nicht gerade vertrauenserweckend.
Portal
Die Home Page ist aber gemäss Herstellerangaben strikt vom Portal klapp.mobi getrennt, und da sieht es dann auch deutlich besser aus. Hier findet uBlockOrigin nur noch einen Tracker:
Angaben zu den verwendeten Domains:
| Domain | Registriert bei | Betrieben durch | Zweck |
| klapp.mobi |
Key-Systems GmbH |
Klapp GmbH |
Sehr wahrscheinlich das Backend der Web-Applikation. |
| ik-server.com |
Infomaniak Network SA |
Infomaniak Network SA |
Sehr wahrscheinlich ein weiteres Backend der Web-Applikation. |
| sentry.io |
Gandi SAS |
Functional Software, Inc. |
Gemäss Herstellerangaben ein cloud-basierter Analysedienst, der die Stabilität von Web-, Mobil- und Serveranwendungen überwacht. |
Die Frage, warum 2 verschiedene Backend Server für die Web-Applikation hinter dem Portal verwendet werden, wurde vom Hersteller bisher offen gelassen.
Wie der Tracker von sentry.io in die Web-Applikation eingebunden ist und welche Daten in die USA geschickt werden, ist momentan ebenfalls unklar.
Android App
Ein Blick auf die Android App (Stand vom 2022-09-03) zeigt anfänglich folgendes Bild:
sentry.io ist also auch hier anzutreffen. Über Firebase werden gemäss Herstellerangaben Push-Nachrichten in Android angezeigt. Die App versucht auch dann diese Verbindung herzustellen, wenn Push-Nachrichten abgewählt wurden.
Nach einer Weile herumspielen in der App sehen die protokollierten Verbindungen dann so aus:
Diese zusätzlichen Verbindungen scheinen mit dem Support-Center zusammenzuhängen.
Die Auswahl der Sprachen in der Übersetzungsfunktion deckt sich übrigens mit jener von Google Translate. Es ist daher anzunehmen, dass die Texte genau dorthin zur Übersetzung gesendet werden. Das passiert auf Serverebene, d.h. das wird in keinem Analysewerkzeug im Browser oder auf dem Smartphone erfasst.
Update vom 17. Sept. 2022
Am 2022-09-17 wurde die Version 3.4.4 der Android App verteilt. Bei der Auswahl der Sprache erscheint jetzt ein Hinweis, mit dem darauf aufmerksam gemacht wird, dass der Text zum Übersetzen an einen externen Anbieter (sehr wahrscheinlich Google) geschickt wird:
Mit dieser Version werden die Verbindungen im Zusammenhang mit dem Support-Center nicht mehr angezeigt. Wird das Support-Center in der App angewählt, wird die Seite support.klapp.mobi im Browser geöffnet, genauso wie beim Portal.
Das Support-Center ist aber, wie die Home Page, mit Trackern verseucht:
Dazu ist aber anzumerken, dass im Support-Center keine heiklen Informationen gespeichert werden, ausser sie werden von den Klapp-Benutzern hier eingegeben.
Update vom 8. Okt. 2022
Vor ein paar Tagen schickte der Lehrer unseres Kindes eine Nachricht. Da ich gerne per E-Mail über neue Nachrichten informiert werden möchte, habe ich das entsprechend eingestellt:
Ich bekam also eine E-Mail mit folgendem Inhalt:
Wenn der Link gedrückt wird, erscheint folgende Seite im Browser:
Um diese Voransicht sehen zu können, muss nicht eingeloggt werden. Da die E-Mail unverschlüsselt geschickt wurde, kann jedermann, der im Besitz des Links ist, die Nachricht lesen!
Der Satz "Aus Gründen der Vertraulichkeit wird die Nachricht hier nicht angezeigt." ist unter diesen Umständen nichts als ein schlechter Witz.
Update vom 5. Nov. 2022
Vor ein paar Tagen habe ich die App bei Google bewertet. Hier der Wortlaut der E-Mail, welche ich danach mit der Antwort des Herstellers erhalten habe:
*Klapp - School communication*
Your rating:★★
Achtung, keine schützenswerten Daten speichern, der Datenschutz ist NICHT gewährleistet! Wenn z.B. E-Mail Benachrichtigung eingeschaltet ist, wird ein Link verschickt, mit dem die Nachricht ohne Anmeldung gelesen werden kann! Zudem werden Daten an US-Server geschickt, welche ist unklar. Anderseits läuft die App stabil, die Bedienung ist einfach, die Übersetzungsfunktion ist hilfreich.
*Antwort des Entwicklers:*
Alle E-Mail-Notifikationen aus Klapp werden über DSGVO konforme Dienste verschickt innerhalb der EU-Region, nicht US! Mit dem in der E-Mail-Notifikation verschickten Link kann niederschwellig und ganz bewusst die Konversation eingesehen werden. Ja, bitte keine besonders schützenswerten Daten über Klapp oder andere digitale Kanäle versenden. Danke!
Fazit
Die unverschlüsselten E-Mails, welche Klapp verschickt, sind ein Datenleck. Jedermann, der in den Besitz dieser E-Mails gelangt, kann damit die entsprechenden Nachrichten lesen. Die E-Mail Funktion muss daher in den Einstellungen unbedingt ausgeschaltet werden, und zwar von allen Eltern. Der Hersteller hat das Datenleck offenbar absichtlich eingebaut.
sentry.io stellt ein weiteres Sicherheitsrisiko dar, da dieser Tracker sowohl im Portal als auch in der App aktiv ist und unklar ist, welche Daten darüber abfliessen. Mit entsprechenden Blockern im Browser und einer Firewall auf dem Smartphone können zwar unerwünschte Verbindungen unterbunden werden, aber wer macht sich schon die Mühe, diese Werkzeuge zu installieren und zu konfigurieren?
Abgesehen davon machen sowohl das Portal als auch die App einen ausreichend datenschutzfreundlichen Eindruck. Aber ein falscher Klick, und man landet auf Seiten, die von Trackern übersät sind (Home Page und Suppot-Center). Hier wird der Datenschutz leider sträflich vernachlässigt. Die Begründung, diese Seiten verhielten sich so wie andere Marketing-Seiten, steht in krassem Widerspruch zu einer Firma, die verspricht, viel Wert auf Datenschutz zu legen. Dass es auch anders geht, zeigt threema.ch.
Von der Benutzung der Klapp App muss dringend abgeraten werden.
Warnung vor diesem Gerät: Energizer Recharge Universal
31. August 2022 - Lesezeit: 2 Minuten
Mit diesem Gerät sollen NiMH Rundakkus und 9V Blöcke geladen werden können.
9V Akkus können einzeln geladen werden, sogar 2 miteinander.
Aber Achtung: Wird ein einzelner Rundakku eingesetzt, wird er gar nicht geladen. Werden 2 Rundakkus nebeneinander eingesetzt, werden sie zwar geladen, aber nur solange, bis der erste voll ist. Der zweite ist dann nicht voll geladen. Welcher der beiden das ist, ist nicht sichtbar.
Das ist meines Erachtens ein Konstruktionsfehler der gröbsten Art und macht das Gerät völlig unbrauchbar.
Dieses Video zeigt das Verhalten des Geräts, wenn ein oder 2 Akkus eingelegt werden. Gut sichtbar, dass die grüne Ladeanzeige erst einschaltet, wenn der zweite Akku eingelegt wird.
Jetzt könnte es ja sein, dass ein einzelner Akku zwar geladen wird, aber nur die Anzeige nicht funktioniert. Darum wird zur Überprüfung der Akkuladestrom gemessen, hier das Video dazu.
Es ist gut sichtbar, dass der Ladestrom auf Null zurückgeht, sobald ein Akku herausgenommen wird.
Als Ersatz habe ich jetzt das folgende Ladegerät gekauft:
ELV Akku-Lade-Center ALC1800PC, erhältlich bei ELV.
Kostet mehr, macht dafür aber alles richtig.
Neues Samsung Handy
22. Januar 2022 - Lesezeit: 12 Minuten
Um ein Android Handy etwas sicherer zu machen, müssen in der Regel viele Einstellungen geändert und alternative Apps installiert werden. Dieser Artikel soll bei dieser Arbeit und der Auswahl der Apps etwas Unterstützung bieten. Es sind dafür keine Programmierkenntnisse nötig.
Als Beispiel dient aktuell ein Samsung Handy. Googlefrei wird es zwar nicht, dafür ist der Aufwand überschaubar und Apps, die von Google abhängig sind, laufen immer noch.
Erster Start
Google und Samsung Konto nicht verbinden!
Damit läuft man nicht Gefahr, dass irrtümlicherweise Daten auf deren Cloud synchronisiert werden. In Android 12 genügt ein Tapp am falschen Ort und Google holt sich alle Daten, auch bei ausgeschalteter Synchronisierung.
F-Droid und Aurora Store
F-Droid ist ein alternativer App Store, aus dem Open Source Apps installiert werden können.
Im Samsung Browser oder in Chrome die folgende Seite öffnen:
F-Droid herunterladen und installieren.
Aus F-Droid den Aurora Store herunterladen und installieren. Mit Aurora Store können auch ohne Google Konto Apps aus dem Playstore installiert werden. Um nicht gegen Google Richtlinien zu verstossen, sollte er nur anonym benutzt werden.
Bloatware
Alle unnötigen Apps entweder deinstallieren oder deaktivieren.
- Beispiele: Chrome, Google Suchleiste, Gmail, alle Samsung Apps
- Ausnahmen: Kamera und Telefon App, die können behalten werden.
Allen unnötigen Apps, die nicht deinstalliert werden können, die Berechtigungen entziehen und die Benachrichtigungen ausschalten.
Browser
Aus F-Droid Fennec herunterladen und installieren. Es sollten sofort folgende Addons installiert werden:
- uBlock Origin
- Decentraleyes
- HTTPS Everywhere
In den Einstellungen / Browser-Daten beim Beenden löschen alles einschalten
Um Lesezeichen abzugleichen, kann Fennec mit einem Mozilla Konto verbunden werden. Die Lesezeichen werden dann aber auf einem Server von Mozilla gespeichert. In diesem Fall sollte unter Einstellungen / Zugangsdaten und Passwörter alles ausgeschaltet werden, da sonst Passwörter bei Mozilla landen.
Mit diesem Browser und den Plugins wird mit wenig Aufwand einigermassen sicheres Surfen ermöglicht, ohne dass es beim Laden der Seiten zu Problemen kommen sollte.
Launcher
Der Samsung Launcher ist ganz ok, wer dennoch eine Alternative möchte:
- ZIM-Launcher: Schnell und einfach zu konfigurieren, er kann alles, was er soll. Instabil unter Android 11
- OpenLauncher: Schnell und aufgeräumt, aber es können keine Webseiten zum Startbildschirm hinzugefügt werden.
- Bliss Launcher: Nervt, da die vorgegebenen Widgets nicht entfernt werden können, zudem ist das Anordnen der Kacheln ziemlich hakelig.
- KISS Launcher: Klein und schnell, unterstützt aber keine Widgets
Standard Apps
Jetzt kommen einige Apps aus F-Droid, die eine ganze Palette Standard Apps ersetzen. Eine Suche nach dem Stichwort schlicht sollte unter Anderem folgende Apps anzeigen:
- Schlichter Kalender Pro
- Schlichte Kontakte Pro
- Schlichter Dateimanager
- Schlichte Galerie Pro
- Schlichte Notizen Pro
- Simple Thank You, um dem Autor eine Spende zu überweisen
Suchleiste
In F-Droid nach simple search suchen. Falls die Suche keinen Treffer liefert, kann simple search von hier heruntergeladen und installiert werden:
https://f-droid.org/en/packages/de.tobiasbielefeld.searchbar/
Die App stellt ein Widget zur Verfügung, das die Google Suchleiste ersetzt.
Tastatur
Die Google Tastatur Gboard kann durch die Open Source Alternative OpenBoard aus F-Droid ersetzt werden. Nach der Installation muss die Tastatur noch konfiguriert werden:
Einstellungen / Allgemeine Verwaltung / Tastaturliste und Standard / Tastaturen verwalten
Die Emoji Taste ist normalerweise nicht sichtbar, in den Einstellungen kann das geändert werden.
Videos
Als Alternative zur Youtube App kommt Newpipe aus F-Droid zum Einsatz.
Bei dieser App werden keine Vorschläge gemacht und Videos können bei Bedarf lokal gespeichert werden.
Mail Client
Um E-Mails mit PGP verschlüsseln zu können, sollte erst mal aus F-Droid Open Key Chain installiert werden. Dann ist K9 Mail dran, ein Mail Client, der einigermassen einfach einzurichten und zu bedienen ist. Als Alternative probierte ich auch schon Fair Mail aus, die Oberfläche ist für meinen Geschmack aber zu unübersichtlich.
Mit diesen beiden Apps ist es möglich, E-Mails (auch verschlüsselte) auf dem Handy anzuschauen.
Cloud
Auf die Annehmlichkeiten einer Cloud möchte auch ich nicht verzichten. Allerdings hoste ich eine eigene Nextcloud Instanz, so weiss ich immer, wo sich die Daten befinden. Die hier vorgestellten Apps sollten aber für jede beliebige Nextcloud Instanz gelten.
Aus F-Droid DavX5 CalDAV und den Nextcloud Synchronisationsclient installieren.
Passwortspeicher
Eine einigermassen benutzerfreundliche App, um Passworte zu speichern, ist KeepassDX aud F-Droid. Um Passworte geräteübergreifend verfügbar zu haben, synchronisiere ich die Passwortdatei über Nextcloud.
Messenger
Datenschutzmässig ein sehr düsteres Kapitel. Ich habe mich deshalb für das kleinste Übel entschieden: Threema. Da die App kostenpflichtig ist, muss sie entweder im Playstore bezahlt werden, oder man kauft einen Schlüssel im Threema Store.
Zum Glück ist Threema mittlerweile so weit verbreitet, dass die meisten Kontakte erreicht werden können.
Wer auf Whatsapp nicht verzichten will, sollte ein zweites Benutzerkonto einrichten, und Whatsapp dort aus dem Aurora Store installieren. Damit wird wenigstens nicht das ganze Adressbuch an Meta geschickt, sondern nur das, welches für diesen Benutzer erfasst ist. Allerdings kriegt man so Whatsapp-Benachrichtigungen nur mit, wenn man in diesem zweiten Benutzerkonto eingeloggt ist.
Weitere Helferlein
Sie werden alle von F-Droid zur Verfügung gestellt:
| App Name | Zweck |
| MuPDF viewer | PDF Files lesen |
| QR & Barcode Scanner | QR und Barcodes lesen |
| Wikipedia | Ersetzt die Wikipedia Seite im Browser |
Spezifische Apps
Die folgenden Apps werden nur für spezielle Aufgaben benötigt:
| App Name | Zweck | Quelle |
| Meteo Swiss | Wetter in der Schweiz, auch als Widget | Aurora Store |
| SBB App | ÖV Schweiz | Aurora Store |
| Google Translate | intelligit latine | Aurora Store |
| Semitone | Stimmgerät und Metronohm | F-Droid |
Firewall
Auf jedes Gerät, das mit dem Internet verbunden ist gehört eigentlich eine Firewall. Damit kann der Zugriff von aussen geregelt werden, aber auch, welche App mit welchem Server im Internet kommunizieren darf. Die Konfiguration einer Firewall ist aber nicht trivial und es ist immer damit zu rechnen, dass ein Dienst nicht mehr "einfach so" funktioniert.
Wer sich trotzdem die Mühe machen will, dem sei Net Guard Pro aus F-Droid empfohlen. Das ist eine sogenannte No-Root Firewall, mit der zumindest ein Teil des Datenverkehrs erfasst und geregelt werden kann. Um sämtlichen Verkehr des Betriebssystems zu kontrollieren, müsste das Handy gerootet sein. Die Daten der Management Engines können aber nicht einmal dann kontrolliert werden.
Net Guard Pro hat übrigens eine Protokollfunktion, mit der drastisch veranschaulicht werden kann, mit wie vielen Servern das Handy kommuniziert.
DNS Server
Standardmässig sind bei Android die DNS Server von Google eingestellt. Damit behält Google die volle Kontrolle über jede einzelne Seite und jede App, die eine IP Adresse anfordert. Dafür gibt es zwar Alternativen, z.B. bei der Digitalen Gesellschaft, aber wenn die nicht verfügbar sind, geht rein gar nichts mehr. Daher verzichte ich momentan darauf, hier eine Alternative zu verwenden.
Fazit
All die Schritte durchzuarbeiten benötigt einige Stunden an teilweise mühsamer Arbeit. Der Lohn dieser Arbeit ist ein Handy, das ohne viel unnötigen Ballast auskommt, sowie eine gewisse Datensicherheit durch ein datenschutzfreundlich eingestelltes Android mit den entsprechenden Apps.