Datenleck bei Lern-App Scoolio: Lernen mit Lücken

Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000 Schü­le­r:in­nen frei zugänglich. So etwas passiert nicht zum ersten Mal.

Ein Kind legt seinen Kopf auf einen Schreibtisch

Kein Bock auf analog: Lern-Apps sind beliebt Foto: Andreas Poertner/CHROMORANGE/imago

Es knirscht hier und da, aber mit kleinen Schritten schafft es die Digitalisierung, Einzug in das deutsche Schulsystem zu erhalten. Immer mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr personenbezogene Daten der Kinder im Netz landen – und immer wieder schaffen es Ent­wick­le­r:in­nen nicht, diese Daten zu schützen.

Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so viele Daten in diese Apps ein?

Über die Smartphone-App Scoo­lio können Schü­le­r:in­nen ihren Stundenplan, Noten sowie Hausaufgaben organisieren und sich mit Mit­schü­le­r:in­nen im Chat austauschen. Zudem bietet die App Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem Entwicklerteam aus Dresden gegründet, mittlerweile hat der Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU.

Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames, E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen Schü­le­r:in­nen von mindestens 400.000 Nut­ze­r:in­nen abgerufen werden konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke ausgenutzt hätten, so die Entwickler.

Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam

Aufmerksam auf die Datenlücke hatte IT-Sicherheitsaktivistin Lilith Wittmann gemacht. Sie und ihre Kol­le­g:in­nen vom IT-Sicherheitskollektiv zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das Problem erst jetzt öffentlich gemacht.

Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir festgestellt, dass die Schnittstellen von Scoo­lio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“, berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach mehr als 30 Tagen behoben werden.

Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton. Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte, Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich einsehbar. Betroffen waren Schü­le­r:in­nen und Leh­re­r:in­nen aus ganz Deutschland und einigen anderen europäischen Ländern.

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige Stunden nachdem die Datenjournalisten ihn informiert hatten.

Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf Sicherheitslücken gibt. Weder die Kultusministerien noch das Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde dann aber endlich gehandelt.

Die Länder haben das Projekt „eduCheck digital“ (EDCD) für die Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien auf den Weg gebracht. Für die Pro­jekt­umsetzung wurde das Medieninstitut der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht (FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro.

Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten Umgang mit ihren Daten beibringen. Warum sollten Schü­le­r:in­nen auf einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen? Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt: Daten, die nicht da sind, können auch nicht wegkommen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.