Datenleck bei Lern-App Scoolio: Lernen mit Lücken
Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000 Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal.
Es knirscht hier und da, aber mit kleinen Schritten schafft es die Digitalisierung, Einzug in das deutsche Schulsystem zu erhalten. Immer mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr personenbezogene Daten der Kinder im Netz landen – und immer wieder schaffen es Entwickler:innen nicht, diese Daten zu schützen.
Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so viele Daten in diese Apps ein?
Über die Smartphone-App Scoolio können Schüler:innen ihren Stundenplan, Noten sowie Hausaufgaben organisieren und sich mit Mitschüler:innen im Chat austauschen. Zudem bietet die App Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem Entwicklerteam aus Dresden gegründet, mittlerweile hat der Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU.
Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames, E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen Schüler:innen von mindestens 400.000 Nutzer:innen abgerufen werden konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke ausgenutzt hätten, so die Entwickler.
Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam
Aufmerksam auf die Datenlücke hatte IT-Sicherheitsaktivistin Lilith Wittmann gemacht. Sie und ihre Kolleg:innen vom IT-Sicherheitskollektiv zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das Problem erst jetzt öffentlich gemacht.
Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“, berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach mehr als 30 Tagen behoben werden.
Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton. Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte, Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich einsehbar. Betroffen waren Schüler:innen und Lehrer:innen aus ganz Deutschland und einigen anderen europäischen Ländern.
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige Stunden nachdem die Datenjournalisten ihn informiert hatten.
Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf Sicherheitslücken gibt. Weder die Kultusministerien noch das Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde dann aber endlich gehandelt.
Die Länder haben das Projekt „eduCheck digital“ (EDCD) für die Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien auf den Weg gebracht. Für die Projektumsetzung wurde das Medieninstitut der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht (FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro.
Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten Umgang mit ihren Daten beibringen. Warum sollten Schüler:innen auf einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen? Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt: Daten, die nicht da sind, können auch nicht wegkommen.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen
