Datenleck bei Lern-App Scoolio: Lernen mit Lücken

Es knirscht hier und da, aber mit kleinen Schritten schafft es die Digitalisierung, Einzug in das deutsche Schulsystem zu erhalten. Immer mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr personenbezogene Daten der Kinder im Netz landen – und immer wieder schaffen es Ent­wick­le­r:in­nen nicht, diese Daten zu schützen.

Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so viele Daten in diese Apps ein?

Über die Smartphone-App Scoo­lio können Schü­le­r:in­nen ihren Stundenplan, Noten sowie Hausaufgaben organisieren und sich mit Mit­schü­le­r:in­nen im Chat austauschen. Zudem bietet die App Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem Entwicklerteam aus Dresden gegründet, mittlerweile hat der Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU.

Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames, E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen Schü­le­r:in­nen von mindestens 400.000 Nut­ze­r:in­nen abgerufen werden konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke ausgenutzt hätten, so die Entwickler.

Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam

Aufmerksam auf die Datenlücke hatte IT-Sicherheitsaktivistin Lilith Wittmann gemacht. Sie und ihre Kol­le­g:in­nen vom IT-Sicherheitskollektiv zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das Problem erst jetzt öffentlich gemacht.

Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir festgestellt, dass die Schnittstellen von Scoo­lio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“, berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach mehr als 30 Tagen behoben werden.

Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton. Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte, Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich einsehbar. Betroffen waren Schü­le­r:in­nen und Leh­re­r:in­nen aus ganz Deutschland und einigen anderen europäischen Ländern.

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige Stunden nachdem die Datenjournalisten ihn informiert hatten.

Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf Sicherheitslücken gibt. Weder die Kultusministerien noch das Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde dann aber endlich gehandelt.

Die Länder haben das Projekt „eduCheck digital“ (EDCD) für die Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien auf den Weg gebracht. Für die Pro­jekt­umsetzung wurde das Medieninstitut der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht (FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro.

Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten Umgang mit ihren Daten beibringen. Warum sollten Schü­le­r:in­nen auf einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen? Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt: Daten, die nicht da sind, können auch nicht wegkommen.