Datenleck bei Lern-App Scoolio: Lernen mit Lücken
Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000 Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal.
Es knirscht hier und da, aber mit kleinen Schritten schafft es die Digitalisierung, Einzug in das deutsche Schulsystem zu erhalten. Immer mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr personenbezogene Daten der Kinder im Netz landen – und immer wieder schaffen es Entwickler:innen nicht, diese Daten zu schützen.
Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so viele Daten in diese Apps ein?
Über die Smartphone-App Scoolio können Schüler:innen ihren Stundenplan, Noten sowie Hausaufgaben organisieren und sich mit Mitschüler:innen im Chat austauschen. Zudem bietet die App Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem Entwicklerteam aus Dresden gegründet, mittlerweile hat der Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU.
Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames, E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen Schüler:innen von mindestens 400.000 Nutzer:innen abgerufen werden konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke ausgenutzt hätten, so die Entwickler.
Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam
Aufmerksam auf die Datenlücke hatte IT-Sicherheitsaktivistin Lilith Wittmann gemacht. Sie und ihre Kolleg:innen vom IT-Sicherheitskollektiv zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das Problem erst jetzt öffentlich gemacht.
Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“, berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach mehr als 30 Tagen behoben werden.
Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton. Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte, Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich einsehbar. Betroffen waren Schüler:innen und Lehrer:innen aus ganz Deutschland und einigen anderen europäischen Ländern.
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige Stunden nachdem die Datenjournalisten ihn informiert hatten.
Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf Sicherheitslücken gibt. Weder die Kultusministerien noch das Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde dann aber endlich gehandelt.
Die Länder haben das Projekt „eduCheck digital“ (EDCD) für die Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien auf den Weg gebracht. Für die Projektumsetzung wurde das Medieninstitut der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht (FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro.
Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten Umgang mit ihren Daten beibringen. Warum sollten Schüler:innen auf einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen? Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt: Daten, die nicht da sind, können auch nicht wegkommen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechtspopulistinnen in Europa
Rechts, weiblich, erfolgreich
#womeninmalefields Social-Media-Trend
„Ne sorry babe mit Pille spür ich nix“
Buchpremiere von Angela Merkel
Nur nicht rumjammern
Landesparteitag
Grünen-Spitze will „Vermieterführerschein“
Stellungnahme im Bundestag vorgelegt
Rechtsexperten stützen AfD-Verbotsantrag
Die Wahrheit
Herbst des Gerichtsvollziehers