Datenschutz in der Schule: Schul-Cloud gehackt
Hacker haben eine Schul-Cloud des Hasso-Plattner-Instituts angegriffen und konnten Daten einsehen. Das Sicherheitsleck soll nun behoben sein.
Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen Ein-Cladungslink als vermeintliche Schulangehörige bei dem System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen und Schüler sowie Lehrkräfte in dieses Team einzuladen.
„Nach allem, was wir wissen, sind lediglich Vor- und Nachnamen von Lehrkräften und Schülern einer teilnehmenden Schule im Saarland illegal abgegriffen worden, aber es sind keine Daten missbraucht worden“, sagte Meinel. Laut Institut eigneten sich Hacker dort eine Liste mit 103 Namen von Schülern und Lehrern an. Im Rahmen der weiteren Analyse identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich unberechtigte Registrierungen stattgefunden haben.
„Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option aktiviert, dass Schüler Teams erstellen können.“ Vier der 13 Schulen seien Testschulen von Projektpartnern ohne Schülerdaten gewesen.
Cloud-Start verschoben
Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden. „Das Ticketsystem der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der Entwicklung zu gewährleisten.“ Da das Ticketsystem aber schon vor dem Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren Maßnahmen ergriffen.
Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System wird wiederum von kommerziellen Anbietern von Lernplattformen als wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert.
Allein in Niedersachsen hatten rund 2.000 Schulen im Zuge der Coronakrise Interesse an der Software des Hasso-Plattner-Instituts (HPI) bekundet. Zwar sei die niedersächsische Bildungscloud von der Sicherheitslücke offenbar nicht direkt betroffen gewesen, weil eine dafür notwendige Funktion zuvor deaktiviert worden war, betonte das niedersächsische Kultusministerium.
Dennoch habe man sicherheitshalber Konsequenzen gezogen. Eigentlich sollten am Montag 450 Schulen mit der Cloud starten. Aufgrund des Vorfalls würden nun vorerst keine Nutzerdaten hochgeladen, erklärte ein Ministeriumssprecher. „Zurzeit wird sichergestellt, dass mit Blick auf den Fall im Saarland keine datenschutzrechtlichen Risiken für niedersächsische Schulen bestehen, das Projekt fortzuführen.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund
Anschlag auf Magdeburger Weihnachtsmarkt
Vieles deutet auf radikal-islamfeindlichen Hintergrund hin
Keine Konsequenzen für Rechtsbruch
Vor dem Gesetz sind Vermieter gleicher
Wahlprogramm von CDU und CSU
Der Zeitgeist als Wählerklient
Russische Männer auf TikTok
Bloß nicht zum Vorbild nehmen
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“