# taz.de -- Datenschutz in der Schule: Schul-Cloud gehackt | |
> Hacker haben eine Schul-Cloud des Hasso-Plattner-Instituts angegriffen | |
> und konnten Daten einsehen. Das Sicherheitsleck soll nun behoben sein. | |
Bild: Die Datenschutzlücke in der Schul-Cloud scheint inzwischen geschlossen | |
Berlin/Osnabrück dpa/epd | Eine vom Bund geförderte Schul-Cloud des | |
Hasso-Plattner-Instituts (HPI), die in abgewandelter Form in mehreren | |
Bundesländern eingesetzt wird, ist von Hackern angegriffen worden. „Wir | |
wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle | |
Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal | |
einen Account in der HPI Schul-Cloud anzulegen“, sagte Institutsdirektor | |
Christoph Meinel der Deutschen Presse-Agentur. Das HPI habe diese | |
Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. „Die HPI | |
Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und | |
Sicherheit wird weiter ausgebaut.“ | |
Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen | |
Ein-Cladungslink als vermeintliche Schulangehörige bei dem System anmelden | |
und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer | |
habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen | |
und Schüler sowie Lehrkräfte in dieses Team einzuladen. | |
„Nach allem, was wir wissen, sind lediglich Vor- und Nachnamen von | |
Lehrkräften und Schülern einer teilnehmenden Schule im [1][Saarland] | |
illegal abgegriffen worden, aber es sind keine Daten missbraucht worden“, | |
sagte Meinel. Laut Institut eigneten sich Hacker dort eine Liste mit 103 | |
Namen von Schülern und Lehrern an. Im Rahmen der weiteren Analyse | |
identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich | |
unberechtigte Registrierungen stattgefunden haben. | |
„Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in | |
der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option | |
aktiviert, dass Schüler Teams erstellen können.“ Vier der 13 Schulen seien | |
Testschulen von Projektpartnern ohne Schülerdaten gewesen. | |
Cloud-Start verschoben | |
Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere | |
Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen | |
oder Verbesserungsvorschläge von Nutzern erfasst wurden. „Das Ticketsystem | |
der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem | |
bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei | |
Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der | |
Entwicklung zu gewährleisten.“ Da das Ticketsystem aber schon vor dem | |
Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren | |
Maßnahmen ergriffen. | |
Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert | |
und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in | |
etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das | |
Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System | |
wird wiederum von kommerziellen Anbietern von Lernplattformen als | |
wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert. | |
Allein in Niedersachsen hatten rund 2.000 Schulen im Zuge der Coronakrise | |
Interesse an der Software des Hasso-Plattner-Instituts (HPI) bekundet. Zwar | |
sei die niedersächsische Bildungscloud von der Sicherheitslücke offenbar | |
nicht direkt betroffen gewesen, weil eine dafür notwendige Funktion zuvor | |
deaktiviert worden war, betonte das niedersächsische Kultusministerium. | |
Dennoch habe man sicherheitshalber Konsequenzen gezogen. Eigentlich sollten | |
am Montag 450 Schulen mit der Cloud starten. Aufgrund des Vorfalls würden | |
nun vorerst keine Nutzerdaten hochgeladen, erklärte ein | |
Ministeriumssprecher. „Zurzeit wird sichergestellt, dass mit Blick auf den | |
Fall im Saarland keine [2][datenschutzrechtlichen Risiken] für | |
niedersächsische Schulen bestehen, das Projekt fortzuführen.“ | |
19 May 2020 | |
## LINKS | |
[1] /Interview-am-Schlagbaum-im-Saarland/!5683619 | |
[2] /Zoom-und-die-Corona-Krise/!5674593 | |
## TAGS | |
Digitales Lernen | |
Schwerpunkt Coronavirus | |
Schule | |
Datenschutz | |
Schwerpunkt Coronavirus | |
Schwerpunkt Coronavirus | |
## ARTIKEL ZUM THEMA | |
Digitales Lernen in Corona-Zeiten: Microsoft erobert die Schulen | |
Bayerns Schulen können bald „Teams“ von Microsoft für Videokonferenzen | |
nutzen. Datenschützern und der Open-Source-Community gefällt das nicht. | |
Berlins Bildungssenatorin im Interview: „Ich kann es keinem recht machen“ | |
Wie sieht Schule in Corona-Zeiten aus? SPD-Senatorin Scheeres über | |
Konzepte, digitales Lernen, Noten und Unterricht in den Sommerferien. | |
KultusministerInnen einigen sich: Ein bisschen Schule | |
Alle SchülerInnen sollen bald wieder zur Schule gehen – zumindest | |
zeitweise. Regulären Unterricht wird es in diesem Schuljahr aber nicht mehr | |
geben. |