 |
# taz.de -- Datenschutz in der Schule: Schul-Cloud gehackt |
|
|
|
> Hacker haben eine Schul-Cloud des Hasso-Plattner-Instituts angegriffen |
|
> und konnten Daten einsehen. Das Sicherheitsleck soll nun behoben sein. |
|
|
 |
Bild: Die Datenschutzlücke in der Schul-Cloud scheint inzwischen geschlossen |
|
|
|
Berlin/Osnabrück dpa/epd | Eine vom Bund geförderte Schul-Cloud des |
|
Hasso-Plattner-Instituts (HPI), die in abgewandelter Form in mehreren |
|
Bundesländern eingesetzt wird, ist von Hackern angegriffen worden. „Wir |
|
wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle |
|
Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal |
|
einen Account in der HPI Schul-Cloud anzulegen“, sagte Institutsdirektor |
|
Christoph Meinel der Deutschen Presse-Agentur. Das HPI habe diese |
|
Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. „Die HPI |
|
Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und |
|
Sicherheit wird weiter ausgebaut.“ |
|
|
|
Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen |
|
Ein-Cladungslink als vermeintliche Schulangehörige bei dem System anmelden |
|
und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer |
|
habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen |
|
und Schüler sowie Lehrkräfte in dieses Team einzuladen. |
|
|
|
„Nach allem, was wir wissen, sind lediglich Vor- und Nachnamen von |
|
Lehrkräften und Schülern einer teilnehmenden Schule im [1][Saarland] |
|
illegal abgegriffen worden, aber es sind keine Daten missbraucht worden“, |
|
sagte Meinel. Laut Institut eigneten sich Hacker dort eine Liste mit 103 |
|
Namen von Schülern und Lehrern an. Im Rahmen der weiteren Analyse |
|
identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich |
|
unberechtigte Registrierungen stattgefunden haben. |
|
|
|
„Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in |
|
der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option |
|
aktiviert, dass Schüler Teams erstellen können.“ Vier der 13 Schulen seien |
|
Testschulen von Projektpartnern ohne Schülerdaten gewesen. |
|
|
|
Cloud-Start verschoben |
|
|
|
Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere |
|
Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen |
|
oder Verbesserungsvorschläge von Nutzern erfasst wurden. „Das Ticketsystem |
|
der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem |
|
bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei |
|
Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der |
|
Entwicklung zu gewährleisten.“ Da das Ticketsystem aber schon vor dem |
|
Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren |
|
Maßnahmen ergriffen. |
|
|
|
Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert |
|
und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in |
|
etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das |
|
Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System |
|
wird wiederum von kommerziellen Anbietern von Lernplattformen als |
|
wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert. |
|
|
|
Allein in Niedersachsen hatten rund 2.000 Schulen im Zuge der Coronakrise |
|
Interesse an der Software des Hasso-Plattner-Instituts (HPI) bekundet. Zwar |
|
sei die niedersächsische Bildungscloud von der Sicherheitslücke offenbar |
|
nicht direkt betroffen gewesen, weil eine dafür notwendige Funktion zuvor |
|
deaktiviert worden war, betonte das niedersächsische Kultusministerium. |
|
|
|
Dennoch habe man sicherheitshalber Konsequenzen gezogen. Eigentlich sollten |
|
am Montag 450 Schulen mit der Cloud starten. Aufgrund des Vorfalls würden |
|
nun vorerst keine Nutzerdaten hochgeladen, erklärte ein |
|
Ministeriumssprecher. „Zurzeit wird sichergestellt, dass mit Blick auf den |
|
Fall im Saarland keine [2][datenschutzrechtlichen Risiken] für |
|
niedersächsische Schulen bestehen, das Projekt fortzuführen.“ |
|
|
|
19 May 2020 |
|
|
|
## LINKS |
|
|
 |
[1] /Interview-am-Schlagbaum-im-Saarland/!5683619 |
|
[2] /Zoom-und-die-Corona-Krise/!5674593 |
|
|
|
## TAGS |
|
|
|
Digitales Lernen |
|
Schwerpunkt Coronavirus |
|
Schule |
|
Datenschutz |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Digitales Lernen in Corona-Zeiten: Microsoft erobert die Schulen |
|
|
|
Bayerns Schulen können bald „Teams“ von Microsoft für Videokonferenzen |
|
nutzen. Datenschützern und der Open-Source-Community gefällt das nicht. |
|
|
|
Berlins Bildungssenatorin im Interview: „Ich kann es keinem recht machen“ |
|
|
|
Wie sieht Schule in Corona-Zeiten aus? SPD-Senatorin Scheeres über |
|
Konzepte, digitales Lernen, Noten und Unterricht in den Sommerferien. |
|
|
|
KultusministerInnen einigen sich: Ein bisschen Schule |
|
|
|
Alle SchülerInnen sollen bald wieder zur Schule gehen – zumindest |
|
zeitweise. Regulären Unterricht wird es in diesem Schuljahr aber nicht mehr |
|
geben. |
