# taz.de -- Datenleck bei Lern-App Scoolio: Lernen mit Lücken | |
> Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000 | |
> Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal. | |
Bild: Kein Bock auf analog: Lern-Apps sind beliebt | |
Es knirscht hier und da, aber mit kleinen Schritten schafft es die | |
[1][Digitalisierung, Einzug in das deutsche Schulsystem] zu erhalten. Immer | |
mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im | |
Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr | |
personenbezogene Daten der Kinder im Netz landen – und immer wieder | |
schaffen es Entwickler:innen nicht, diese Daten zu schützen. | |
Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema | |
Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler | |
überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so | |
viele Daten in diese Apps ein? | |
Über die Smartphone-App Scoolio können [2][Schüler:innen ihren | |
Stundenplan, Noten sowie Hausaufgaben organisieren] und sich mit | |
Mitschüler:innen im Chat austauschen. Zudem bietet die App | |
Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem | |
Entwicklerteam aus Dresden gegründet, mittlerweile hat der | |
Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem | |
Geld aus Sachsen und der EU. | |
Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames, | |
E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen | |
Schüler:innen von mindestens 400.000 Nutzer:innen abgerufen werden | |
konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke | |
ausgenutzt hätten, so die Entwickler. | |
## Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam | |
Aufmerksam auf die Datenlücke hatte [3][IT-Sicherheitsaktivistin Lilith | |
Wittmann] gemacht. Sie und ihre Kolleg:innen vom IT-Sicherheitskollektiv | |
zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in | |
der Informationstechnik und dem sächsischen Datenschutzbeauftragten | |
gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das | |
Problem erst jetzt öffentlich gemacht. | |
Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der | |
App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir | |
festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt | |
waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“, | |
berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach | |
mehr als 30 Tagen behoben werden. | |
Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton. | |
Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte, | |
Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich | |
einsehbar. Betroffen waren Schüler:innen und Lehrer:innen aus ganz | |
Deutschland und einigen anderen europäischen Ländern. | |
Aufgefallen war die Schwachstelle bei einer Recherche von | |
BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit | |
anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. | |
Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige | |
Stunden nachdem die Datenjournalisten ihn informiert hatten. | |
Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf | |
Sicherheitslücken gibt. Weder die Kultusministerien noch das | |
Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei | |
Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen | |
Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde | |
dann aber endlich gehandelt. | |
[4][Die Länder haben das Projekt „eduCheck digital“ (EDCD)] für die | |
Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien | |
auf den Weg gebracht. Für die Projektumsetzung wurde das Medieninstitut | |
der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht | |
(FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem | |
Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro. | |
Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich | |
Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten | |
[5][Umgang mit ihren Daten beibringen]. Warum sollten Schüler:innen auf | |
einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen? | |
Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt: | |
Daten, die nicht da sind, können auch nicht wegkommen. | |
27 Oct 2021 | |
## LINKS | |
[1] /Digitalisierung-in-der-Schule/!5710243 | |
[2] /Lernen-zu-Hause/!5669207 | |
[3] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119 | |
[4] https://www.lmz-bw.de/aktuelles/aktuelle-meldungen/detailseite/welche-softw… | |
[5] /Datenschutz/!t5007513 | |
## AUTOREN | |
Malaika Rivuzumwami | |
## TAGS | |
Schwerpunkt Überwachung | |
Datenschutz | |
Digitalisierung | |
Schule | |
Hacking | |
GNS | |
Schule | |
Schwerpunkt Urheberrecht | |
Kolumne Digital Naives | |
Kolumne Digital Naives | |
Schule und Corona | |
Verbraucherschutz | |
## ARTIKEL ZUM THEMA | |
Digitalisierung in Schulen: Von Bienen und Rechnern | |
Computer sind nur Werkzeuge: Die Grundschule im schleswig-holsteinischen | |
Hennstedt begleitet Kinder auf dem sicheren Weg ins Netz. | |
Datenschutzleck in Lübeck: Behördendaten bei Ebay | |
Ein Laptop mit vertraulichen Mails landete versehentlich in einer | |
Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt. | |
Überwachung mit Apple Airtags: Apple, hör die Signale | |
Datenschützer:innen können noch so oft vor Sicherheitslücken warnen. | |
Von den Unternehmen werden sie selten gehört. | |
Cybermobbing wegen Fortnite: Ratlose Eltern | |
An französischen Schulen wurden gerade systematisch jüngere | |
Schüler:innen gemobbt. Eltern aber sind noch dabei, den vorletzten Trend | |
zu verstehen. | |
Digitalausbau in Deutschland: Neuland für Berliner Schulen | |
Der Berliner Senat hat die drängenden Probleme erkannt und stattet Schulen | |
mit mobilen WLAN-Routern aus. Das ist gelebter Pragmatismus in der | |
Digitalwüste. | |
Digitales Lernen im Kinderzimmer: Vom Sofa in die Abofalle | |
Der Staat will digitales Lernen fördern. Unternehmen freuen sich über den | |
direkten Draht ins Kinderzimmer und nutzen das zuweilen aus. |