HPI schließt Datenschutzlücke in Schul-Cloud

Berlin (dpa) - Das Hasso-Plattner-Institut hat eine Datenschutzlücke
in der HPI Schul-Cloud geschlossen. «Wir wurden vom Saarländischen
Datenschutzbeauftragten auf eine potenzielle Lücke hingewiesen, über
die es Hackern offenbar möglich war, sich illegal einen Account in
der HPI Schul-Cloud anzulegen», sagte Instituts-Direktor Prof.
Christoph Meinel der Deutschen Presse-Agentur. Das HPI habe diese
Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. «Die

HPI Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und
Sicherheit wird weiter ausgebaut.»

Nach Angabe des Instituts konnten sich Unberechtigte über einen
allgemeinen Einladungs-Link als vermeintliche Schulangehörige bei dem
System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen.
Der verdächtige Nutzer habe in dem Schul-System eine Gruppe erstellt
und versucht, Schülerinnen und Schüler sowie Lehrkräfte in dieses
Team einzuladen. «Nach allem was wir wissen, sind lediglich Vor- und
Nachnamen von Lehrkräften und Schülern einer teilnehmenden Schule im
Saarland illegal abgegriffen worden, aber es sind keine Daten
missbraucht worden», sagte Meinel.

Im Rahmen der weiteren Analyse identifizierte das HPI insgesamt 13
Schulen, bei denen vermutlich unberechtigte Registrierungen
stattgefunden haben. «Sieben Schulen befinden sich in der Instanz der
HPI Schul-Cloud, sechs in der Brandenburger Schul-Cloud. Davon war
bei sieben Schulen die Option aktiviert, dass Schüler Teams erstellen
können.» Vier der 13 Schulen seien Testschulen von Projektpartnern
ohne Schülerdaten gewesen.

Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere
Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem
Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst
wurden. «Das Ticketsystem der HPI Schul-Cloud war so konfiguriert,
dass die Einträge in einem bestimmten Bereich von jedem eingesehen
werden konnten. Das ist bei Open-Source-Projekten durchaus üblich, um
eine maximale Transparenz in der Entwicklung zu gewährleisten.» Da
das Ticketsystem aber schon vor dem Hinweis geschlossen worden sei,
habe man an dieser Stelle keine weiteren Maßnahmen ergriffen.

Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell
gefördert und derzeit vor allem in Brandenburg, Thüringen und
Niedersachsen sowie in etlichen deutschen Schulen im Ausland
eingesetzt. Ende März kündigte das Ministerium an, den Zugang zu dem
System bundesweit zu öffnen. Das System wird wiederum von
kommerziellen Anbietern von Lern-Plattformen als
wettbewerbsverzerrend und unzulässiger staatlicher Eingriff
kritisiert.

Meinel betonte, der Schutz der Daten von Schülerinnen und Schülern,
die bei der Nutzung von digitalen Lernsystemen notwendig anfallen,
sei eines der wesentlichen Entwicklungsziele im Projekt der HPI
Schul-Cloud.