Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

Datenleck in Schul-Cloud des Hasso-Plattner-Instituts
Schülerdaten ungeschützt im Netz

Hannover, 26. Februar 2021 – In der Schul-Cloud des Hasso-Plattner-Instituts (HPI) gab es ein gewaltiges Datenleck. Externe hätten über einen Demo-Account auf das System zugreifen können und ein ungesicherter Endpunkt verriet vertrauliche Links zu Dateien von Lehrern und Schülern – von Aufgabenblättern bis hin zu Videos. Das berichtet Europas größtes IT- und Tech-Magazin c’t in seiner aktuellen Ausgabe 6/2021. Nach dem Hinweis reagierte das Institut vorbildlich und stellte die Probleme ab.

Lernplattformen für Schulen stehen seit der Pandemie im Mittelpunkt des öffentlichen Interesses. Einige Bundesländer bieten ihren Schulen die Nutzung der HPI-Schul-Cloud an, die das Hasso-Plattner-Institut seit 2016 als Open-Source-Software entwickelt. Neben einer Instanz, die das HPI selbst betreibt, gibt es eigene Instanzen in Brandenburg, Niedersachsen und Thüringen. Einige Schulen nutzen die Plattform weil sie noch keine eigene Lösung haben, andere sehen sie als dauerhafte Lösung. Über die HPI-Schul-Cloud werden Videokonferenzen geführt sowie Aufgaben bearbeitet.

Im Februar wurde die c’t-Redaktion von einem Hinweisgeber auf diverse Sicherheitsprobleme in der Thüringer Schul-Cloud aufmerksam gemacht. Nicht nur Lehrer und Schüler könnten sich hier anmelden, über einen vergessenen Demo-Account hätte jeder Zugriff. „Als besonders verhängnisvoll stellte sich zudem eine Unterseite heraus, auf der interne Links zu sensiblen Schuldateien für alle sichtbar waren“, berichtet c’t-Redakteur Jan Mahn. Es gab handschriftlich bewertete Tests, teils mit Namen und Noten, Klassen- und Lehrerlisten mit Kontaktdaten sowie ganze Bildschirmaufzeichnungen von virtuellen Unterrichtsstunden. Abgerundet wurde die Liste der Fundstücke durch diverse Videos: Schüler, die im heimischen Wohnzimmer Gedichte vortrugen und ihre Klasse grüßten sowie tanzende Schülerinnen in einem Video zur Verabschiedung ihrer Lehrerin. Diese Hintertür existierte auch in den Schulclouds anderer Bundesländer.

Die Reaktion auf die c’t-Information erfolgte prompt und vorbildlich: das Hasso-Plattner-Institut schloss die Sicherheitslücken.

„Dieser Fall zeigt, dass jeder, der eine Infrastruktur im Netz betreibt, sich hin und wieder die Zeit nehmen sollte, um selbst von außen einen Blick auf die eigenen Systeme zu werfen und zumindest die offensichtlichsten Schwachstellen aufzuspüren“, rät Mahn. Wichtig ist auch gute Vorbereitung für den Fall der Fälle. Wenn Techniker und Datenschutzbeauftragte das Grundgerüst für eine Meldung schon vorab ausgefüllt haben, ist die Wahrscheinlichkeit höher, dass man innerhalb der von der DSGVO geforderten 72 Stunden eine Meldung an den Landesdatenschützer zu Papier bringt, falls ein Datenleck offenbar wird.

Redaktionen erhalten den Artikel auf Anfrage kostenfrei.