HPI schließt Datenschutzlücke in Schul-Cloud

19.05.2020
Bei der Schul-Cloud des Hasso-Plattner-Instituts (HPI) hat es eine Datenschutzlücke gegeben, durch die Vor- und Nachnamen von Anwendern abgegriffen wurden. HPI hat das Problem laut eigenen Angaben mittlerweile behoben.
HPI hat bei seiner Schul-Cloud eine Sicherheitslücke geschlossen. Foto: Rolf Vennenbernd/dpa/Illustration
HPI hat bei seiner Schul-Cloud eine Sicherheitslücke geschlossen. Foto: Rolf Vennenbernd/dpa/Illustration

Berlin (dpa) - Das Hasso-Plattner-Institut hat eine Datenschutzlücke in der HPI Schul-Cloud geschlossen. «Wir wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen», sagte Instituts-Direktor Prof. Christoph Meinel.

Das HPI habe diese Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. «Die HPI Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und Sicherheit wird weiter ausgebaut.»

Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen Einladungs-Link als vermeintliche Schulangehörige bei dem System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen und Schüler sowie Lehrkräfte in dieses Team einzuladen. «Nach allem was wir wissen, sind lediglich Vor- und Nachnamen von Lehrkräften und Schülern einer teilnehmenden Schule im Saarland illegal abgegriffen worden, aber es sind keine Daten missbraucht worden», sagte Meinel.

Im Rahmen der weiteren Analyse identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich unberechtigte Registrierungen stattgefunden haben. «Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option aktiviert, dass Schüler Teams erstellen können.» Vier der 13 Schulen seien Testschulen von Projektpartnern ohne Schülerdaten gewesen.

Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden. «Das Ticketsystem der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der Entwicklung zu gewährleisten.» Da das Ticketsystem aber schon vor dem Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren Maßnahmen ergriffen.

Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System wird wiederum von kommerziellen Anbietern von Lern-Plattformen als wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert.

Meinel betonte, der Schutz der Daten von Schülerinnen und Schülern, die bei der Nutzung von digitalen Lernsystemen notwendig anfallen, sei eines der wesentlichen Entwicklungsziele im Projekt der HPI Schul-Cloud.

HPI Schul-Cloud

Blog-Eintrag zum Datenschutz-Vorfall


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Seit der Coronakrise lernen viele Schülerinnen und Schüler über das Internet. Doch es gibt auch einen Teil, der nicht über digitale Kommunikationswege zu erreichen sind. Foto: Sebastian Gollnow/dpa Fernunterricht erreicht etliche Schüler nicht Die Coronakrise hat in vielen Schulen die Digitalisierung stark vorangetrieben, auch wenn inzwischen viele Schülerinnen und Schüler nicht mehr zwangsweise zu Hause bleiben müssen. Gerade in Deutschland bleiben Defizite aber deutlich.
Auch junge Erwachsene haben mit der Corona-Krise im digitalen Bereich viele neue Erfahrungen gemacht. Das geht Auswertung des Vergleichsportals Verivox hervorgeht. Foto: Jens Kalaene/dpa-Zentralbild/dpa Viel digitales Neuland seit Corona auch für junge Erwachsene Die Corona-Krise versetzt vielen Bereichen einen heftigen Schub in Richtung Digitalisierung. Das gilt einer Studie zufolge sogar für eine Generation, die man eigentlich schon für weiter hielt.
Eine Woche nach dem Beginn flächendeckender Schulschließungen in Deutschland zieht der Grundschulverband (GSV) eine positive Zwischenbilanz. Foto: Klaus-Dietmar Gabbert/dpa-Zentralbild/dpa Lehrerverbände: Homeschooling läuft noch nicht reibungslos Seit einer Woche haben die meisten Schulen in Deutschland geschlossen. Wie kommen Lehrer und Schüler damit klar? Eine Zwischenbilanz.
Die Filmschätze in ein neues Zeitalter retten: Mit der richtigen Technik lassen sich die VHS-Kassetten leicht überspielen. Foto: Jens Schierenbeck Videokassetten überspielen Die Videokassette gehört mittlerweile zum alten Eisen: Bänder und Abspielgeräte werden nicht mehr hergestellt, die Qualität der VHS-Aufnahmen nimmt über die Jahre ab. Mit wenig Aufwand lassen sich die filmischen Erinnerungen aber ins digitale Zeitalter retten.