# taz.de -- Datenschutz in der Schule: Schul-Cloud gehackt
> Hacker haben eine Schul-Cloud des Hasso-Plattner-Instituts angegriffen
> und konnten Daten einsehen. Das Sicherheitsleck soll nun behoben sein.
IMG Bild: Die Datenschutzlücke in der Schul-Cloud scheint inzwischen geschlossen
Berlin/Osnabrück dpa/epd | Eine vom Bund geförderte Schul-Cloud des
Hasso-Plattner-Instituts (HPI), die in abgewandelter Form in mehreren
Bundesländern eingesetzt wird, ist von Hackern angegriffen worden. „Wir
wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle
Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal
einen Account in der HPI Schul-Cloud anzulegen“, sagte Institutsdirektor
Christoph Meinel der Deutschen Presse-Agentur. Das HPI habe diese
Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. „Die HPI
Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und
Sicherheit wird weiter ausgebaut.“
Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen
Ein-Cladungslink als vermeintliche Schulangehörige bei dem System anmelden
und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer
habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen
und Schüler sowie Lehrkräfte in dieses Team einzuladen.
„Nach allem, was wir wissen, sind lediglich Vor- und Nachnamen von
Lehrkräften und Schülern einer teilnehmenden Schule im [1][Saarland]
illegal abgegriffen worden, aber es sind keine Daten missbraucht worden“,
sagte Meinel. Laut Institut eigneten sich Hacker dort eine Liste mit 103
Namen von Schülern und Lehrern an. Im Rahmen der weiteren Analyse
identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich
unberechtigte Registrierungen stattgefunden haben.
„Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in
der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option
aktiviert, dass Schüler Teams erstellen können.“ Vier der 13 Schulen seien
Testschulen von Projektpartnern ohne Schülerdaten gewesen.
Cloud-Start verschoben
Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere
Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen
oder Verbesserungsvorschläge von Nutzern erfasst wurden. „Das Ticketsystem
der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem
bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei
Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der
Entwicklung zu gewährleisten.“ Da das Ticketsystem aber schon vor dem
Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren
Maßnahmen ergriffen.
Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert
und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in
etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das
Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System
wird wiederum von kommerziellen Anbietern von Lernplattformen als
wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert.
Allein in Niedersachsen hatten rund 2.000 Schulen im Zuge der Coronakrise
Interesse an der Software des Hasso-Plattner-Instituts (HPI) bekundet. Zwar
sei die niedersächsische Bildungscloud von der Sicherheitslücke offenbar
nicht direkt betroffen gewesen, weil eine dafür notwendige Funktion zuvor
deaktiviert worden war, betonte das niedersächsische Kultusministerium.
Dennoch habe man sicherheitshalber Konsequenzen gezogen. Eigentlich sollten
am Montag 450 Schulen mit der Cloud starten. Aufgrund des Vorfalls würden
nun vorerst keine Nutzerdaten hochgeladen, erklärte ein
Ministeriumssprecher. „Zurzeit wird sichergestellt, dass mit Blick auf den
Fall im Saarland keine [2][datenschutzrechtlichen Risiken] für
niedersächsische Schulen bestehen, das Projekt fortzuführen.“
19 May 2020
## LINKS
DIR [1] /Interview-am-Schlagbaum-im-Saarland/!5683619
DIR [2] /Zoom-und-die-Corona-Krise/!5674593
## TAGS
DIR Digitales Lernen
DIR Schwerpunkt Coronavirus
DIR Schule
DIR Datenschutz
DIR Schwerpunkt Coronavirus
DIR Schwerpunkt Coronavirus
## ARTIKEL ZUM THEMA
DIR Digitales Lernen in Corona-Zeiten: Microsoft erobert die Schulen
Bayerns Schulen können bald „Teams“ von Microsoft für Videokonferenzen
nutzen. Datenschützern und der Open-Source-Community gefällt das nicht.
DIR Berlins Bildungssenatorin im Interview: „Ich kann es keinem recht machen“
Wie sieht Schule in Corona-Zeiten aus? SPD-Senatorin Scheeres über
Konzepte, digitales Lernen, Noten und Unterricht in den Sommerferien.
DIR KultusministerInnen einigen sich: Ein bisschen Schule
Alle SchülerInnen sollen bald wieder zur Schule gehen – zumindest
zeitweise. Regulären Unterricht wird es in diesem Schuljahr aber nicht mehr
geben.