Datenleck in Thüringer HPI-Schul-Cloud – Schülerdaten im Netz

Publiziert am 26. Februar 2021 von Günter Born

In der Schul-Cloud des Hasso-Plattner-Instituts (HPI) gab es ein gewaltiges Datenleck. Externe hätten über einen Demo-Account auf das System zugreifen können und ein ungesicherter Endpunkt verriet vertrauliche Links zu Dateien von Lehrern und Schülern – von Aufgabenblättern bis hin zu Videos – so heise in einer Meldung.

Anzeige

Lernplattformen für Schulen stehen seit der Pandemie im Mittelpunkt des öffentlichen Interesses. Auch hier im Blog wird das Thema ja kontrovers diskutiert, speziell wenn ich auf Abhängigkeiten von bestimmten Herstellern abstelle. Aber im aktuellen Fall geht es nicht um das Thema Abhängigkeiten, sondern um prinzipielle Fragen zur Absicherung von Systemen zur Implementierung der Schul-Cloud – egal ob es Microsoft- oder andere Lösungen sind.

Hintergrund zur HPI-Schul-Cloud

Die HPI-Schul-Cloud wird seit September 2016 vom Hasso-Plattner-Institut entwickelt. Das Bundesministerium für Bildung und Forschung unterstützt das Projekt   der HPI Schul-Cloud. Sie soll die technische Grundlage schaffen, dass Lehrkräfte und Schüler über jedes Gerät (z.B. über ein Smartphone) in jedem Unterrichtsfach moderne digitale Lehr- und Lerninhalte ohne besondere technische Vorkenntnisse nutzen können. Die HPI Schul-Cloud ist 2016 als Pilotprojekt gemeinsam mit MINT-EC, dem nationalen Excellence-Schulnetzwerk, gestartet und wurde als Antwort auf die Coronapandemie 2020 für alle Schulen deutschlandweit geöffnet.

Einige Bundesländer bieten ihren Schulen die Nutzung der vom Hasso-Plattner-Institut seit 2016 als Open-Source-Software entwickelten HPI-Schul-Cloud an. Neben einer Instanz, die das HPI selbst betreibt, gibt es eigene Instanzen in Brandenburg, Niedersachsen und Thüringen. Einige Schulen nutzen die Plattform weil sie noch keine eigene Lösung haben, andere sehen sie als dauerhafte Lösung. Über die HPI-Schul-Cloud werden Videokonferenzen geführt sowie Aufgaben bearbeitet.

Insider-Tipp legt Datenleck offen

Wie so oft, ist in der Thüringer Schul-Cloud bei der Konfigurierung eine schwere Panne passiert. Die c't-Redaktion wurde im Februar 2021 von einem Hinweisgeber auf diverse Sicherheitsprobleme in der Thüringer Schul-Cloud aufmerksam gemacht. Normalerweise haben Lehrer und Schüler nur über nicht öffentliche Zugangsdaten Zugriff auf die Schul-Cloud. Das kann schon zu Problemen führen, wenn Teilnehmer diese Zugangsdaten weiter geben (ich hatte kürzlich im Beitrag Die Wahrheit hinter dem Zoom-Bombing auf diese Gefahr hingewiesen).

Aber im aktuellen Fall war es viel einfacher, das Problem war ein eingerichteter und dann vergessener Demo-Zugang. Nicht nur Lehrer und Schüler hätten sich mit ihren Zugangsdaten an der Schul-Cloud anmelden können. Über den vergessenen Demo-Account hätte jeder Zugriff erhalten. Wäre noch kein Beinbruch, wenn dort nur Demodaten abrufbar gewesen wären.

"Als besonders verhängnisvoll stellte sich zudem eine Unterseite heraus, auf der interne Links zu sensiblen Schuldateien für alle sichtbar waren", berichtet c't-Redakteur Jan Mahn. Es gab handschriftlich bewertete Tests, teils mit Namen und Noten, Klassen- und Lehrerlisten mit Kontaktdaten sowie ganze Bildschirmaufzeichnungen von virtuellen Unterrichtsstunden. Abgerundet wurde die Liste der Fundstücke durch diverse Videos: Schüler, die im heimischen Wohnzimmer Gedichte vortrugen und ihre Klasse grüßten sowie tanzende Schülerinnen in einem Video zur Verabschiedung ihrer Lehrerin. Mehr Details hat heise inzwischen in diesem Artikel veröffentlicht.

Diese Hintertür existierte auch in den Schul-Clouds anderer Bundesländer. Nach einem Hinweis der Reaktion reagierten die Betreiber sofort, das Hasso-Plattner-Institut schloss die Sicherheitslücken. "Dieser Fall zeigt, dass jeder, der eine Infrastruktur im Netz betreibt, sich hin und wieder die Zeit nehmen sollte, um selbst von außen einen Blick auf die eigenen Systeme zu werfen und zumindest die offensichtlichsten Schwachstellen aufzuspüren", rät Jan Mahn.

Wichtig sei auch eine gute Vorbereitung für den Fall der Fälle, meint Mahn. Wenn Techniker und Datenschutzbeauftragte das Grundgerüst für eine Meldung schon vorab ausgefüllt haben, ist die Wahrscheinlichkeit höher, dass man innerhalb der von der DSGVO geforderten 72 Stunden eine Meldung an den Landesdatenschützer zu Papier bringt, falls ein Datenleck offenbar wird.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.