Die IServ-Schulplattform wirbt mit einer DSGVO-konformen Gesamtlösung für das pädagogische Netzwerk an Schulen und wird daher auch in diesem Bereich als vermeintlich sicher Lösung eingesetzt. Leider besitzt IServ eine Schwäche, wie gerade auf SecureList bekannt wurde. Man kann mit einem Namen prüfen, ob diese Person Schüler oder Schülerin einer bestimmten Schule ist, ohne angemeldet zu sein. Der Betreiber will dies aber nicht als Problem erkennen und nichts ändern. Hier ein kurzer Überblick, der Leser mit schulpflichtigen Kindern möglicherweise interessieren dürfte.
Was steckt hinter IServ?
Die IServ GmbH ist ein 2001 gestartetes Softwareunternehmen mit rund 185 Mitarbeitern in Braunschweig, Berlin und Essen. Kernprodukt ist die IServ-Schulplattform, ein System, um Schüler, Lehrkräfte, Eltern und Alumni online miteinander zu verbinden.
Inzwischen ist das Angebot auf eine Lösung mit über 55 Modulen, von Schulkommunikation (digitaler Stunden- und Vertretungsplan, digitales Klassenbuch, Kommunikation mit Eltern etc.) bis zum Netzwerk- und Gerätemanagement angewachsen. Der Anbieter wirbt mit einer DSGVO-konformen Gesamtlösung "für das pädagogische Netzwerk der Schule" aus der Cloud. Der Anbieter wirbt mit fast 6.300 Schulen, die IServ nutzen.
Bucht eine Schule dieses kostenpflichtige Angebot, sind Schüler und Eltern darauf angewiesen, die betreffenden Funktionen zu nutzen. Das Unternehmen rühmt sich auf seiner Webseite vom Bundeswirtschaftsministerium gefördert zu werden, führt ein TÜV-Siegel auf seiner Seite auf und wirbt mit einer Auszeichnung als Preisträger 2023. Liest sich alles sehr positiv und muss nicht schlecht sein.
IServ wirbt mit Sicherheit
Da Schüler und Schülerinnen, Eltern und Lehrkräfte eine Menge persönliche Daten in der Schulplattform ablegen, kommt der Sicherheit eine entscheidende Bedeutung zu. Auf der Webseite wirbt das Unternehmen mit einem Sicherheitskonzept, was den Schutz ihrer Schuldaten gewährleisten soll.
O-Ton: "Das können Sie durch das IServ-Sicherheitskonzept auch mit einem guten Gefühl machen. Es regelt von Verschlüsselungen über Updates, Backups bis zu Passwörtern alles genau so, dass Angreifer keine Chance haben." Als Betriebssystem setzt man auf Debian Linux, es gibt Passwort-Richtlinien und einen Schutz gegen Brutforce-Angriffe gegen Benutzerkonten. Klingt alles ganz gut, sieht wie eine runde Sache aus.
Kleiner Wehrmutstropfen: Bei der Suche bin ich auf einen Artikel von 2022 gestoßen, in dem von polizeilichen Durchsuchungen von Wohnungen die Rede ist. Es sollen im August 2021 hunderte Iserv-Konten gekapert und zum Versenden von Drohmails missbraucht worden sein. Es gibt also auch Schattenseiten und die Gefahr eines Missbrauchs.
Ein Post bei Securelists.org: IServ hat eine Schwäche
Blog-Leser Tomas Jakobs hat mich die Tage per Mail mit dem Betreff "IServ petzt Schülernamen" auf einen Post User Enumeration in IServ Schoolserver Web Login vom 9. September 2025 auf Securelists.org hingewiesen (danke dafür). Auf der Plattform veröffentlichen Sicherheitsforscher entdeckte Sicherheitslücken.
Am 8. September 2025 ist jemandem aufgefallen, dass das Web-Frontend des IServ-Schul-Servers der IServ GmbH eine "Benutzeraufzählung" im weitesten Sinne ermöglicht. Gibt jemand den Namen einer Person an der IServ-Anmeldeseite einer Schule ein, und versucht er eine Anmeldung, ohne das Passwort zu kennen, schlägt diese Anmeldung natürlich fehl.
Noch ist also alles im grünen Bereich, da dieser Anmeldeversuch abgewiesen wird. Das Problem liegt darin, dass sich die Antworten dieser fehlgeschlagenen Anmeldeversuche unterscheiden, nachdem, ob das Benutzerkonto existiert oder nicht und hängt angeblich noch von anderen Bedingungen ab.
Der Finder dieses Sachverhalts schreibt, dass dies in vielen Anwendungen kein wirkliches Sicherheitsrisiko darstellt. Aber bei einer Software, die für Schulen entwickelt wurde, müsse dies als äußerst problematisch angesehen werden. Aufgrund der weit verbreiteten Nutzung von IServ in Deutschland wäre es möglich, anhand des Vor- und Nachnamens eines Kindes dessen Schule herauszufinden, sofern diese Schule IServ nutzt.
Ein Täter müsste also nur Namen von Schülerinnen und Schülern kennen (gibt es oft auf Social Media) und könnte per Script die Schulen in der Umgebung abklappern, ob diese IServ verwenden und ob beim Namen dann eine bestimmte Reaktion auf die IServ-Anmeldeseite erfolgt.
Der Entdecker skizziert besonders bemerkenswerte Bedrohungsszenarien wie die Aufzählung durch Täter häuslicher Gewalt, durch Gruppen, die sich mit Cybergrooming und Sextortion befassen (genannt wird das 764-Netzwerk), oder die gezielte Ausrichtung auf Kinder besonders exponierter Personen. Gut, in Zeiten von Social Media lassen sich Daten zu einer Person und der Schule, die diese besucht, vermutlich durch Internet-Recherchen herausfinden.
Zum Problem wird der obige Sachverhalt möglicherweise durch die Reaktion der IServ GmbH. Denn der Hersteller wurde kontaktiert und erklärte, dass er das Problem nicht als Sicherheitslücke interpretiere. Auch hinsichtlich des Datenschutzes und der Einhaltung der DSGVO bestehen beim Anbieter wohl keine Bedenken. Der Hersteller bestätigt laut dem Securelists-Post außerdem, dass eine Aufzählung auch über andere Schnittstellen möglich wäre und er nicht beabsichtigt, eine Korrektur bereitzustellen.
Auf Grund dieser Hersteller-Reaktion hat der Entdecker des Sachverhalts das Ganze auf securelists.org veröffentlicht. Im Hinblick auf den Kontext "Schule" und der skizzierten Szenarien stellt sich natürlich schon die Frage, ob die Reaktion der IServ GmbH klug war und ob sich das oben skizzierte Verhalten nicht abstellen lässt?
Anmerkung: Ich hatte die Presseabteilung der IServ GmbH am 14. September 2025 bezüglich einer Stellungnahme angefragt, habe aber bis zum 16.9.2025 nichts gehört und den Artikel veröffentlicht.
MVP: 2013 – 2016
Was war falsch an dem guten alten "Benutzername oder Passwort ungültig!" ?
Bin ich tatsächlich auf der Seite von IServ.
Welche Information soll ich denn da bitte ergattern können?
Der Artikel impliziert, dass ich mit dem Namen eines Schülers die Schule herausfinden kann die der Schüler besucht. Dem ist aber gar nicht so.
Ich kann nur herausfinden ob es auf der Schule ein Schüler mit dem Namen gibt. Bei Schülern mit seltenen Namen mag das dann vielleicht eine hohe Warscheinlichkeit sein, dass es die richtige Schule ist, bei Allerweltsnamen aber nicht.
Diese Funktion nennt sich meist "advanced feedback" und soll bei der Anmeldung helfen.
Es gibt seit Jahrzehnten etablierte Web-Standards und Rulesets für Web- und App- Entwickler, wie Anmeldedialoge und vor allem Fehlermeldungen zu gestalten sind, damit keine Rückschlüsse auf evt. bestehende Konten geschlossen werden kann.
Ganz offensichtlich sind diese Dir und den Verantworlichen bei iServ unbekannt. Schau mal nach, was OWASP ist und was die verschiedenen Regeln und Empfehlungen so sagen.
"Verify that the application does not return different error messages for authentication failures that allow an attacker to determine which part of the authentication data was incorrect."
Für mich ist das ein Offenbarungseid, dass niemand deren Software richtig auditiert zu haben scheint. Denn das ist eine Hauptabweichung, die einem hell rot sofort ins Auge fällt noch bevor man überhaupt tiefer auf API- oder Codeebene runtergeht.
Aber am meisten sauer macht mich die Ignoranz, das nicht als Fehler zu werten. Das lässt weitere Schlüsse zu, wie es insgesamt um die Anwendung(en) bestellt ist. Mit welchem Mindset da so gearbeitet wird.
Unprofessionelle Software-Klitschen machen genau sowas…
Ein Cloud-Anbieter im Jahr 2025, der diese Regeln ganz offensichtlich nicht kennt, und selbst bei Hinweis alles andere als professionell reagiert, das will man ganz bestimmt nicht in einer Software haben, die mit besonders schutzwürdigen Daten – der unserer Kinder – umgeht.
https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/03-Identity_Management_Testing/04-Testing_for_Account_Enumeration_and_Guessable_User_Account
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
Mal anders herum gefragt: wo ist das Problem, einfach das von Gustav erwähnte "Benutzername oder Passwort ungültig" umzusetzen? Ist vom Aufwand her keine große Sache. Und beim "advanced feedback" sind wir wieder bei Bequemlichkeit vor Sicherheit und impft der Jugend gleich die Bequemlichkeit ein. Der Benutzername bei iServ setzt sich für gewöhnlich aus vorname.nachname@… zusammen. Seinen Namen weiß man für gewöhnlich als junger Mensch.
Ruf mal anonym im Sekretariat einer Schule an und frag stumpf, ob Günter Born Schüler dieser Einrichtung ist. Dann muss die freundliche, aber bestimmte Antwort kommen, dass die darüber keine Auskunft geben dürfen. Gerade wenn die anrufende Person nicht glaubhaft machen kann, dass es einen berechtigten Grund (Jugendamt, Polizei usw.) gibt. Das macht die Abfrage aber.
Statt bei IServ zu klingeln, würde ich bei betroffenen Bildungseinrichtungen nachfragen. Die sind für den Datenschutz verantwortlich.
Das Problem: Du hast es da mit zwei Partnern "in Crime" zu tun. Die Schulen und Behörden, die es nicht besser können und wissen (und auch nicht besser wollen, weil Arbeit). Und einem offensichtlich unprofessionellen Anbieter, dem es im Grunde egal ist und der im Zweifel vertraglich oder per AGB sämtliche Verantwortung auf den Betreiber abgewälzt hat.
Bewegung in solche Systeme bekommst Du nur…
a) von außerhalb
b) mit Druck
Fazit: Landesdatenschutz Beauftragten oder Beauftragte, Politisch Verantwortliche Bürgermeister, Landräte, Ministerien. Oder de Öffentlichkeit und Medien.
Von Daher, Danke Dir Günter für die mediale Verbreitung hier.
"Statt bei IServ zu klingeln, würde ich bei betroffenen Bildungseinrichtungen nachfragen. Die sind für den Datenschutz verantwortlich." Nein, sind sie nicht. Für den Datenschutz eines Services ist der Serviceprovider zuständig, nicht der Nutzer.
Du nutzt doch einen Webbrowser – das der prinzipiell sicher ist, ist Verantwortung des Softwareanbieters. Wenn du selber die Sicherheit durch Handlungen gefährdest – dein Bier. Die grundsätzliche Datensicherheit liegt beim Anbieter.
Einfach mal die/den Datenschutzbeauftragte(n) der Schule sowie der Stadt/Kreis sowie ggf. vom zuständigen Ministerium des Bundeslandes anschreiben.
iServ wird in der Regel von der Schule selbst gehostet.
Das stimmt so nicht, es gibt da auch ein Cloudmodell
Deswegen stand da ja auch "in der Regel"!
Neben des Datenschutzaspekts macht man das auch aus Hackingschutz nicht.
Wenn ich schon mal weiß das ein x-beliebiger ausprobierter Username existiert, hat man schon einen Faktor weniger und braucht nur noch beim Passwort rum zu probieren.
Das Problem hier wird aber nicht eine Bruteforce-Attacke sein – da gehe ich mal davon aus, dass IServ da aware ist – das Problem wird bei unsicheren PAsswörtern bei den Kindenr und dne Lehrkräften liegen.
Leider steht in deutschen Lehrplänen zu wenig zu Medienkompetenz und Grundsätzen der Informatik…
+ Betr. "Ich kann nur herausfinden ob es auf der Schule ein Schüler mit dem Namen gibt.":
Und damit sind wir ganz schnell bei den Angriffsmethoden "Gather Victim Identity Information" (1) und "Account Discovery" (2) und deren Umfeld. 'Wehret den Anfängen' könnte man sagen.
+ Betr. "ob es auf der Schule ein Schüler mit dem Namen gibt.":
Am Rande und weil es um Schule geht und häufiger falsch zu lesen ist: Die Deklination von "ein" in den Akkusativ maskulin lautet "einen", also richtig "einen Schüler mit dem Namen gibt".
Ein bisschen Nachsicht muss man aber haben. Ausweislich (3) muss IServ sich erst noch nach ISO/IEC 27001 zertifizieren lassen. Auch von Zertifizierungen der Kategorie ICS 35.030 ist noch nichts zu entdecken.
_
(1) https://attack.mitre.org/techniques/T1589/
(2) https://attack.mitre.org/techniques/T1087/
(3) 0 Ergebnisse: https://iserv.de/suche?query=27001&index=GlobalIndex
(4) https://www.iso.org/ics/35.030/x/
iServ ist eine grottige Lösung, in die man als Schüler/Elternteil ungefragt von den Schulen reingestopft wird und absolut keine Kontrolle über seine eigenen Daten hat.
Eigenes Konto-Löschen, Fehlanzeige. 2 Jahre nach ABGANG AUS DER SCHULE hat es gedauert, bis unsere Konten auf mehrfache Aufforderung "deaktiviert" (nicht gelöscht) wurden.
Zusätzlich gab es immer wieder Serien-Mails mit klar lesbaren Empfängern im CC (BCC ist wohl unbekannt). Und wehe, da hat jemand auf die Mail geantwortet, da wurde mehrfach kaskadiert.
Mit iServ verbinde ich NUR Frust.
da gib es wesentlich schlechtere Schul-Platform Systeme, iServ haben wir schon als Fortschritt empfunden.
Betr. "Eigenes Konto-Löschen, Fehlanzeige. 2 Jahre nach ABGANG AUS DER SCHULE hat es gedauert, bis unsere Konten auf mehrfache Aufforderung "deaktiviert" (nicht gelöscht) wurden.":
Ach Du Schande. Sieht man das dann noch vor dem Hintergrund von (1) lässt man jegliche Hoffnung fahren.
–
(1) https://www.zeit.de/news/2022-02/11/durchsuchungen-wegen-missbrauch-von-digitaler-lernplattform
Zumindestens die beiden Gymmis meiner Kids verwenden kein iSeserv, sondern das Schulportal Hessen. Das scheint nicht identisch zu sein. Als Eltern kann man sich dabei auch anmelden. Was aber dabei auffällt, auch bei iServ-Schulen: Es wird offentlichtlich keine 2FA Anmeldung unterstützt. Andererseits, wie auch, wenn in Hessen die Nutzung von Smartphones an Schulen nicht erlaubt ist?
Das sind potentielle Folgen dieser Sicherheitslücke:
https://www.heise.de/meinung/Wegen-Handyverbots-Schulen-schaffen-2-Faktor-Authentifizierung-ab-10644786.html
https://hilfe.iserv.de/das-iserv-konto-mit-2fa-schuetzen
2FA ohne Handy geht schon (zumindest wenn es TOTP ist)
https://www.reiner-sct.com/produkt/reiner-sct-authenticator/
für was benötigt man eine digitalisierte Schule, wenn 20% und mehr des Nachwuchses kaum simple Texte lesen oder gar verstehen können? Sind hohe 2-3 stellige Millionenbeträge dann gerechtfertigt? Vor allem, wenn wie in BW gleich 30 Mio in ein nicht taugliches Portal versenkt werden? Jahrelanges Gebastel, go live, immediately dead.
Steuergeld in den Rachen der Dienstleister (also mir), auf der anderen Seite kein Geld mehr, um sprachferne Bildungsschichten auf ein Mindestniveau zu heben.
Man könnte sich jetzt auch um die 80% kümmern…? Aber gerne mal das eine mit dem anderen vermischen, um Seine Sicht der Dinger 'rüberzubringen… Dabei war die Hälfte des Arguments doch OK, könnte man es nicht dabei belassen?
Bei uns wurde vor ein paar Tagen ein Update in IServ eingespielt, welches wohl schiefgelaufen ist. In der Folge wurden den Elternaccounts teilweise weitere Kinder zugeordnet. Für diese Kinder waren dann z.B. auch Elternbriefe einsehbar. Ob man fremde Kinder hätte krankmelden können, habe ich nicht probiert.
Da fragt man sich schon, wie sowas passieren kann, ein Ändern von Zuordnungen in Daten bei simplen Updates ist ein SuperGAU.
Also wenn fremde Personen personenbezogenen Daten einsehen können, die nicht für sie bestimmt waren, sollte der Datenschutzbeauftragte der Schule oder IServ selbst mal schleunigst die Hacken in den Teer hauen und die Behörden informieren…
Inklusive Information der betroffenen Personen über Art und Inhalt des Datenabflusses.
"In der Folge wurden den Elternaccounts teilweise weitere Kinder zugeordnet."
Dann sehen doch die Eltern Mitteilungen der Schule an die Eltern der anderen Kinder für die sie keine Rechte haben sollten, oder?
Wenn das nur allgemeine Informationen waren, natürlich nicht. Dann ist es nur peinlich.
Was passiert, wenn die Eltern der Nutzung nicht zustimmen, muss das Kind dann auf eine andere Schule ohne dies Plattform wechseln?
Nach meiner Kenntnis, nein.
Eltern können widersprechen mit der Konsequenz, dass dann alle Geräte, die mit IServ angebunden sind (und das ist in der Regel das gesamte pädagogische Netzwerk außer den iPads), oder die Weboberfläche und alle Kommunikationsmöglichkeiten (Chat, E-Mail usw) für das Kind tabu sind. Es bekommt dann schlicht in IServ kein Konto oder wenn es automatisch angelegt wurde, wird es gesperrt.
Anschließend muss sich die Schule überlegen, wie sie das Kind in der Zeit, in der andere an Rechnern arbeiten, anders beschult und wie die analogen Prozesse beispielsweise bezüglich Elternkommunikation aussehen müssen. Wobei es letztere ja noch gibt. Das ist weniger das Problem.
Was das mit deinem Kind macht, steht auf einem anderen Blatt. Das Leben als Einzelkämpfer mag ruhmreich sein, einfach ist es aber in keinem Fall. Auch weil du den Lehrenden zusätzliche Arbeit machst…
Außer "gesülzte" ist für mich kein wirklicher Wille ersichtlich das zu beheben.
https://iserv.de/aktuelles/stellungnahme-sicherheitsbedenken-zur-iserv-schulplattform
Unverständlich warum die das nicht einfach fixen und gut ist. Der hohe Marktanteil in Deutschland bedeutet ja nicht automatisch das IServ keine Fehler macht. Man kann sich die Reputation auch mit solchen, technisch banalen Dingen, kaputt machen.
von der iServ-Webseite:
+++ Update vom 24.09.2025 +++
Auf der Nacht vom 23.09. auf den 24.09.2025 wurde automatisch ein Sicherheitsupdate auf allen IServ Schulplattformen installiert. Die Fehlermeldungen beim Login wurden vereinheitlicht, sodass die Möglichkeit einer User-Enumeration über die Anmeldemaske nicht mehr besteht.
+++
Purer Wahnsinn, dass das überhaupt möglich war, welche Klitsche hat das verbrochen… muss man leider mal so ganz direkt und offen fragen.
Als kleine Ergänzung zum Abschnitt mit dem gefundenen Artikel zu den gestohlenen iServ Accounts hier noch ein Artikel von Golem zum gleichen Vorfall:
"Nach bisherigem Ermittlungsstand ist deutlich geworden, dass der Server der Schulplattform Iserv nicht die IT-Schwachstelle darstellte,"heißt es von der Polizei."
https://www.golem.de/news/polizei-vier-durchsuchungen-wegen-missbrauch-von-lernplattform-2202-163129.html
manche setzen iserv auch selbst auf, dann müsste man ja alle Instanzen abcrawlen, und die user Namen sind ja nicht immer die Namen der kinder, das sollten ja email Adressen sein die die kinder selbst definieren, bzw müsste keinen Rückschluss auf den Namen zulassen.
http://kreuzberg-csg.de