Schwere Sicherheitslücken bei HPI-Schulcloud
Archivmeldung vom 20.05.2020
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 20.05.2020 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch André OttDie Datenschutz-Lücken bei der Schul-Cloud des Potsdamer Hasso-Plattner-Institutes (HPI) waren weitaus größer als bislang bekannt. Wie das ARD-Politikmagazin Kontraste berichtet, war es Internetnutzern möglich, Tausende von Schülernamen, Email-Adressen von Schülern, Lehrern und Administratoren und sogar das Chatverhalten aus dem System zu entnehmen.
Die Cloud wird versuchsweise an 300 Bildungseinrichtungen in Deutschland genutzt - auch an mehreren Schulen in Brandenburg.Der ehemalige Leiter der Datenschutzbehörde von Schleswig-Holstein, Thilo Weichert, spricht von einem "absolut unsicheren und offensichtlich inkompetent gemanagten" Cloud-Angebot für Schulen in Deutschland. Es sei "absolut inakzeptabel und in gravierender Weise rechtswidrig", wie einfach es möglich sei, von jedem Netzrechner aus in das System einzudringen und die "Daten der Schulen einschließlich der Angaben zu den Schülerinnen und Schülern auszuspionieren."
Der Direktor des HPI, Christoph Meinel räumte Sicherheitslücken gegenüber Kontraste ein, wies aber die Kritik zurück: "Systemische Sicherheitslücken sehen wir nicht", man sei sich jedoch bewusst, dass es nahezu unmöglich sei, "eine komplexe Software beweisbar ohne Sicherheitslücken zu implementieren und zu betreiben." Bei dem noch jungen Informationssicherheitsmanagementsystem und einem rapide wachsenden Team könnten "menschliche Fehler nicht ausgeschlossen werden."
Der Sprecher der Landesdatenschutzbehörde von Brandenburg, Sven Müller, teilte Kontraste mit, es könnten sich gleichwohl "im Quelltext dieses umfangreichen Projekts weitere Fehler befinden, die zu anderen Sicherheitslücken führen können." Das HPI unternehme daher umfangreiche Tests. Dieser Prozess sei aber "noch nicht abgeschlossen." Die Aufklärung dauere an. Erst danach werde man über "aufsichtsrechtliche Maßnahmen unserer Behörde gegenüber dem HPI" entscheiden.
Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Entwicklungsprojekt des Hasso-Plattner-Instituts seit 2016 mit gut sieben Millionen Euro bis 2021, um am Ende für möglichst 44.000 Schulen eine IT-Lern-Infrastruktur zu bieten. Auf Kontraste-Anfrage teilte das Ministerium mit, man habe sich "nach Bekanntwerden der aktuellen Sicherheitsvorfälle" vom HPI "über die Vorfälle und Maßnahmen informieren lassen." Die Bundestagsabgeordnete der Grünen, Ekin Deligöz reagierte "schockiert" auf die Kontraste-Recherchen: Offenkundig habe auch das Forschungsministerium "nicht richtig hingeschaut und Zuwendungen in Millionenhöhe bewilligt, ohne den Datenschutz hinreichend geprüft zu haben."
Der Gründer des Datenschutzvereins "Digitalcourage e.V.", Padeluun forderte die Aufsichtsbehörden auf, dieses System abzuschalten, bevor "sensible Daten von Schülerinnen und Schülern in dunkle Kanäle umgeleitet werden." Bereits am Montag hatte sich HPI an die Öffentlichkeit gewandt und von einem angeblichen Hacking-Angriff berichtet. Die Sicherheitslücke sei allerdings geschlossen worden.
Quelle: Rundfunk Berlin-Brandenburg (rbb) (ots)