Digitaler Unterricht Schwachstellen in der HPI Schul-Cloud entdeckt

Eine Cloudlösung des Hasso-Plattner-Instituts, die zahlreiche Schulen einsetzen, hatte bis vor Kurzem Datenschutz-Schwachstellen. Ein Hinweisgeber machte ein Tech-Magazin auf die Probleme aufmerksam.
Hasso-Plattner-Institut: Die HPI-Schul-Cloud wurde als nicht-kommerzielle Plattform entwickelt

Hasso-Plattner-Institut: Die HPI-Schul-Cloud wurde als nicht-kommerzielle Plattform entwickelt

Foto: Sascha Steinach / imago images

Das Hasso-Plattner-Institut (HPI) hat nach eigenen Angaben zwei Sicherheitslücken in der HPI Schul-Cloud geschlossen. Zuvor war die Redaktion der IT-Fachzeitschrift »c't« von einem Hinweisgeber auf die Probleme aufmerksam gemacht worden, die mit der Thüringer Schul-Cloud zusammenhängen. Die Lösung in Thüringen setzt auf der HPI-Plattform auf. Durch eine Schwachstelle im System hätten sich nicht nur Lehrer und Schüler anmelden können.

Im Detail geht es unter anderem um einen versehentlich nicht deaktivierten Demo-Account. Der Hinweisgeber – und damit prinzipiell auch jeder andere – habe sich mit dem Benutzernamen schueler@schul-cloud.org und über einen kleinen Umweg im Browser in der Thüringer Schul-Cloud anmelden können, berichtet die »c't«. Mithilfe des Demo-Accounts sei über eigentlich geheime Links ein Zugriff auf handschriftlich bewertete Tests und Übungsblätter möglich gewesen, heißt es, ebenso auf Klassen- und Lehrerlisten, auch mit Kontaktdaten. Auch Videos ließen sich auffinden.

Nachdem das HPI von »c't« mit den Problemen konfrontiert wurde, habe sich das Institut vorbildlich verhalten und die Lücken ausgebessert, schreibt die Computerzeitschrift. Das HPI selbst teilt mit, sein Technikteam habe beide Schwachstellen innerhalb einer Stunde schließen können. »Das HPI geht davon aus, dass die Sicherheitslücken vom Hinweisgeber lediglich zu Testzwecken ausgenutzt wurden«, schreibt es. »Nach derzeitigem Kenntnisstand ist kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt.« Die aus seiner Sicht möglichen Folgen eines Zugriffs über den Demo-Account skizziert das HPI in einem Blogpost.

Der Vorfall wurde gemeldet

Da zumindest der »c't«-Hinweisgeber Daten abgerufen habe, handele es sich um einen meldepflichtigen Vorfall in Thüringen, schreibt das HPI. »Der Landesdatenschützer von Thüringen wurde durch das HPI informiert, ebenso wie unsere Partner und die potenziell betroffenen Nutzer in der Thüringer Schul-Cloud«, erklärte Institutsdirektor Christoph Meinel. »Die HPI Schul-Cloud sowie alle ihre Instanzen sind weiter sicher und uneingeschränkt nutzbar.«

Bereits im Mai war eine Datenschutzlücke in der HPI-Plattform entdeckt und nach kurzer Zeit wieder geschlossen worden.

Die HPI-Schul-Cloud wurde vom Hasso-Plattner-Institut als nicht-kommerzielle Plattform entwickelt und vom Bundesbildungsministerium finanziell gefördert. Aktuell greifen mehr als eine Million Nutzerinnen und Nutzer auf die Plattform zu. Seit März 2020 hat sich die Nutzerzahl nach Angaben des HPI nahezu verdreißigfacht. Die Zahl der Schulen, die diese Schul-Cloud nutzen, liegt derzeit bei über 3700 und hat sich in diesem Zeitraum verzehnfacht.

mbö/dpa
Mehr lesen über
IT-Sicherheit Digitaler Unterricht Bildung