· 

Einzigartig peinlich

Ausgerechnet die vom BMBF so hochgepriesene HPI-Schul-Cloud wies offenbar massive Sicherheitsmängel auf.

ES GIBT DA dieses alte Sprichwort vom Hochmut, der vor dem Fall kommt, und womöglich muss Christoph Meinel in diesen Tagen manchmal daran denken.

 

Vor genau einem Monat gab der Chef des Hasso-Plattner-Instituts (HPI) hier im Blog ein Interview, das vor Selbstbewusstsein nur so strotzte. Die von seinem Institut entwickelte und vom Bundesbildungsministerium mit Millionen geförderte HPI-Schul-Cloud sei das einzige Online-Lernportal, das "eine digitale Lernumgebung bereitstellt, die den Datenschutz der Schülerdaten voll gewährleistet und den Schulen zugleich die sichere Nutzung unterschiedlichster digitaler Lernsysteme ermöglicht", sagte Meinel – und brachte mit solchen Aussagen seine privaten Konkurrenten auf die Barrikaden, sprach er ihnen doch in einem Nebensatz die Konformität mit der Datenschutz-Grundverordnung ab. Am Ende musste Meinel laut Tagesspiegel Background eine vertragsstrafenbewährte Unterlassungserklärung abgegeben – und darf seine Behauptung der Einzigartigkeit seitdem nicht wiederholen.

 

Zu Recht, wie sich in den vergangenen Tagen zeigte. Denn jetzt wurde bekannt, dass ausgerechnet die angeblich so sichere HPI-Schul-Cloud gravierende Sicherheitslücken aufweist – auf die das HPI laut dem ARD-Magazin Kontraste offenbar unter anderem erst durch die Recherchen der Fernsehjournalisten aufmerksam wurde.

 

"Absolut inakzeptabel und
in gravierender Weise rechtswidrig"

 

Es sei zufällig geschehen, berichten die Journalisten. Beim Durchklicken der Cloud-Website seien sie auf Vor- und Nachnamen von Schülern gestoßen, auch auf E-Mail-Adressen von Anwendern und Schulen. Eingeschaltete IT-Experten und Datenschützer hätten den Fund als "hochgradig besorgniserregend" eingestuft. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, sagte laut Kontraste, es sei "absolut inakzeptabel und in gravierender Weise rechtswidrig", wie einfach es möglich sei, von jedem Netzrechner aus in das System einzudringen und die "Daten der Schulen einschließlich der Angaben zu den Schülerinnen und Schülern auszuspionieren".

 

Kontraste fragte beim HPI nach, doch noch bevor Meinel den Journalisten antwortete, vermeldete das Institut in einer Art Flucht nach vorn ein paar Tage später selbst einen "illegalen Hackerangriff", den man sofort pariert habe. "Wir wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal einen Account in der HPI-Schul-Cloudanzulegen", sagte Institutdirektor Meinel der Nachrichtenagentur dpa. Unberechtigte hätten sich über einen allgemeinen Einladungs-Link als vermeintliche Schulangehörige bei dem System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen können." Im Rahmen der weiteren Analyse habe das HPI insgesamt 13 Schulen identifizieren können, bei denen vermutlich unberechtigte Registrierungen stattgefunden hätten, vier davon seien Testschulen von Projektpartnern ohne Schülerdaten gewesen.

 

HPI-Chef Meinel erläuterte mir per Mail, einem "Angreifer" sei es gelungen, mittels Wegwerf-Mailadressen illegal Accounts in den 13 Schulen einzurichten. Dabei habe er einen schulweiten Registrierungslink-Mechanismus genutzt, der Schulen angeboten wurde, die über kein professionelles ID-Managementsystem verfügten, um die Schüler- und Lehrer-Accounts einzurichten, so Meinel. Damit er bei der Teams-Funktionalität einen Einladungsmechanismus nutzen können, bei dem laut HPI aus angezeigten Schüler- und Lehrernamen Teammitglieder ausgewählt werden können.  "Hier wurden Vorname-Nachname-Kombinationen einer Schule ausgelesen und anonym den Datenschutzbehörden zugespielt."

 

Aus dem Kontraste-Bericht habe das HPI-Sicherheitsteam "weiter herauslesen" können, "dass Angreifer Vorname-Name-Kombinationen auch beim Betreten des integrierten Chatsystems hätten auslesen können zusammen mit dem Zeitpunkt der erstmaligen Nutzung des Chatsystems." Alle dem HPI bekannt gewordenen Schwachstellen seien innerhalb weniger Stunden geschlossen worden, auch das bei Open-Source Systemen üblicherweise offene Ticketsystem. "Vorschriftsmäßig wurden die Landesdatenschützer, die betroffen Schulen und Nutzer informiert."

 

Das HPI war also eigener Darstellung zufolge schon vor der Kontraste-Anfrage von dem Sicherheitsproblem informiert. Die Darstellung mit dem "Hackerangriff" ist jedoch aus Sicht der ARD-Journalisten fragwürdig, da das Wort ein mutwilliges Durchbrechen von Sicherheitssystemen suggeriere, um an geschützte Daten zu gelangen – dabei hätten die Daten zumindest während ihrer Recherchen die ganze Zeit über offengelegen. Außerdem habe man mit Hilfe diverser Fachleute weitere Sicherheitslücken ausmachen können: Das HPI bestätigte Kontraste daraufhin, dass der "von Ihnen skizzierte Angriff tatsächlich" habe durchgeführt werden können.

 

HPI-Chef Meinel wirft den ARD-Journalisten nun seinerseits vor, Kontraste habe "uns zugunsten einer vermeintlich guten Story nicht bzw. zeitverzögert nur sehr unzureichend über ihre Erkenntnisse informiert. Nicht nur in der Open-Source Community gilt das zumindest als unethisch." Entwickler eines Systems würden als erste über aufgefundene Schwachstellen informiert, damit sie diese schließen können.

 

Die FAZ berichtet, Tausende von Schülernamen, E-Mail-Adressen von Schülern, Lehrern und Administratoren, selbst das Chatverhalten seien den Systemen zu entnehmen gewesen. Dass ein verdächtiger Nutzer wie von Meinel bestätigt als Schüler registriert, über das Portal "Teams" Nutzer eingeladen und sich so Zugang zu Nutzerlisten verschafft habe, sei wiederum nicht sonderlich schwierig gewesen, da in fast allen Fällen die Identifikationsnummern der jeweiligen Schulen leicht zugänglich, teilweise sogar öffentlich sei. Meinel hingegen widerspricht der Berichterstattung, dass "Tausende" Namen, E-Mail-Adresse und sogar das Chat-Verhalten der Cloud zu entnehmen gewesen seien. "Tatsächlich waren im offenen Ticketsystem nur bei ganz wenigen Tickets Absender-E-Mail-Adressen enthalten."

 

Ohne weiter in die technischen Details einzusteigen und den Ablauf und Zusammenhang der Zwischenfälle im Einzelnen klären zu müssen, steht doch eines fest: Peinlicher geht es aus Sicht der HPI-Leute kaum noch: Sich großspurig als Datenschutz-Marktführer loben und dann mit Sicherheitsschwächen Schlagzeilen machen, die von keinem der angeblich so unsicheren Konkurrenten auch nur in Ansätzen bekannt sind. 

 

HPI sieht keine
"systemischen Sicherheitslücken"

 

Peinlich ist die Angelegenheit auch für Anja Karliczek (CDU), deren Bundesbildungsministerium den Aufbau der Cloud bis 2021 mit mehr als sieben Millionen fördert und, als die Coronakrise zu Schulschließungen führte, weitere 15 Millionen bereitstellte, unter anderem um die HPI-Schul-Cloud über die Pilotschulen und -bundesländer hinaus für alle interessierten Schulen in allen Bundesländern zu öffnen. Schon damals stellten sich viele Fragen. Doch während HPI-Wettbewerber per offenem Brief die fortgesetzte Marktverzerrung kritisierten und beklagten, dass sich das HPI unter dem Deckmantel einer gemeinnützigen Stiftung einen unberechtigten Wettbewerbsvorteil verschaffe, sagte Karliczek noch vor zwei Wochen im Interview: "Wir haben die HPI-Schul-Cloud als Forschungs- und Innovationsprojekt aufgesetzt, bei dem uns unter anderem wichtig war, dass die in Deutschland geltenden Datenschutz-Standards konsequent eingehalten werden."

 

HPI-Chef Meinel sagte laut Kontraste zwar jetzt, sein Institut sehe keine "systemischen Sicherheitslücken" bei der Cloud, ansonsten aber klang er plötzlich ziemlich kleinlaut.  Man sei sich bewusst, "dass es nahezu unmöglich ist, eine komplexe Software beweisbar ohne Sicherheitslücken zu implementieren und zu betreiben." 

 

Ein bisschen mehr von dieser Bescheidenheit hätte Meinel womöglich schon in den vergangenen Monaten gut zu Gesicht gestanden, doch nun ist der Schaden bereits geschehen. Anders als versprochen verlief der Anschluss der Schulen in der Coronakrise zudem keineswegs rasant, und das Saarland hat seinen Schulen laut FAZ wegen der Datenschutz-Probleme die Nutzung der HPI-Schul-Cloud vorerst untersagt. Brandenburgs Datenschutzbeauftragter hatte sich schon im vergangenen Jahr ausgerechnet am sogenannten "Lernstore" der HPI-Schul-Cloud gestoßen, den Christoph Meinel immer als besondere Innovation darstellt. Kritisch sei, dass der Lernstore auf Anbieter von Bildungsinhalten weiterleite, die "jedoch nicht in jedem Fal selbst die datenschutzrechtlichen Anforderungen einhalten". Weshalb man das HPI aufgefordert habe, diese Praxis zu beenden, heißt es im 2019er Jahresbericht des Landesbeauftragten. 

 

Währenddessen teilte Mecklenburg-Vorpommern am Dienstag mit, sich für den HPI-Konkurrenten "itslearning" entschieden zu haben. "Das cloudbasierte, interaktive Lernmanagementsystem" werde allen Schulen sofort zur Verfügung gestellt, sagte SPD-Bildungsministerin Bettina Martin. "Itslearning" stammt übrigens aus Norwegen, war auch das Unternehmen, dass gegenüber Meinel die Unterlassungserklärung erwirkt hatte – und macht damit auf dem deutschen Schulmarkt weiteren Boden gut. Ganz ohne BMBF-Millionenförderung.

 

Dieser Artikel wurde am 23. Mai aktualisiert.



Sachsen will bald auch die älteren Schüler wieder jeden Tag in die Schule holen

Nachdem Sachsen Kitas und Grundschulen für alle Schüler und an allen Tagen geöffnet hat, bereitet sich der Freistaat auf die nächsten Öffnungsschritte vor, berichten Focus und Spiegel übereinstimmend. "Wir wollen, dass nach den Sommerferien der Unterricht auch an allen weiterführenden Schulen wieder normal läuft", sagte Ministerpräsident Michael Kretschmer (CDU) dem Focus. 

 

Bislang findet der Unterricht an weiterführenden Schulen auch in Sachsen im Wechsel zwischen Präsenz und Fernlernen statt. Kultusminister Christian Piwarz (CDU) hatte im Interview vergangene Woche hier im Blog erklärt, bei älteren Schülern könne die Lernzeit zu Hause grundsätzlich besser funktionieren kann, sie bräuchten aber auch zwischendurch die direkte Interaktion mit den Lehrern. "Meine Hoffnung ist, dass die unterschiedlichen Modelle, die sich jetzt entwickeln, am Ende doch eine deutlich höhere Frequenz als einmal pro Woche möglich machen."

 

Jetzt sagte Ministerpräsident Kretschmer, die Landesregierung arbeite an einer Lösung, um auch an den weiterführenden Schulen den Notbetrieb einzustellen und zu einem normalen Alltag zurückzukehren. Konkrete Überlegungen wollte Kretschmer laut Focus noch nicht nennen. Der CDU-Politiker sagte dem Magazin, Kitas und Schulen nähmen eine doppelte Schlüsselrolle für Eltern und Kinder ein und seien entscheidend, damit die Wirtschaft wieder anlaufe. Er wisse aus eigener Erfahrung, dass "Homeoffice und Kinder über längere Zeit nicht machbar" seien.

Die sächsische Entscheidung, die Kitas und Schulen vollständig zu öffnen, hatte im Freistaat und darüber hinaus heftige Diskussionen ausgelöst. Unterstützung erhielt die Position der Landesregierung zuletzt durch vier medizinischen Fachgesellschaften. In einer gemeinsamen Stellungnahme hatten sie dringend gefordert, Kitas, Kindergärten und Grundschulen möglichst zeitnah wieder zu öffnen.

 

"Dies ist auf Seiten der Kinder ohne massive Einschränkungen (zum Beispiel durch Kleinstgruppenbildung und Barriereschutzmaßnahmen wie Abstandswahrung und Maskentragen) möglich", schrieben die Deutsche Gesellschaft für Krankenhaushygiene, die Deutsche Gesellschaft für Pädiatrische Infektiologie, die Deutsche Akademie für Kinder- und Jugendmedizin und der Berufsverband der Kinder- und Jugendärzte in Deutschland.

 

Das sächsische Kultusministerium teilte am Freitag der Nachrichtenagentur dpa mit, dass etwa 95 Prozent der Grundschüler freiwillig in die Klassenräume zurückgekehrt seien. Nach einem Gerichtsentscheid hatte Sachsen die Schulbesuchspflicht zunächst bis zum 5. Juni ausgesetzt. 

 

Wer von den restlichen Schülernkrank zu Hause sei oder aus Angst vor einer Infektion zu Hause lerne, werde nicht erhoben, teilte eine Sprecherin mit. Insgesamt sei man nach den ersten Tagen Kita-Betrieb und Schulöffnung "vorsichtig positiv" gestimmt.



Kommentar schreiben

Kommentare: 0