Hauptgebäude des Hasso-Plattner-Instituts in Potsdam (Bild: imago images / Joko)
Bild: imago images / Joko

Hasso-Plattner-Institut - HPI-Schul-Cloud wies schwere Sicherheitslücken auf

Das ARD-Magazin Kontraste deckt schwere Sicherheitslücken bei der Schul-Cloud des Potsdamer Hasso-Plattner-Instituts auf. Die Cloud wird auch von Schulen in Berlin und Brandenburg genutzt. Von Sascha Adamek und Susanne Opalka

Es passierte beim Surfen auf den Seiten der HPI-Schul-Cloud, einer Website für Schüler und Lehrer des Potsdamer Hasso-Plattner-Instituts (HPI). Wir sahen uns mit dem ersten Klick das Pilotprojekt des Institutes an, weil dieses erneut eine millionenschwere Zuwendung vom Staat erhalten soll für die Entwicklung einer IT-Lerninfrastruktur.

Als wir auf der Webseite ganz unten das Wort "Status" anklicken, macht uns die Rubrik "Drumherum" neugierig - Klick. Jetzt öffnet sich das sogenannte "Ticketsystem". Hier können sich Nutzer der Cloud, ob Lehrer oder Schüler, an die Administratoren wenden, wenn es Probleme gibt. Und da wird es ernst: Wir entdecken die Vor- und Nachnamen von Schülern, auch Email-Adressen von Anwendern und Schulen. Daten von Kindern, Jugendlichen und Lehrern frei im Netz? Wie kann das sein? Denn eigentlich wirbt die HPI-Schul-Cloud damit, "unter Einhaltung der geltenden Datenschutzbestimmungen" zu entwickeln.

Wir bitten IT-Experten und Datenschützer, den Vorgang genauer zu analysieren. Sie bestätigen, dass unser Fund hochgradig besorgniserregend sei. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert kritisiert eine „ungenügende Absicherung des Ticketsystems, denn vertraulich geäußerte Probleme mit dem System und seiner Handhabung könnten an "unbefugte Dritte gelangen", so Weichert - und von Angreifern missbraucht werden.

Diese und weitere Sicherheitslücken listeten wir feinsäuberlich auf und konfrontierten das HPI bereits vergangenen Donnerstag in einer detaillierten Anfrage damit – auch um die Daten von Kindern vor kriminellen Zugriffen zu schützen. Doch statt zu antworten, geht das HPI Montagabend selbst an die Öffentlichkeit und vermeldet einen illegalen Hackerangriff.

Das HPI habe diese Datenschutz-Lücke sofort geschlossen, so HPI-Direktor Christoph Meinel - als gehe es um eine Erfolgsmeldung. Erst nach vier Tagen bestätigt HPI nun auch Kontraste gegenüber, "dass in den Tickets tatsächlich personenbezogene Informationen enthalten waren". Und: "Insofern bestand in den von Ihnen aufgezeigten Einzelfällen tatsächlich vorübergehend die Möglichkeit eines unbefugten Zugriffs auf personenbezogene Tickets durch Dritte." Das HPI bedauere diese Zugriffsmöglichkeit, die man sofort beendet habe.

Die Schul-Cloud ist ein politisches Renommierprojekt – besonders in Corona-Zeiten. Zurzeit existieren nach HPI-Angaben etwa 300 Schul-Cloud-Pilotprojekte. Das HPI wirbt ausdrücklich: "Wir sind speziell auf Schulen ausgerichtet und decken die datenschutzrechtlichen Anforderungen von Schulen ab!"  

Kontraste hat mit Hilfe diverser Fachleute weitere Sicherheitslücken entdeckt. So gelang es mit einer Einmal-Mail-Adresse, sich einen Account in der Schul-Cloud zuzulegen. Jetzt war es möglich, Namen der beteiligten Schulen in einem Bundesland einzusehen und - wenige Klicks weiter - sogar Namen angemeldeter Schüler und Schülerinnen. Und über einen ganz anderen Pfad gelangen wir mühelos an eine Liste von Schülernamen, die sich am Schul-Cloud-Chat beteiligen – mehrere Tausend Namen.

Das HPI bestätigt Kontraste, dass der "von Ihnen skizzierte Angriff tatsächlich durchgeführt werden" konnte. Man habe aber auch diese Schwachstelle geschlossen und sämtliche betroffenen Datenschutzbehörden und Schulen informiert. Man habe "Strafanzeige gegen Unbekannt" wegen eines anderen Zugriffs auf Daten einer Schule im Saarland erstattet. Das HPI spricht bei diesem Fall von möglichem Ausspähen von Daten und Datenhehlerei.

Das HPI argumentiert, der Zugriff auf Personendaten sei nur über öffentlich nicht zugängliche Registrierungslinks möglich gewesen. Die von uns zu Rate gezogenen Experten verwundert diese Aussage. Obwohl sie und auch Kontraste die genauen Umstände des angeblichen Hacks im Saarland nicht kennen, steht doch fest: Bei unseren Recherchen lagen die Daten stets offen und ungeschützt und selbst der Registrierungslink war öffentlich via Google abrufbar.

Rechtlich bedeutet Hacking aber nur einen Angriff auf geschützte Daten – nicht auf ungeschützte. Das HPI wiederum beharrt auch auf Nachfrage: die Registrierungs-Links seien vom HPI ausschließlich den Schulen für den internen Gebrauch überlassen worden, eine sonstige Nutzung durch Dritte somit rechtswidrig.

Der Jurist Thilo Weichert hält die  HPI-Argumentation hingegen für "unverschämt", denn, wenn Daten nicht ausreichend geschützt würden, könne man gar nicht von einem rechtswidrigen Zugriff sprechen. "Die schlechte Absicherung des Systems" bei der HPI-Schul-Cloud sei unzulässig, so Weichert.

Der Datenschutzexperte spricht von einem "absolut unsicheren und offensichtlich inkompetent gemanagten“ Cloud-Angebot für Schulen in Deutschland. Es sei "absolut inakzeptabel und in gravierender Weise rechtswidrig", wie einfach es möglich sei, von jedem Netzrechner aus in das System einzudringen und die "Daten der Schulen einschließlich der Angaben zu den Schülerinnen und Schülern auszuspionieren".

Der Direktor des HPI, Christoph Meinel, weist diese Kritik zurück: "Systemische Sicherheitslücken sehen wir nicht, uns ist jedoch bewusst, dass es nahezu unmöglich ist, eine komplexe Software beweisbar ohne Sicherheitslücken zu implementieren und zu betreiben." Und: "Unser Informationssicherheitsmanagementsystem ist noch jung und insbesondere in einem so rapide wachsenden, agilen Team können menschliche Fehler nicht ausgeschlossen werden."

Diese Einschätzung ist auch aus anderen Gründen brisant: So fördert das Bundesministerium für Bildung und Forschung (BMBF) das Projekt seit 2016 mit gut sieben Millionen Euro bis 2021, um am Ende für deutschlandweit 44.000 Schulen eine IT-Lern-Infrastruktur anbieten zu können.

Das Ministerium teilte Kontraste mit, man habe sich "nach Bekanntwerden der aktuellen Sicherheitsvorfälle" vom HPI "über die Vorfälle und Maßnahmen informieren lassen".

Die jüngste Ankündigung von Bildungsministerin Anja Karliczek (CDU),  einer weiteren Zuwendung in Höhe eines zweistelligen Millionenbetrags für die Entwicklung der HPI-Cloud, hat die Bundestagsabgeordnete der Grünen, Ekin Deligöz alarmiert. Sie reagiert "schockiert" auf die Kontraste-Recherchen: Offenkundig habe auch das Forschungsministerium „nicht richtig hingeschaut und Zuwendungen in Millionenhöhe bewilligt, ohne den Datenschutz hinreichend geprüft zu haben."

Der Sprecher der Landesdatenschutzbehörde von Brandenburg, Sven Müller, teilte Kontraste mit, es könnten sich gleichwohl "im Quelltext dieses umfangreichen Projekts  weitere Fehler befinden, die zu anderen Sicherheitslücken führen können." Das HPI unternehme daher umfangreiche Tests. Dieser Prozess sei aber "noch nicht abgeschlossen." Die Aufklärung dauere an. Erst danach werde man über "aufsichtsrechtliche Maßnahmen unserer Behörde gegenüber dem HPI" entscheiden.

Auch der Gründer des Datenschutzvereins "Digitalcourage e.V.", der unter dem Pseudonym padeluun firmiert,  reagiert auf die Kontraste-Recherche: "Dieses System muss durch die Aufsichtsbehörden abgeschaltet werden, bevor die sensiblen Daten von Schülern und Schülerinnen und Schülern in dunkle Kanäle umgeleitet werden."

Beitrag von Sascha Adamek und Susanne Opalka

Kommentar

Bitte füllen Sie die Felder aus, um eine Antwort zu verfassen.

Antwort auf [Paul] vom 25.05.2020 um 09:49
Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

7 Kommentare

  1. 7.

    Ich habe gerade nachgelesen, das ist doch ein BMBF Projekt und kein "staatlichen Millionen geförderten System" und die zusätzlichen Gelder sind für den kostenlosen Zugang. Daher vermutlich für die Infastruktur, Support etc..
    Die Geldsummen die für das Projekt und die Öffnung im Internet zu finden sind, ist so gering das ich mich frage wie man es damit schafft eine Cloud zu betreiben und gleichzeitig noch eine Bildungssoftware zu entwickeln.

    Wenn man sich anschaut wie stark die Wirtschaft inzwischen den Eltern von Schülern das Geld aus der Tasche ziehen, ist eine kostenlose Bereitstellung durch den Staat schon fast etwas einmaliges und sollte dringend viel umfangreicher stattfinden.

    Ich denke hier werden Informationen wie üblich einfach durcheinander geworfen, ohne selbst nach zu prüfen.

  2. 6.

    Tja, 100 Mille in Berater für das Kriegsministerium ist okay aber Geld für die Verbesserung der digitalen Bildung muss besonders gerechtfertigt werden? Jede Bemühung den digitalen Wandel in Schulen voranzutreiben muss unterstützt werden. Wir haben es so nötig. Datenschutz in den Schulen sollten sich mal jetzt ohne die Schul-cloud anschauen.... Der Fall wirft nicht zurück sondern stärkt den Datenschutz in der Schul-cloud. Nicht motzen hilft, sondern mithelfen....

  3. 5.

    @Rbb-24-nutzer: "Hochkriminell" ist nicht das HPI, sondern die Reporter, die sich in die Schulcloud eingehackt haben, um daraus eine Story zu machen.

  4. 4.

    Mitarbeitende im Jugendamt stehen regelmäßig mit einem Bein im Gefängnis, weil sie stets geradeso sicherstellen können, den empfindlichen Sozialdatenschutz, wie er auch bei Schulen im Umgang mit den Daten der Schüler*innen umzusetzen ist, zu gewährleisten. Was das HPI hier macht, ist hochkriminell und keine Lappalie, die irgendwann einmal disziplinarische Alibi-Strafen nach sich ziehen sollte. Datenschutz ist nicht veräußerbar, auch nicht zu Corona-Zeiten.

    Ebenso rechtswidrig hat das Forschungsministerium gehandelt. Es mutet wie Vorteilsnahme bzw. Korruption an. Es sollte nachgehakt werden, in welchen personellen Verbindungen Forschungsministerium und HPI konkret stehen.

    Der Apfel fällt nicht weit vom Stamm. SAP verkauft ja auch ganze Rechenzentren zur Massenüberwachung von Bevölkerung an Diktaturen.

    Ferner sollte es jeder privatwirtschafltichen Organisation untersagt werden, sich Institut zu nennen. Ein Institut ist weisungsgebunden und der Gubernative unterstellt.

  5. 3.

    Weil es nicht sein kann, dass in einem mit staatlichen Millionen geförderten System, über dessen Verwendung der Einzelne nicht entscheiden kann, persönliche Daten öffentlich zugänglich sind. Warum posten Sie denn Ihren Kommentar hier nicht mit vollem Namen, Adresse und Telefonnummer?

  6. 2.

    Na und? Was sind schon 100 Namen, die man auf Facebook oder sonst wo im Internet finden kann, gegen die Möglichkeit, dass niemand in Coronazeiten auf physische Präsenz in der Schule angewiesen ist. Fehler passieren, besonders wenn Projekte so extrem schnell wachsen.

  7. 1.

    "erneut eine millionenschwere Zuwendung vom Staat erhalten soll" - das Geld wäre bei den staatlichen Hochschulen langfristig besser angelegt - mit öffentlich-private Partnerschaften wurden & werden Gewinne auf Kosten der Allgemeinheit privatisiert.

Das könnte Sie auch interessieren

Symbolbild: Eine Frau singt zu hause (Quelle: imago images)
imago images

Der Absacker - Auf Fliesen und Dielen, die die Welt bedeuten

Zwar ist viel Normalität wieder eingekehrt, das kulturelle Leben leidet aber unter Corona nach wie vor. Haluka Maier-Borst macht sich Gedanken um sein eigenes Kulturkonzept – für zu Hause und die Szene, die es gerade nicht leicht hat.