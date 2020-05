Bild: imago images / Joko

Hasso-Plattner-Institut - HPI-Schul-Cloud weist schwere Sicherheitslücken auf

20.05.20 | 18:23 Uhr

Das ARD-Magazin Kontraste deckt schwere Sicherheitslücken bei der Schul-Cloud des Potsdamer Hasso-Plattner-Instituts auf. Die Cloud wird auch von Schulen in Berlin und Brandenburg genutzt. Von Sascha Adamek und Susanne Opalka

Es passierte beim Surfen auf den Seiten der HPI-Schul-Cloud, einer Website für Schüler und Lehrer des Potsdamer Hasso-Plattner-Instituts (HPI). Wir sahen uns auf den Seiten des Institutes um, weil dieses erneut eine millionenschwere Zuwendung vom Staat erhalten soll für die Entwicklung einer IT-Lerninfrastruktur.

Als wir auf der Webseite ganz unten das Wort "Status" anklicken, macht uns die Rubrik "Drumherum" neugierig - Klick. Jetzt öffnet sich das sogenannte "Ticketsystem". Hier können sich Nutzer der Cloud, ob Lehrer oder Schüler, an die Administratoren wenden, wenn es Probleme gibt. Und da wird es ernst: Wir entdecken die Vor- und Nachnamen von Schülern, auch Email-Adressen von Anwendern und Schulen. Daten von Kindern, Jugendlichen und Lehrern frei im Netz? Wie kann das sein? Denn eigentlich wirbt die HPI-Schul-Cloud damit, "unter Einhaltung der geltenden Datenschutzbestimmungen" zu funktionieren.

Wir bitten IT-Experten und Datenschützer, den Vorgang genauer zu analysieren. Sie bestätigen, dass unser Fund hochgradig besorgniserregend sei. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert kritisiert eine „ungenügende Absicherung des Ticketsystems, denn vertraulich geäußerte Probleme mit dem System und seiner Handhabung könnten an "unbefugte Dritte gelangen", so Weichert - und von Angreifern missbraucht werden.

Diese und weitere Sicherheitslücken listeten wir feinsäuberlich auf und konfrontierten das HPI bereits vergangenen Donnerstag in einer detaillierten Anfrage damit – auch um die Daten von Kindern vor kriminellen Zugriffen zu schützen. Doch statt zu antworten, geht das HPI Montagabend selbst an die Öffentlichkeit und vermeldet einen illegalen Hackerangriff.



Das HPI habe diese Datenschutz-Lücke sofort geschlossen, so HPI-Direktor Christoph Meinel - als gehe es um eine Erfolgsmeldung. Erst nach vier Tagen bestätigt HPI nun auch Kontraste gegenüber, "dass in den Tickets tatsächlich personenbezogene Informationen enthalten waren". Und: "Insofern bestand in den von Ihnen aufgezeigten Einzelfällen tatsächlich vorübergehend die Möglichkeit eines unbefugten Zugriffs auf personenbezogene Tickets durch Dritte." Das HPI bedauere diese Zugriffsmöglichkeit, die man sofort beendet habe.



Die Schul-Cloud ist ein politisches Renommierprojekt – besonders in Corona-Zeiten. Zurzeit existieren nach HPI-Angaben etwa 300 Schul-Cloud-Pilotprojekte. Das HPI wirbt ausdrücklich: "Wir sind speziell auf Schulen ausgerichtet und decken die datenschutzrechtlichen Anforderungen von Schulen ab!" Kontraste hat mit Hilfe diverser Fachleute weitere Sicherheitslücken entdeckt. So gelang es mit einer Einmal-Mail-Adresse, sich einen Account in der Schul-Cloud zuzulegen. Jetzt war es möglich, Namen der beteiligten Schulen in einem Bundesland einzusehen und - wenige Klicks weiter - sogar Namen angemeldeter Schüler und Schülerinnen. Und über einen ganz anderen Pfad gelangen wir mühelos an eine Liste von Schülernamen, die sich am Schul-Cloud-Chat beteiligen – mehrere Tausend Namen.

Das HPI bestätigt Kontraste, dass der "von Ihnen skizzierte Angriff tatsächlich durchgeführt werden" konnte. Man habe aber auch diese Schwachstelle geschlossen und sämtliche betroffenen Datenschutzbehörden und Schulen informiert. Man habe "Strafanzeige gegen Unbekannt" wegen eines anderen Zugriffs auf Daten einer Schule im Saarland erstattet. Das HPI spricht bei diesem Fall von möglichem Ausspähen von Daten und Datenhehlerei. Das HPI argumentiert, der Zugriff auf Personendaten sei nur über öffentlich nicht zugängliche Registrierungslinks möglich gewesen. Die von uns zu Rate gezogenen Experten verwundert diese Aussage. Obwohl sie und auch Kontraste die genauen Umstände des angeblichen Hacks im Saarland nicht kennen, steht doch fest: Bei unseren Recherchen lagen die Daten stets offen und ungeschützt und selbst der Registrierungslink war öffentlich via Google abrufbar.

Rechtlich bedeutet Hacking aber nur einen Angriff auf geschützte Daten – nicht auf ungeschützte. Das HPI wiederum beharrt auch auf Nachfrage: die Registrierungs-Links seien vom HPI ausschließlich den Schulen für den internen Gebrauch überlassen worden, eine sonstige Nutzung durch Dritte somit rechtswidrig.



Der Jurist Thilo Weichert hält die HPI-Argumentation hingegen für "unverschämt", denn, wenn Daten nicht ausreichend geschützt würden, könne man gar nicht von einem rechtswidrigen Zugriff sprechen. "Die schlechte Absicherung des Systems" bei der HPI-Schul-Cloud sei unzulässig, so Weichert.



Der Datenschutzexperte spricht von einem "absolut unsicheren und offensichtlich inkompetent gemanagten“ Cloud-Angebot für Schulen in Deutschland. Es sei "absolut inakzeptabel und in gravierender Weise rechtswidrig", wie einfach es möglich sei, von jedem Netzrechner aus in das System einzudringen und die "Daten der Schulen einschließlich der Angaben zu den Schülerinnen und Schülern auszuspionieren".

Der Direktor des HPI, Christoph Meinel, weist diese Kritik zurück: "Systemische Sicherheitslücken sehen wir nicht, uns ist jedoch bewusst, dass es nahezu unmöglich ist, eine komplexe Software beweisbar ohne Sicherheitslücken zu implementieren und zu betreiben." Und: "Unser Informationssicherheitsmanagementsystem ist noch jung und insbesondere in einem so rapide wachsenden, agilen Team können menschliche Fehler nicht ausgeschlossen werden."



Diese Einschätzung ist auch aus anderen Gründen brisant: So fördert das Bundesministerium für Bildung und Forschung (BMBF) das Projekt seit 2016 mit gut sieben Millionen Euro bis 2021, um am Ende deutschlandweit für 44.000 Schulen eine IT-Lern-Infrastruktur anbieten zu können.

Auch interessant dpa/Annette Riedl Corona-Krise - Berliner Senat plant Sommerschulen für benachteiligte Kinder

Das Ministerium teilte Kontraste mit, man habe sich "nach Bekanntwerden der aktuellen Sicherheitsvorfälle" vom HPI "über die Vorfälle und Maßnahmen informieren lassen".



Die jüngste Ankündigung von Bildungsministerin Anja Karliczek (CDU), einer weiteren Zuwendung in Höhe eines zweistelligen Millionenbetrags für die Entwicklung der HPI-Cloud, hat die Bundestagsabgeordnete der Grünen, Ekin Deligöz alarmiert. Sie reagiert "schockiert" auf die Kontraste-Recherchen: Offenkundig habe auch das Forschungsministerium „nicht richtig hingeschaut und Zuwendungen in Millionenhöhe bewilligt, ohne den Datenschutz hinreichend geprüft zu haben."

Der Sprecher der Landesdatenschutzbehörde von Brandenburg, Sven Müller, teilte Kontraste mit, es könnten sich gleichwohl "im Quelltext dieses umfangreichen Projekts weitere Fehler befinden, die zu anderen Sicherheitslücken führen können." Das HPI unternehme daher umfangreiche Tests. Dieser Prozess sei aber "noch nicht abgeschlossen." Die Aufklärung dauere an. Erst danach werde man über "aufsichtsrechtliche Maßnahmen unserer Behörde gegenüber dem HPI" entscheiden. Auch der Gründer des Datenschutzvereins "Digitalcourage e.V.", der unter dem Pseudonym padeluun firmiert, reagiert auf die Kontraste-Recherche: "Dieses System muss durch die Aufsichtsbehörden abgeschaltet werden, bevor die sensiblen Daten von Schülern und Schülerinnen und Schülern in dunkle Kanäle umgeleitet werden."