# taz.de -- Datenleck bei Lern-App Scoolio: Lernen mit Lücken
       
       > Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000
       > Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal.
       
 (IMG) Bild: Kein Bock auf analog: Lern-Apps sind beliebt
       
       Es knirscht hier und da, aber mit kleinen Schritten schafft es die
       [1][Digitalisierung, Einzug in das deutsche Schulsystem] zu erhalten. Immer
       mehr Kinder und Jugendliche nutzen Lern-Apps, sei es privat oder direkt im
       Unterricht. Diese Entwicklung führt auch dazu, dass immer mehr
       personenbezogene Daten der Kinder im Netz landen – und immer wieder
       schaffen es Entwickler:innen nicht, diese Daten zu schützen.
       
       Da stellen sich gleich zwei Fragen: Wie kann es sein, dass Apps beim Thema
       Datensicherheit oft noch so hinterherhängen und nicht regelmäßig auf Fehler
       überprüft werden? Und wieso speisen Kinder und Jugendliche überhaupt so
       viele Daten in diese Apps ein?
       
       Über die Smartphone-App Scoolio können [2][Schüler:innen ihren
       Stundenplan, Noten sowie Hausaufgaben organisieren] und sich mit
       Mitschüler:innen im Chat austauschen. Zudem bietet die App
       Informationen zur Berufs- und Ausbildungsorientierung. Sie wurde von einem
       Entwicklerteam aus Dresden gegründet, mittlerweile hat der
       Technologiegründerfonds Sachsen in Scoolio investiert – mit öffentlichem
       Geld aus Sachsen und der EU.
       
       Nun wurde bekannt, dass wegen einer Sicherheitslücke Nicknames,
       E-Mail-Adressen, Geburtsdaten und auch der Standort von minderjährigen
       Schüler:innen von mindestens 400.000 Nutzer:innen abgerufen werden
       konnten. Bisher ist nicht bekannt, dass unbekannte Dritte diese Lücke
       ausgenutzt hätten, so die Entwickler.
       
       ## Sicherheitsexpertin Wittmann macht auf Lücke aufmerksam
       
       Aufmerksam auf die Datenlücke hatte [3][IT-Sicherheitsaktivistin Lilith
       Wittmann] gemacht. Sie und ihre Kolleg:innen vom IT-Sicherheitskollektiv
       zerforschung haben sie vor einigen Wochen dem Bundesamt für Sicherheit in
       der Informationstechnik und dem sächsischen Datenschutzbeauftragten
       gemeldet. Um zu verhindern, dass Dritte die Lücke ausnutzen, wurde das
       Problem erst jetzt öffentlich gemacht.
       
       Das Kollektiv konnte mit einfachsten Mitteln die Kommunikation zwischen der
       App und den Servern umleiten und somit Daten abfangen. „Dabei haben wir
       festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt
       waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten“,
       berichtete Wittmann gegenüber mdr Aktuell. Das Problem konnte erst nach
       mehr als 30 Tagen behoben werden.
       
       Ähnliche Probleme gab es im Frühjahr schon bei der Lern-App Anton.
       Informationen wie Vor- und Nachnamen von Schüler:innen, Lernfortschritte,
       Klassen- und Schulzugehörigkeit, Zeitpunkte der Logins waren öffentlich
       einsehbar. Betroffen waren Schüler:innen und Lehrer:innen aus ganz
       Deutschland und einigen anderen europäischen Ländern.
       
       Aufgefallen war die Schwachstelle bei einer Recherche von
       BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit
       anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar.
       Die Sicherheitslücke wurde nach Angaben des Anbieters geschlossen, wenige
       Stunden nachdem die Datenjournalisten ihn informiert hatten.
       
       Beide Fälle machen deutlich, dass es keinerlei staatliche Prüfung auf
       Sicherheitslücken gibt. Weder die Kultusministerien noch das
       Bundesbildungsministerium überprüft die Apps. Die sichere Ausgestaltung sei
       Aufgabe des Anbieters, sagte ein Ministeriumssprecher des bayerischen
       Kultusministeriums nach dem Datenleck bei der Anton-App. Im August wurde
       dann aber endlich gehandelt.
       
       [4][Die Länder haben das Projekt „eduCheck digital“ (EDCD)] für die
       Entwicklung eines gemeinsamen Prüfverfahrens für digitale Bildungsmedien
       auf den Weg gebracht. Für die Projektumsetzung wurde das Medieninstitut
       der Länder, das Institut für Film und Bild in Wissenschaft und Unterricht
       (FWU), beauftragt. Finanziert wird das Vorhaben mit Mitteln aus dem
       Digitalpakt Schule in Höhe von rund 2,5 Millionen Euro.
       
       Das Geld ist hier sicherlich richtig eingesetzt, gleichzeitig sollten sich
       Eltern ihrer Verantwortung bewusst sein und ihren Kindern einen bewussten
       [5][Umgang mit ihren Daten beibringen]. Warum sollten Schüler:innen auf
       einer Lern-App ihren Standort freigeben oder ihren Geburtstag nennen?
       Solange an anderer Stelle noch Missstände beseitigt werden müssen, gilt:
       Daten, die nicht da sind, können auch nicht wegkommen.
       
       27 Oct 2021
       
       ## LINKS
       
 (DIR) [1] /Digitalisierung-in-der-Schule/!5710243
 (DIR) [2] /Lernen-zu-Hause/!5669207
 (DIR) [3] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119
 (DIR) [4] https://www.lmz-bw.de/aktuelles/aktuelle-meldungen/detailseite/welche-software-darf-an-deutschen-schulen-eingesetzt-werden/
 (DIR) [5] /Datenschutz/!t5007513
       
       ## AUTOREN
       
 (DIR) Malaika Rivuzumwami
       
       ## TAGS
       
 (DIR) Schwerpunkt Überwachung
 (DIR) Datenschutz
 (DIR) Digitalisierung
 (DIR) Schule
 (DIR) Hacking
 (DIR) GNS
 (DIR) Schule
 (DIR) Schwerpunkt Urheberrecht
 (DIR) Kolumne Digital Naives
 (DIR) Kolumne Digital Naives
 (DIR) Schule und Corona
 (DIR) Verbraucherschutz
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Digitalisierung in Schulen: Von Bienen und Rechnern
       
       Computer sind nur Werkzeuge: Die Grundschule im schleswig-holsteinischen
       Hennstedt begleitet Kinder auf dem sicheren Weg ins Netz.
       
 (DIR) Datenschutzleck in Lübeck: Behördendaten bei Ebay
       
       Ein Laptop mit vertraulichen Mails landete versehentlich in einer
       Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt.
       
 (DIR) Überwachung mit Apple Airtags: Apple, hör die Signale
       
       Datenschützer:innen können noch so oft vor Sicherheitslücken warnen.
       Von den Unternehmen werden sie selten gehört.
       
 (DIR) Cybermobbing wegen Fortnite: Ratlose Eltern
       
       An französischen Schulen wurden gerade systematisch jüngere
       Schüler:innen gemobbt. Eltern aber sind noch dabei, den vorletzten Trend
       zu verstehen.
       
 (DIR) Digitalausbau in Deutschland: Neuland für Berliner Schulen
       
       Der Berliner Senat hat die drängenden Probleme erkannt und stattet Schulen
       mit mobilen WLAN-Routern aus. Das ist gelebter Pragmatismus in der
       Digitalwüste.
       
 (DIR) Digitales Lernen im Kinderzimmer: Vom Sofa in die Abofalle
       
       Der Staat will digitales Lernen fördern. Unternehmen freuen sich über den
       direkten Draht ins Kinderzimmer und nutzen das zuweilen aus.