Sicherheitslücke bei Schul-App Daten von 400.000 minderjährigen Scoolio-Nutzern im Netz

Die aus Dresden stammende Schul-App Scoolio hat die Daten ihrer Nutzer nicht richtig geschützt. Das ist der IT-Sicherheitsaktivistin Lilith Wittmann aufgefallen. Sie hat eine Sicherheitslücke gefunden, durch die zahlreiche Daten – E-Mail-Adressen, Geburtsdatum, Standort – von minderjährigen Schülerinnen und Schülern im Netz leicht mitzulesen waren. Mittlerweile ist die Lücke wieder geschlossen, aber das habe zu lang gedauert, kritisiert die Aktivistin.

Hände tippen an einem Laptop (Symbolbild)
Die Schul-App Scoolio hat die Daten ihrer Nutzer nicht richtig geschützt, die Sicherheitslücke mittlerweile aber behoben. Bildrechte: IMAGO / STPP

Lilith Wittmann ist nicht zum ersten Mal empört darüber, wie wenig personenbezogene Daten mitunter geschützt sind. Die IT-Sicherheitsaktivistin bezeichnet sich auch schon einmal als Krawall-Influencerin und hat bereits Lücken in der CDU-Wahlkampf-App, in der Videosoftware für bayerische Schulen und auch im digitalen Führerschein – der ID Wallet – gefunden und öffentlich angeprangert.

Jetzt sagt sie: Die App Scoolio aus Dresden hat Daten ihrer minderjährigen Nutzer nicht richtig geschützt: "Das einzige, was wir anders gemacht haben, als eine normale Nutzerin das machen würde, ist, dass wir ein Programm zwischen die Kommunikation zwischen der App und den Servern, auf denen die Daten gespeichert werden, geschaltet haben. Und dabei haben wir festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten."

Mindestens 400.000 Nutzer betroffen

So hat Wittmann MDR AKTUELL schon vor Wochen vorgeführt, wie einfach sie mit ihren Kollegen vom IT-Sicherheitskollektiv "zerforschung" Daten mitlesen konnte: Nicknames, E-Mail-Adresse, Geburtsdatum und auch den Standort von minderjährigen Schülerinnen und Schülern. Theoretisch waren mindestens 400.000 Nutzer betroffen. Und Wittmann hat die Sicherheitslücke gleichzeitig Scoolio, dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Aber erst jetzt will sie öffentlich darüber reden, damit sich niemand an den Daten vergreift.

Nach mehr als 30 Tagen hat Scoolio die Sicherheitslücke geschlossen, sagt Geschäftsführer Danny Roller – und bedankt sich bei Wittmann: "Sie hat uns Mängel aufgezeigt, diese haben wir in den letzten vier Wochen mit Herzblut und Leidenschaft beseitigt. Wir wollen nach vorn gehen, es ist nicht alles perfekt. Wir sind ein junges Unternehmen und haben eine Chance verdient, Dinge zu verbessern, dafür stehen wir, dass Scoolio zu einem sicheren Ort wird, wo sich Schüler austauschen können."

Aktivistin kritisiert: Sicherheitslücke zu spät geschlossen

Scoolio hatte alle Beteiligten und MDR AKTUELL wöchentlich über den Fortschritt informiert. Wittmann allerdings ist der Meinung, Scoolio hätte die Lücke innerhalb von 72 Stunden schließen und alle Nutzer informieren müssen.

Sachsens Datenschutzbeauftragter schreibt auf Anfrage von MDR AKTUELL: "Meine Behörde hat die zeitlichen Abläufe in Anbetracht der Umstände und Kapazitäten des konkreten Verantwortlichen noch als vertretbar angesehen. Verwaltungsakte wurden nicht erlassen. Der Verantwortliche zeigte sich kooperativ. Zusätzlich: Erste informationssicherheitstechnische Maßnahmen waren bereits kurzfristiger eingeleitet worden, nicht erst mit Ablauf nach dreißig Tagen."

Bemerkenswert an dem Vorfall bei Scoolio ist noch eine andere Sache: Der Technologiegründerfonds Sachsen hat in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU. Wie viel genau – darauf hat der Technologiegründerfonds Sachsen MDR AKTUELL nicht geantwortet.

Dieses Thema im Programm: MDR AKTUELL RADIO | 26. Oktober 2021 | 08:22 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/430e3fca-c5c1-451e-b308-f07b78c2ed0f was not found on this server.

Mehr aus Deutschland

Karl Lauterbach (SPD), Bundesminister für Gesundheit, äußert sich bei einer Pressekonferenz im Bundesgesundheitsministerium zu Corona-Schutzmaßnahmen in Pflegeeinrichtungen. 1 min
Bildrechte: dpa
1 min 06.10.2022 | 16:45 Uhr

Bundesgesundheitsminister Karl Lauterbach erklärt, dass eine vierte Impfung den Schutz von Pflegeheimbewohnern vor einem tödlichen Verlauf bei einer Corona-Infektion detlich verbessert.

Do 06.10.2022 16:01Uhr 00:46 min

https://www.mdr.de/nachrichten/deutschland/politik/lauterbach-vierte-impfung-pflegeheimbewohner100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Video

Mehr aus Deutschland

Nachrichten

Podcast-Cover "Gropps Wirtschafts-Podcast" 38 min
Bildrechte: MDR/Isabel Theis
38 min 06.10.2022 | 14:25 Uhr

Die EU hat inzwischen das achte Sanktionspaket gegen Russland beschlossen. Oft wird gesagt, dass die Sanktionen den Europäern mehr schaden als den Russen. Aber stimmt das? IWH-Chef Reint Gropp hat da eine klare Antwort.

MDR AKTUELL Do 06.10.2022 11:00Uhr 37:47 min

Audio herunterladen [MP3 | 34,6 MB | 128 kbit/s] Audio herunterladen [MP4 | 70,7 MB | AAC | 256 kbit/s] https://www.mdr.de/nachrichten/podcast/wirtschaftspruefer/audio-russland-eu-sanktionen-schaden-wirklich100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio
RKI-Präsident Lothar Wieler sprach auf der 2. Europäischen Public-Value-Konferenz über Journalismus und Wissenschaft in der Covid-19-Pandemie.
RKI-Präsident Lothar Wieler sprach auf der 2. Europäischen Public-Value-Konferenz über Journalismus und Wissenschaft in der Covid-19-Pandemie. Bildrechte: MDR/PUNCTUM/Stefan Hoyer