Sicherheitslücke bei Schul-App Daten von 400.000 minderjährigen Scoolio-Nutzern im Netz

Die aus Dresden stammende Schul-App Scoolio hat die Daten ihrer Nutzer nicht richtig geschützt. Das ist der IT-Sicherheitsaktivistin Lilith Wittmann aufgefallen. Sie hat eine Sicherheitslücke gefunden, durch die zahlreiche Daten – E-Mail-Adressen, Geburtsdatum, Standort – von minderjährigen Schülerinnen und Schülern im Netz leicht mitzulesen waren. Mittlerweile ist die Lücke wieder geschlossen, aber das habe zu lang gedauert, kritisiert die Aktivistin.

Hände tippen an einem Laptop (Symbolbild)
Die Schul-App Scoolio hat die Daten ihrer Nutzer nicht richtig geschützt, die Sicherheitslücke mittlerweile aber behoben. Bildrechte: imago images / STPP

Lilith Wittmann ist nicht zum ersten Mal empört darüber, wie wenig personenbezogene Daten mitunter geschützt sind. Die IT-Sicherheitsaktivistin bezeichnet sich auch schon einmal als Krawall-Influencerin und hat bereits Lücken in der CDU-Wahlkampf-App, in der Videosoftware für bayerische Schulen und auch im digitalen Führerschein – der ID Wallet – gefunden und öffentlich angeprangert.

Jetzt sagt sie: Die App Scoolio aus Dresden hat Daten ihrer minderjährigen Nutzer nicht richtig geschützt: "Das einzige, was wir anders gemacht haben, als eine normale Nutzerin das machen würde, ist, dass wir ein Programm zwischen die Kommunikation zwischen der App und den Servern, auf denen die Daten gespeichert werden, geschaltet haben. Und dabei haben wir festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten."

Mindestens 400.000 Nutzer betroffen

So hat Wittmann MDR AKTUELL schon vor Wochen vorgeführt, wie einfach sie mit ihren Kollegen vom IT-Sicherheitskollektiv "zerforschung" Daten mitlesen konnte: Nicknames, E-Mail-Adresse, Geburtsdatum und auch den Standort von minderjährigen Schülerinnen und Schülern. Theoretisch waren mindestens 400.000 Nutzer betroffen. Und Wittmann hat die Sicherheitslücke gleichzeitig Scoolio, dem Bundesamt für Sicherheit in der Informationstechnik und dem sächsischen Datenschutzbeauftragten gemeldet. Aber erst jetzt will sie öffentlich darüber reden, damit sich niemand an den Daten vergreift.

Nach mehr als 30 Tagen hat Scoolio die Sicherheitslücke geschlossen, sagt Geschäftsführer Danny Roller – und bedankt sich bei Wittmann: "Sie hat uns Mängel aufgezeigt, diese haben wir in den letzten vier Wochen mit Herzblut und Leidenschaft beseitigt. Wir wollen nach vorn gehen, es ist nicht alles perfekt. Wir sind ein junges Unternehmen und haben eine Chance verdient, Dinge zu verbessern, dafür stehen wir, dass Scoolio zu einem sicheren Ort wird, wo sich Schüler austauschen können."

Aktivistin kritisiert: Sicherheitslücke zu spät geschlossen

Scoolio hatte alle Beteiligten und MDR AKTUELL wöchentlich über den Fortschritt informiert. Wittmann allerdings ist der Meinung, Scoolio hätte die Lücke innerhalb von 72 Stunden schließen und alle Nutzer informieren müssen.

Sachsens Datenschutzbeauftragter schreibt auf Anfrage von MDR AKTUELL: "Meine Behörde hat die zeitlichen Abläufe in Anbetracht der Umstände und Kapazitäten des konkreten Verantwortlichen noch als vertretbar angesehen. Verwaltungsakte wurden nicht erlassen. Der Verantwortliche zeigte sich kooperativ. Zusätzlich: Erste informationssicherheitstechnische Maßnahmen waren bereits kurzfristiger eingeleitet worden, nicht erst mit Ablauf nach dreißig Tagen."

Bemerkenswert an dem Vorfall bei Scoolio ist noch eine andere Sache: Der Technologiegründerfonds Sachsen hat in Scoolio investiert – mit öffentlichem Geld aus Sachsen und der EU. Wie viel genau – darauf hat der Technologiegründerfonds Sachsen MDR AKTUELL nicht geantwortet.

Dieses Thema im Programm: MDR AKTUELL RADIO | 26. Oktober 2021 | 08:22 Uhr

2 Kommentare

Matthi vor 4 Wochen

Das zeigt mal wieder wo Deutschland im Digitalen Bereich steht. Es ist ja nicht die einzige App die Sicherheitslücken hatte ich erinnere an Corona Apps. Zum Thema Behörden, wir haben für alles Überwachungs Behörden die einen Haufen Geld kosten, aber die werden meistens erst tätig wenn es zu spät ist.

Hobby-Viruloge007 vor 5 Wochen

Wozu braucht die Schulapp das Geburtsdatum? Kinder sind über die Kombination Name-Schule-Klasse eindeutig genug identifizierbar. Für die 50 Fälle mit Doppel Vor und Zunahmen im Land könnte man noch einen Spitznamen vergeben. Daten, die nicht da sind, können nicht "wegkommen".

Mehr aus Deutschland