Datenleck Vergessener Account: Sicherheitslücken in Thüringer Schulcloud geschlossen

Nach einem Hinweis hat das Hasso-Plattner-Institut, das die Thüringer Schulcloud entwickelt hat, mehrere Datenschutzlücken im System der Cloud geschlossen. Der Landesdatenschutzbeauftragte geht davon aus, dass kein größerer Schaden entstanden ist.

Ein Laptop zeigt die Bedien-Oberfläche einer Cloud.
Die Startseite der HPI-Schulcloud. (Symbolbild) Bildrechte: MITTELDEUTSCHER RUNDFUNK

Das Hasso-Plattner-Institut (HPI) hat erneut zwei Datenschutzlücken in der HPI Schulcloud geschlossen. Zuvor war die Redaktion der IT-Fachzeitschrift "c't" von einem Hinweisgeber auf die Sicherheitsprobleme in der Thüringer Schulcloud aufmerksam gemacht worden. Dadurch hätten sich nicht nur Lehrer und Schüler anmelden können. Über einen vergessenen Demo-Account hätte jeder Zugriff haben können, berichtete die "c't". "Nach dem Hinweis reagierte das Institut vorbildlich und stellte die Probleme ab", heißt es in dem Bericht der Zeitschrift weiter.

Thüringer Schulcloud: Entwicklerinstitut schließt Datenleck

Das HPI bestätigte den Vorfall. Das Technik-Team des Potsdamer Instituts habe beide Schwachstellen innerhalb von einer Stunde schließen können. "Das HPI geht davon aus, dass die Sicherheitslücken vom Hinweisgeber lediglich zu Testzwecken ausgenutzt wurden. Nach derzeitigem Kenntnisstand ist kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt."

Hinweisgeber verursacht "meldepflichtigen Vorfall"

Da aber zumindest der Hinweisgeber die Daten abgerufen habe, handele es sich um einen meldepflichtigen Vorfall in Thüringen. "Der Landesdatenschützer von Thüringen wurde durch das HPI informiert, ebenso wie unsere Partner und die potenziell betroffenen Nutzer in der Thüringer Schulcloud", erklärte Institutsdirektor Christoph Meinel. "Die HPI Schul-Cloud sowie alle ihre Instanzen sind weiter sicher und uneingeschränkt nutzbar."

Bereits im vergangenen Mai war eine Datenschutzlücke in der HPI-Plattform entdeckt und nach kurzer Zeit wieder geschlossen worden. 

Die HPI-Schul-Cloud wurde vom Hasso-Plattner-Institut als nicht-kommerzielle Plattform entwickelt und vom Bundesbildungsministerium finanziell gefördert. Aktuell greifen mehr als eine Million Nutzerinnen und Nutzer auf die Plattform zu. Seit März 2020 hat sich die Nutzerzahl nach Angaben des HPI nahezu verdreißigfacht. Die Zahl der Schulen, die diese Schul-Cloud nutzen, liegt derzeit bei über 3700 und hat sich in diesem Zeitraum verzehnfacht.

Thüringer Datenschutzbeauftragter: "Sehr unangenehm"

Thüringens Landesdatenschutzbeauftragter Lutz Hasse sagte, er habe dafür gesorgt, "dass die Verantwortlichen die Betroffenen, bei denen möglicherweise Daten abgeflossen sein könnten, informieren".

Er gehe davon aus, dass kein größerer Schaden entstanden sei. "Aber es ist sehr unangenehm. Wenn jetzt das Vertrauen in die Schulcloud schwindet, wäre das nicht gut", sagte Hasse. Er appellierte an Schüler und Lehrer, generell keine sensiblen Daten in der Cloud abzulegen. "Jede Software kann gehackt werden", sagte Hasse.

Quelle: MDR THÜRINGEN/ls, dpa

Dieses Thema im Programm: MDR THÜRINGEN - Das Radio | Regionalnachrichten | 26. Februar 2021 | 13:30 Uhr

0 Kommentare

Mehr aus Thüringen