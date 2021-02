Die Kritik an der Thüringer Schulcloud reißt nicht ab. Immer wieder lädt die Seite nicht, scheint der Server überlastet oder wird die Cloud von Hackern angegriffen. Erst Anfang Februar war wegen einer sogenannten DDoS-Attacke das Thüringer Schulportal nicht erreichbar, konnten sich Zehntausende Schüler nicht in die Cloud einloggen. Thüringen hat mit dem Schulportal eine zwingende Anmelde-Seite für die Schulcloud vorgeschaltet. Wer dort bereits arbeitete, merkte davon nichts. Für alle anderen - Schüler wie Lehrer - startete der erste Tag nach den Winterferien, wie so häufig mit der Cloud, holprig.

Dabei hatten die Mitarbeiter des Thüringer Instituts für Lehrerfortbildung, Lehrplanentwicklung und Medien (ThILLM) zunächst einmal alles richtig gemacht. Die Firewall, die das Schulportal schützt, hat den Angriff als solchen erkannt und das System erst einmal vom Netz genommen. Nach zwei Stunden lief alles wie gewünscht. Die fünf technischen Mitarbeiter, die sich beim ThILLM um die Cloud, deren Inhalte und vor allem deren Sicherheit kümmern, liefen dennoch am Limit und durften sich danach viel Kritik anhören. Wer bereits in der Cloud war, merkte nichts vom Angriff. Bildrechte: MITTELDEUTSCHER RUNDFUNK

Experten: Schulcloud fehlt es an Sicherheit

Die Schulcloud sei zu monolithisch, also ein großes Ganzes und nicht ein verteiltes IT-System. Grundlegende Maßnahmen der IT-Sicherheit seien bei der Konzeptionierung der Cloud außer Acht gelassen worden, so der Vorwurf von Sicherheitsexperten. Der Angriff Anfang Februar hätte sich mit Hilfe einer Cloud-Flat einfach umleiten lassen können, sodass das Thüringer Schulportal weiter hätte genutzt werden können.

"Der Angriff auf die Schulcloud kam nicht unerwartet, eher unerwartet spät und man muss damit rechnen, dass das wieder passiert, so wie die Cloud aktuell aufgebaut ist", sagt Thomas Uhlemann, IT-Sicherheitsexperte bei Sicherheitsunternehmen ESET in Jena. Auch sei das Thüringer Schulportal und somit auch die Cloud lediglich mit einem Benutzernamen und Passwort geschützt, eine Zwei-Faktor-Authentifizierung, etwa per SMS oder mit einer Smartphone App, fehle.

ThILLM arbeitet mit IT-Firmen zusammen

ThILLM-Sprecher Rigobert Möllers kennt die Vorwürfe, auch seitens der Politik, und nimmt diese mit einer scheinbar stoischen Gelassenheit hin. Die Cloud und das Schulportal seien mit einer Firewall, verschiedenen Sicherheits- und Filterprogrammen geschützt, außerdem arbeite das ThILLM bereits mit Sicherheits- und IT-Firmen zusammen, nutzt deren Expertise.

Wir sind eine Behörde und eben nicht Google. Rigobert Möllers, ThILLM-Sprecher

Natürlich könnten Angriffe wie der zuletzt abgewehrt werden, würde das ThILLM eine Dublette des Systems bereithalten und dann automatisch auf diese umschalten. Das würde jedoch auch bedeuten, immer ein komplettes System im Leerlauf zu halten. Eine kostspielige Variante, die für die Schulcloud mit einem aktuellen Budget von etwas mehr als einer Million Euro zu teuer kommt.

Die fünf Mitarbeiter, die neben Fortbildung und Systempflege auch für die Inhalte des Schulportals zuständig sind, überwachen die Seite permanent. "Wir sehen, wenn wir angegriffen werden und reagieren darauf. Aber eine 100-prozentige Sicherheit gibt es nicht", sagt Möllers. Acht Stellen könnten für die Betreuung der Clouds besetzt werden, allein passende Bewerber finden sich nicht.

Sicherheit gegen Nutzbarkeit

Das Thema Zwei-Faktor-Authentifizierung stehe auf der Agenda des ThILLMs. Dass allerdings dafür ein zweites Endgerät nötig sei, vergessen viele. So wird zum Beispiel auf ein angemeldetes Smartphone ein aktueller Zugangscode geschickt. "Wir dürfen nicht vergessen, dass die Cloud für Kinder und Heranwachsende gedacht ist und man Sicherheit gegen Nutzbarkeit abwiegen muss", erklärt Möllers. Von Kindern und Jugendlichen Dinge zu erwarten, an denen selbst manche Erwachsene scheitern, sei utopisch, von jedem Schüler ein zweites Endgerät zu erwarten, unrealistisch. Es muss funktionieren und trotzdem sicher sein. Bildrechte: dpa

Rund 750 Schulen nutzen die Cloud bereits in Thüringen für den digitalen Unterricht. Mehr als 100 weitere haben Anträge dafür gestellt. Für 200.000 Schüler und etwa 17.000 Schüler bietet sie eine Plattform, online Unterricht abzuhalten und Unterrichtsmaterial zur Verfügung stellen. Die Cloud arbeitet dabei in einer skalierbaren Umgebung. Heißt: Je mehr sie genutzt wird, umso mehr Serverkapazitäten werden freigeschaltet. Der Speicherplatz der Dateien ist unbegrenzt und soll auch so bleiben. "Wir wollen Kindern keine zusätzliche Hürde einbauen, ihre Dateien kleinrechnen zu müssen", sagt der ThILLM-Sprecher. Auch könne man die Serverkapazitäten begrenzen, um das System stabiler zu halten, aber auch das sei nicht gewollt.

Cloud nur über Schulportal erreichbar

Gewollt ist dagegen, dass der Cloud das Thüringer Schulportal als Seite vorgeschaltet ist. Auf ihr finden sich alle relevanten Inhalte, die Bildung in Thüringen betreffen und diese können Angaben des ThILLMs auch miteinander vernetzt werden.

"Wir erachten es als sinnvoll, eine Plattform zu haben, auf der alle Bestandteile erreicht werden können, die sich um schulische Bildung drehen", ist Möllers überzeugt und denkt hier vor allem in die Zukunft. Es wird sich zeigen, ob die Cloud, auf die Lehrer und Schüler deshalb nicht direkt zugreifen können, gerade aus diesem Grund angreifbar bleibt. Die Thüringer Cloud startete von 0 auf 100. Bildrechte: MDR/Bernd-Volker Brahms

Status Pilotprojekt läuft Ende Juni aus

Denn nach wie vor ist die Thüringer Schulcloud, die vom Hasso-Plattner-Institut entwickelt wurde, ein Pilotprojekt, das vor einem Jahr mit etwa 20 Schulen im Freistaat gestartet ist. Dem Vorhaben, die Cloud in Ruhe zu entwickeln, negative und positive Erfahrungen der Schulen in den Ausbau einfließen zu lassen, machte die Corona-Pandemie einen Strich durch die Rechnung. Ab dem 18. März 2020, so erinnert sich Möllers, nahm die Entwicklung der Cloud an Fahrt auf, so rasant, dass ein Bremsen nicht mehr möglich war.

Die Cloud wurde über Nacht zur Sturzgeburt, wir schalteten immer mehr Schulen dazu und haben versucht, das Ding zum Laufen zu bringen. Rigobert Möllers, ThILLM-Sprecher

Noch bis Juni läuft das Pilotprojekt. Schon jetzt loten die Bundesländer Thüringen, Niedersachsen und Brandenburg aus, wie es mit dem Gemeinschaftsobjekt weitergehen soll. Erst danach steht fest, wie viel Geld in die Entwicklung der Cloud aus dem Haushalt 2021 fließen wird. Die Entscheidung für diesen Dienst sei als Landesleistung gefallen, man habe das Bestmögliche abgewogen. "Jetzt gewöhnen sich die Leute dran und es wird auch besser werden." Davon ist das ThILLM überzeugt.

Hintergrund: Die Schulcloud wurde 2017 vom Hasso-Plattner-Institut (HPI) entwickelt. Genutzt wird sie nach Angaben von HPI in allen Bundesländern, wobei Thüringen, Niedersachsen und Brandenburg eine länderspezifische Variante aufgesetzt haben.



Für die Absicherung der Cloud ist Thüringen selbst verantwortlich. Betreut wird die Schulcloud, die an das Thüringer Schulportal angeschlossen ist, vom Thüringer Institut für Lehrefortbildung, Lehrplanentwicklung und Medien.



Seit Dezember 2020 hat HPI die Serverkapazitäten der Cloud massiv erhöht, um eine bessere Stabilität zu gewährleisten. Auch wird das System laufend optimiert und werden die Sicherheitsvorkehrungen angepasst.