Datenschutzvorfall in der Schul-Cloud

0
320
Bei der durch das Bundesbildungsministerium geförderten Schuld-Cloud des HPI wurde eine Datenschutzlücke beseitigt. (Foto: Muscat_Coach, www.pixelio.de)

In der Schul-Cloud des Hasso-Plattner-Instituts (HPI) wurde eine Sicherheitslücke ausgenutzt. Unberechtigte konnten sich im System anmelden und Namen von regulären Anwendern einsehen.

Die Lücke ist inzwischen nach Angaben des HPI geschlossen worden. Festgestellt wurde das Problem aufgrund einer Liste mit über 100 Namen von Schülern und Lehrern einer der fünf an die Cloud angebundenen saarländischen Schulen.

Ein verdächtiger Nutzer konnte sich dort mit einer Wegwerf-Mailadresse als Schüler anmelden und ein Team erstellen. Das war über den schulweiten Registrierungslink möglich. Unter Verwendung der Schul-ID konnte der Hacker selbst Registrierungslinks für jede Schule generieren. Über die Einladen-Funktion konnte er dann auf die Vor- und Nachnamen aller registrierten Nutzer zugreifen.

Insgesamt hatten an 13 Schulen unberechtigte Anmeldungen stattgefunden, darunter sechs der Brandenburger Schul-Cloud und sieben in der durch das HPI selbst betriebenen Instanz. Vier Schulen waren Testschulen ohne echte Schülerdaten.

Nicht betroffen ist die Thüringer Schul-Cloud. Dort erfolgen Registrierungen zentral über das Schulportal des Landes. Laut einem Bericht der Neuen Osnabrücker Zeitung wird wegen des Vorfalls die Übertragung von Nutzerdaten in die niedersächsische Schul-Cloud vorübergehend ausgesetzt. Eigentlich sollten in dieser Woche 450 Schulen angebunden werden.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here