Schul-App Scoolio

Staatlich finanziertes Datenleck

09:47 Minuten
Schulmädchen und Schuljungen in bunten T-Shirts, schauen während der Pause auf ihre Smartphones.
Die für die Schule gedachte App Scoolio hat zahlreiche persönliche Daten preisgegeben. (Symbolbild) © picture alliance / Zoonar / Oksana Shufrych
Moderation: Katja Bigalke und Martin Böttcher · 30.10.2021
Audio herunterladen
Klassenchats oder Hausaufgaben-Planer: Das bietet die vom Staat finanziell unterstützte App Scoolio. Nun wurde bekannt, dass die Daten der Schülerinnen und Schüler mit wenigen Kniffen zu hacken waren, in den Chats konnte jeder ungehindert mitmischen.
Das White-Hat-Hacker-Kollektiv Zerforscher hat sich die App Scoolio angeschaut und hat Erschreckendes gefunden. Die teils werbefinanzierte, teils staatlich geförderte App bietet Hausaufgaben-Planer, Notenübersicht, Klassenchat und Nachhilfe-Vermittlung. Und sie bietet zweifelhafte Funktionen, unsichere und unmoderierte Gruppenchats und offenliegende Datensätze von 400.000 Minderjährigen. Oder besser: Das bot es alles. Denn zum White Hat Hacking gehört, dass Sicherheitslücken dem Unternehmen gemeldet werden und sie erst öffentlich gemacht werden, wenn sie behoben wurde.
"Als wir die App zum ersten Mal aufgemacht haben, waren wir schon überrascht, weil die App sich an eine sehr junge Zielgruppe richtet, an Erst- bis 13-KlässlerInnen und gleichzeitig aber sehr viel Daten sammelt und sehr viel Werbung enthält", erzählt Karl vom Hacker-Kollektiv Zerforschung. Dies sei ein Bruch mit dem Grundsatz der werbefreien Schule. Zum anderen hätten die Nutzer und Nutzerinnen sehr viel über sich preisgegeben: verwunderlich "bei einer so offenen Plattform".

Foren frei zugänglich

Die Gruppen waren für jeden zugänglich, ein Profil schnell angelegt: Unter falschem Namen konnte eigentlich jeder mit den Kindern und Jugendlichen chatten. Dabei stieß das Kollektiv Zerforschung auf Gruppen wie "Verliebt euch", "Grube für Singles" oder "Suche Freund zwischen zwölf und 13". Gleichzeitig habe es keine Moderation und keinen Schutz dieser Gruppen gegeben. Auch mit dem Testaccount, bei denen die Hacker ein Alter von 33 Jahren angaben, konnten die Hacker problemlos allen Gruppen beitreten. Das sei "moralisch verwerflich", so Karl.
Auf technischer Ebene entdeckte Zerforscher ebenfalls schwerwiegende Mängel. "Wir hatten am Ende mehr oder weniger Zugriff auf alle Daten, die da angefallen sind", sagt Karl: Namen, E-Mail-Adressen, teilweise die E-Mail-Adressen der Eltern, das genaue Geburtsdatum, sowie viele weitere Daten. "Bei vielen NutzerInnen auch den genauen Standort des Telefons, weil der auch in der App erfasst wird." An diese Daten zu kommen sei auch wenig erfahrenen Hackern mit "absoluten Basics" möglich gewesen. "Wir sind echt schockiert, dass Scoolio diese Probleme scheinbar selber nicht gesehen hat", so Karl.

Finanziert durch Staatsgelder

Finanziert wird "Scoolio" bisher hauptsächlich aus Staatsmitteln. Zwar wolle Scoolio laut Selbstaussage vor allem über Werbung Einkünfte generieren. "Die Jobvermittlung scheint ihr großes Geschäftsgebiet zu sein." Das ist aber wohl noch Zukunftsmusik: Stattdessen hilft der Staat mit "mehreren Millionen, die vom Technologie-Gründerfonds Sachsen als auch von den Sächsischen Sparkassen in dieses Unternehmen gesteckt wurden".
Ob sich die staatlichen Investoren die App mal genauer angeschaut haben? Wohl nicht, vermutet Karl vom Kollektiv Zerforscher. Schließlich seien viele Mängel auch für einfache Nutzer oder Nutzerinnen zu erkennen, Informatikwissen nicht notwendig gewesen. "Wir fragen uns, warum dann trotzdem von staatlicher Seite entschieden wurde, da so viel Geld reinzustecken."

Bildung nicht an Privatunternehmen auslagern

Deswegen fordert Zerforschung: Die bestehenden Datenschutz-Regeln müssen besser durchgesetzt werden. Dafür brauche es bei den Landesdatenschutzbehörden mehr Ressourcen. "Die müssen selber proaktiv nach solchen Problemen suchen können."
Zusätzlich brauche es von staatlicher Seite mehr Kompetenz für IT-Projekte. "Gerade bei so etwas wie der Schule muss man sich fragen, ob man das überhaupt in private Hände geben und sich damit dauerhaft abhängig von irgendwelchen Unternehmen machen will. Wir glauben, eigentlich muss es bei der digitalen Bildung ähnlich sein wie bei der klassischen analogen Bildung: Das muss der Staat machen, das können nicht irgendwelche Privatunternehmen."
Mehr zum Thema