![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In der Schul-Cloud des Hasso-Plattner-Instituts (HPI) gab es ein gewaltiges Datenleck. Externe h\u00e4tten \u00fcber einen Demo-Account auf das System zugreifen k\u00f6nnen und ein ungesicherter Endpunkt verriet vertrauliche Links zu Dateien von Lehrern und Sch\u00fclern \u2013 von Aufgabenbl\u00e4ttern bis hin zu Videos – so heise in einer Meldung.<\/p>\n
<\/p>\n
Lernplattformen f\u00fcr Schulen stehen seit der Pandemie im Mittelpunkt des \u00f6ffentlichen Interesses. Auch hier im Blog wird das Thema ja kontrovers diskutiert, speziell wenn ich auf Abh\u00e4ngigkeiten von bestimmten Herstellern abstelle. Aber im aktuellen Fall geht es nicht um das Thema Abh\u00e4ngigkeiten, sondern um prinzipielle Fragen zur Absicherung von Systemen zur Implementierung der Schul-Cloud – egal ob es Microsoft- oder andere L\u00f6sungen sind.<\/p>\n
Die HPI-Schul-Cloud<\/a> wird seit September 2016 vom Hasso-Plattner-Institut<\/a> entwickelt. Das Bundesministerium f\u00fcr Bildung und Forschung unterst\u00fctzt das Projekt\u00a0\u00a0 der HPI Schul-Cloud. Sie soll die technische Grundlage schaffen, dass Lehrkr\u00e4fte und Sch\u00fcler \u00fcber jedes Ger\u00e4t (z.B. \u00fcber ein Smartphone) in jedem Unterrichtsfach moderne digitale Lehr- und Lerninhalte ohne besondere technische Vorkenntnisse nutzen k\u00f6nnen. Die HPI Schul-Cloud ist 2016 als Pilotprojekt gemeinsam mit MINT-EC<\/a>, dem nationalen Excellence-Schulnetzwerk, gestartet und wurde als Antwort auf die Coronapandemie 2020 f\u00fcr alle Schulen deutschlandweit ge\u00f6ffnet.<\/p>\n Einige Bundesl\u00e4nder bieten ihren Schulen die Nutzung der vom Hasso-Plattner-Institut seit 2016 als Open-Source-Software entwickelten HPI-Schul-Cloud an. Neben einer Instanz, die das HPI selbst betreibt, gibt es eigene Instanzen in Brandenburg, Niedersachsen und Th\u00fcringen. Einige Schulen nutzen die Plattform weil sie noch keine eigene L\u00f6sung haben, andere sehen sie als dauerhafte L\u00f6sung. \u00dcber die HPI-Schul-Cloud werden Videokonferenzen gef\u00fchrt sowie Aufgaben bearbeitet.<\/p>\n Wie so oft, ist in der Th\u00fcringer Schul-Cloud bei der Konfigurierung eine schwere Panne passiert. Die c't-Redaktion wurde im Februar 2021 von einem Hinweisgeber auf diverse Sicherheitsprobleme in der Th\u00fcringer Schul-Cloud aufmerksam gemacht. Normalerweise haben Lehrer und Sch\u00fcler nur \u00fcber nicht \u00f6ffentliche Zugangsdaten Zugriff auf die Schul-Cloud. Das kann schon zu Problemen f\u00fchren, wenn Teilnehmer diese Zugangsdaten weiter geben (ich hatte k\u00fcrzlich im Beitrag Die Wahrheit hinter dem Zoom-Bombing<\/a> auf diese Gefahr hingewiesen).<\/p>\n Aber im aktuellen Fall war es viel einfacher, das Problem war ein eingerichteter und dann vergessener Demo-Zugang. Nicht nur Lehrer und Sch\u00fcler h\u00e4tten sich mit ihren Zugangsdaten an der Schul-Cloud anmelden k\u00f6nnen. \u00dcber den vergessenen Demo-Account h\u00e4tte jeder Zugriff erhalten. W\u00e4re noch kein Beinbruch, wenn dort nur Demodaten abrufbar gewesen w\u00e4ren.<\/p>\n \"Als besonders verh\u00e4ngnisvoll stellte sich zudem eine Unterseite heraus, auf der interne Links zu sensiblen Schuldateien f\u00fcr alle sichtbar waren\", berichtet c't-Redakteur Jan Mahn. Es gab handschriftlich bewertete Tests, teils mit Namen und Noten, Klassen- und Lehrerlisten mit Kontaktdaten sowie ganze Bildschirmaufzeichnungen von virtuellen Unterrichtsstunden. Abgerundet wurde die Liste der Fundst\u00fccke durch diverse Videos: Sch\u00fcler, die im heimischen Wohnzimmer Gedichte vortrugen und ihre Klasse gr\u00fc\u00dften sowie tanzende Sch\u00fclerinnen in einem Video zur Verabschiedung ihrer Lehrerin. Mehr Details hat heise inzwischen in diesem Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n Diese Hintert\u00fcr existierte auch in den Schul-Clouds anderer Bundesl\u00e4nder. Nach einem Hinweis der Reaktion reagierten die Betreiber sofort, das Hasso-Plattner-Institut schloss die Sicherheitsl\u00fccken. \"Dieser Fall zeigt, dass jeder, der eine Infrastruktur im Netz betreibt, sich hin und wieder die Zeit nehmen sollte, um selbst von au\u00dfen einen Blick auf die eigenen Systeme zu werfen und zumindest die offensichtlichsten Schwachstellen aufzusp\u00fcren\", r\u00e4t Jan Mahn.<\/p>\n Wichtig sei auch eine gute Vorbereitung f\u00fcr den Fall der F\u00e4lle, meint Mahn. Wenn Techniker und Datenschutzbeauftragte das Grundger\u00fcst f\u00fcr eine Meldung schon vorab ausgef\u00fcllt haben, ist die Wahrscheinlichkeit h\u00f6her, dass man innerhalb der von der DSGVO geforderten 72 Stunden eine Meldung an den Landesdatensch\u00fctzer zu Papier bringt, falls ein Datenleck offenbar wird.<\/p>\n","protected":false},"excerpt":{"rendered":" In der Schul-Cloud des Hasso-Plattner-Instituts (HPI) gab es ein gewaltiges Datenleck. Externe h\u00e4tten \u00fcber einen Demo-Account auf das System zugreifen k\u00f6nnen und ein ungesicherter Endpunkt verriet vertrauliche Links zu Dateien von Lehrern und Sch\u00fclern \u2013 von Aufgabenbl\u00e4ttern bis hin zu … Weiterlesen Insider-Tipp legt Datenleck offen<\/h2>\n