{"id":315753,"date":"2025-09-16T00:26:04","date_gmt":"2025-09-15T22:26:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315753"},"modified":"2025-09-16T09:48:38","modified_gmt":"2025-09-16T07:48:38","slug":"iserve-schulloesung-mit-schwaeche-inbegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/16\/iserve-schulloesung-mit-schwaeche-inbegriffen\/","title":{"rendered":"IServ: Schull\u00f6sung mit Schw\u00e4che inbegriffen?"},"content":{"rendered":"

\"StopDie IServ-Schulplattform wirbt mit einer DSGVO-konformen Gesamtl\u00f6sung f\u00fcr das p\u00e4dagogische Netzwerk an Schulen und wird daher auch in diesem Bereich als vermeintlich sicher L\u00f6sung eingesetzt. Leider besitzt IServ\u00a0 eine Schw\u00e4che, wie gerade auf SecureList bekannt wurde.\u00a0 Man kann mit einem Namen pr\u00fcfen, ob diese Person Sch\u00fcler oder Sch\u00fclerin einer bestimmten Schule ist, ohne angemeldet zu sein. Der Betreiber will dies aber nicht als Problem erkennen und nichts \u00e4ndern. Hier ein kurzer \u00dcberblick, der Leser mit schulpflichtigen Kindern m\u00f6glicherweise interessieren d\u00fcrfte.<\/p>\n

<\/p>\n

Was steckt hinter IServ?<\/h2>\n

\"\"Die IServ GmbH<\/a> ist ein 2001 gestartetes Softwareunternehmen mit rund 185 Mitarbeitern in Braunschweig, Berlin und Essen. Kernprodukt ist die IServ-Schulplattform, ein System, um Sch\u00fcler, Lehrkr\u00e4fte, Eltern und Alumni online miteinander zu verbinden.<\/p>\n

\"IServe\"<\/a><\/p>\n

Inzwischen ist das Angebot auf eine L\u00f6sung mit \u00fcber 55 Modulen, von Schulkommunikation (digitaler Stunden- und Vertretungsplan, digitales Klassenbuch, Kommunikation mit Eltern etc.) bis zum Netzwerk- und Ger\u00e4temanagement angewachsen. Der Anbieter wirbt mit einer DSGVO-konformen Gesamtl\u00f6sung \"f\u00fcr das p\u00e4dagogische Netzwerk der Schule\" aus der Cloud. Der Anbieter wirbt mit fast 6.300 Schulen, die IServ nutzen.<\/p>\n

\"IServe<\/p>\n

Bucht eine Schule dieses kostenpflichtige Angebot, sind Sch\u00fcler und Eltern darauf angewiesen, die betreffenden Funktionen zu nutzen. Das Unternehmen r\u00fchmt sich auf seiner Webseite vom Bundeswirtschaftsministerium gef\u00f6rdert zu werden, f\u00fchrt ein T\u00dcV-Siegel auf seiner Seite auf und wirbt mit einer Auszeichnung als Preistr\u00e4ger 2023. Liest sich alles sehr positiv und muss nicht schlecht sein.<\/p>\n

IServ wirbt mit Sicherheit<\/h2>\n

Da Sch\u00fcler und Sch\u00fclerinnen, Eltern und Lehrkr\u00e4fte eine Menge pers\u00f6nliche Daten in der Schulplattform ablegen, kommt der Sicherheit eine entscheidende Bedeutung zu. Auf der Webseite wirbt das Unternehmen mit einem Sicherheitskonzept<\/a>, was den Schutz ihrer Schuldaten gew\u00e4hrleisten soll.<\/p>\n

\"IServ<\/a><\/p>\n

O-Ton: \"Das k\u00f6nnen Sie durch das IServ-Sicherheitskonzept auch mit einem guten Gef\u00fchl machen. Es regelt von Verschl\u00fcsselungen \u00fcber Updates, Backups bis zu Passw\u00f6rtern alles genau so, dass Angreifer keine Chance haben.\" Als Betriebssystem setzt man auf Debian Linux, es gibt Passwort-Richtlinien und einen Schutz gegen Brutforce-Angriffe gegen Benutzerkonten. Klingt alles ganz gut, sieht wie eine runde Sache aus.<\/p>\n

Kleiner Wehrmutstropfen: Bei der Suche bin ich auf einen Artikel von 2022<\/a> gesto\u00dfen, in dem von polizeilichen Durchsuchungen von Wohnungen die Rede ist. Es sollen im August 2021 hunderte Iserv-Konten gekapert und zum Versenden von Drohmails missbraucht worden sein. Es gibt also auch Schattenseiten und die Gefahr eines Missbrauchs.<\/p><\/blockquote>\n

Ein Post bei Securelists.org: IServ hat eine Schw\u00e4che<\/h2>\n

Blog-Leser Tomas Jakobs hat mich die Tage per Mail mit dem Betreff \"IServ petzt Sch\u00fclernamen\" auf einen Post User Enumeration in IServ Schoolserver Web Login<\/a> vom 9. September 2025 auf\u00a0Securelists.org hingewiesen (danke daf\u00fcr). Auf der Plattform ver\u00f6ffentlichen Sicherheitsforscher entdeckte Sicherheitsl\u00fccken.<\/p>\n

\"IServe-Schwachstelle<\/a><\/p>\n

Am 8. September 2025 ist jemandem aufgefallen, dass das Web-Frontend des IServ-Schul-Servers der IServ GmbH eine \"Benutzeraufz\u00e4hlung\" im weitesten Sinne erm\u00f6glicht. Gibt jemand den Namen einer Person an der IServ-Anmeldeseite einer Schule ein, und versucht er eine Anmeldung, ohne das Passwort zu kennen, schl\u00e4gt diese Anmeldung nat\u00fcrlich fehl.<\/p>\n

Noch ist also alles im gr\u00fcnen Bereich, da dieser Anmeldeversuch abgewiesen wird. Das Problem liegt darin, dass sich die Antworten dieser\u00a0fehlgeschlagenen Anmeldeversuche unterscheiden, nachdem, ob das Benutzerkonto existiert oder nicht und h\u00e4ngt angeblich noch von anderen Bedingungen ab.<\/p>\n

Der Finder dieses Sachverhalts schreibt, dass dies in vielen Anwendungen kein wirkliches Sicherheitsrisiko darstellt. Aber bei einer Software, die f\u00fcr Schulen entwickelt wurde, m\u00fcsse dies als \u00e4u\u00dferst problematisch angesehen werden. Aufgrund der weit verbreiteten Nutzung von IServ in Deutschland w\u00e4re es m\u00f6glich, anhand des Vor- und Nachnamens eines Kindes dessen Schule herauszufinden, sofern diese Schule IServ nutzt.<\/p>\n

Ein T\u00e4ter m\u00fcsste also nur Namen von Sch\u00fclerinnen und Sch\u00fclern kennen (gibt es oft auf Social Media) und k\u00f6nnte per Script die Schulen in der Umgebung abklappern, ob diese IServ verwenden und ob beim Namen dann eine bestimmte Reaktion auf die IServ-Anmeldeseite erfolgt.<\/p>\n

Der Entdecker skizziert besonders bemerkenswerte Bedrohungsszenarien wie die Aufz\u00e4hlung durch T\u00e4ter h\u00e4uslicher Gewalt, durch Gruppen, die sich mit Cybergrooming und Sextortion befassen (genannt wird das 764-Netzwerk<\/a>), oder die gezielte Ausrichtung auf Kinder besonders exponierter Personen. Gut, in Zeiten von Social Media lassen sich Daten zu einer Person und der Schule, die diese besucht, vermutlich durch Internet-Recherchen herausfinden.<\/p>\n

Zum Problem wird der obige Sachverhalt m\u00f6glicherweise durch die Reaktion der IServ GmbH. Denn der Hersteller wurde kontaktiert und erkl\u00e4rte, dass er das Problem nicht als Sicherheitsl\u00fccke interpretiere. Auch hinsichtlich des Datenschutzes und der Einhaltung der DSGVO bestehen beim Anbieter wohl keine Bedenken. Der Hersteller best\u00e4tigt laut dem Securelists-Post au\u00dferdem, dass eine Aufz\u00e4hlung auch \u00fcber andere Schnittstellen m\u00f6glich w\u00e4re und er nicht beabsichtigt, eine Korrektur bereitzustellen.<\/p>\n

Auf Grund dieser Hersteller-Reaktion hat der Entdecker des Sachverhalts das Ganze auf securelists.org ver\u00f6ffentlicht. Im Hinblick auf den Kontext \"Schule\" und der skizzierten Szenarien stellt sich nat\u00fcrlich schon die Frage, ob die Reaktion der IServ GmbH klug war und ob sich das oben skizzierte Verhalten nicht abstellen l\u00e4sst?<\/p>\n

Anmerkung: Ich hatte die Presseabteilung der IServ GmbH am 14. September 2025 bez\u00fcglich einer Stellungnahme angefragt, habe aber bis zum 16.9.2025 nichts geh\u00f6rt und den Artikel ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die IServ-Schulplattform wirbt mit einer DSGVO-konformen Gesamtl\u00f6sung f\u00fcr das p\u00e4dagogische Netzwerk an Schulen und wird daher auch in diesem Bereich als vermeintlich sicher L\u00f6sung eingesetzt. Leider besitzt IServ\u00a0 eine Schw\u00e4che, wie gerade auf SecureList bekannt wurde.\u00a0 Man kann mit einem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[24,4328,3836],"class_list":["post-315753","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-problem","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315753"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315753\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}