Wie das ARD-Politikmagazin Kontraste berichtet, war es Internetnutzern möglich, Tausende von Schülernamen, Email-Adressen von Schülern, Lehrern und Administratoren und sogar das Chatverhalten aus dem System zu entnehmen. Die Cloud wird versuchsweise an 300 Bildungseinrichtungen in Deutschland genutzt - auch an mehreren Schulen in Brandenburg.
Der ehemalige Leiter der Datenschutzbehörde von Schleswig-Holstein, Thilo Weichert, spricht von einem "absolut unsicheren und offensichtlich inkompetent gemanagten" Cloud-Angebot für Schulen in Deutschland. Es sei "absolut inakzeptabel und in gravierender Weise rechtswidrig", wie einfach es möglich sei, von jedem Netzrechner aus in das System einzudringen und die "Daten der Schulen einschließlich der Angaben zu den Schülerinnen und Schülern auszuspionieren." Der Direktor des HPI, Christoph Meinel räumte Sicherheitslücken gegenüber Kontraste ein, wies aber die Kritik zurück: "Systemische Sicherheitslücken sehen wir nicht", man sei sich jedoch bewusst, dass es nahezu unmöglich sei, "eine komplexe Software beweisbar ohne Sicherheitslücken zu implementieren und zu betreiben." Bei dem noch jungen Informationssicherheitsmanagementsystem und einem rapide wachsenden Team könnten "menschliche Fehler nicht ausgeschlossen werden."
Im Quelltext können sich noch weitere Fehler befinden
Der Sprecher der Landesdatenschutzbehörde von Brandenburg, Sven Müller, teilte Kontraste mit, es könnten sich gleichwohl "im Quelltext dieses umfangreichen Projekts weitere Fehler befinden, die zu anderen Sicherheitslücken führen können." Das HPI unternehme daher umfangreiche Tests. Dieser Prozess sei aber "noch nicht abgeschlossen." Die Aufklärung dauere an. Erst danach werde man über "aufsichtsrechtliche Maßnahmen unserer Behörde gegenüber dem HPI" entscheiden.
Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Entwicklungsprojekt des Hasso-Plattner-Instituts seit 2016 mit gut sieben Millionen Euro bis 2021, um am Ende für möglichst 44.000 Schulen eine IT-Lern-Infrastruktur zu bieten.
Forschungsministerium hat noch nicht richtig hingeschaut
Auf Kontraste-Anfrage teilte das Ministerium mit, man habe sich "nach Bekanntwerden der aktuellen Sicherheitsvorfälle" vom HPI "über die Vorfälle und Maßnahmen informieren lassen." Die Bundestagsabgeordnete der Grünen, Ekin Deligöz reagierte "schockiert" auf die Kontraste-Recherchen: Offenkundig habe auch das Forschungsministerium "nicht richtig hingeschaut und Zuwendungen in Millionenhöhe bewilligt, ohne den Datenschutz hinreichend geprüft zu haben."
Der Gründer des Datenschutzvereins "Digitalcourage e.V.", Padeluun forderte die Aufsichtsbehörden auf, dieses System abzuschalten, bevor "sensible Daten von Schülerinnen und Schülern in dunkle Kanäle umgeleitet werden." Bereits am Montag hatte sich HPI an die Öffentlichkeit gewandt und von einem angeblichen Hacking-Angriff berichtet. Die Sicherheitslücke sei allerdings geschlossen worden. pm, ots
English version
The data protection gaps in the school cloud of the Potsdam Hasso-Plattner-Institute (HPI) are much larger than previously known. As the ARD political magazine Kontraste reports, Internet users were able to extract thousands of student names, email addresses of students, teachers and administrators and even chat behaviour from the system. The cloud is being used on a trial basis at 300 educational institutions in Germany - including several schools in Brandenburg.
The former head of the data protection authority of Schleswig-Holstein, Thilo Weichert, speaks of an "absolutely insecure and obviously incompetently managed" cloud offer for schools in Germany. It is "absolutely unacceptable and seriously illegal", he says, how easily it is possible to penetrate the system from any network computer and "spy on the schools' data, including information about pupils. The director of the HPI, Christoph Meinel, conceded security gaps to contrasts, but rejected the criticism: "We don't see systemic security gaps", but one is aware that it is almost impossible "to implement and operate complex software provably without security gaps". With the still young information security management system and a rapidly growing team, "human errors cannot be ruled out.
The source code may contain further errors
The spokesman of the data protection authority of Brandenburg, Sven Müller, announced contrasts, there could nevertheless be "further errors in the source code of this extensive project, which could lead to other security gaps. The HPI is therefore conducting extensive tests. However, this process is "not yet completed. The investigation is ongoing. Only then will a decision be made on "supervisory measures taken by our authority against HPI".
The Federal Ministry of Education and Research (BMBF) has been funding the Hasso Plattner Institute's development project since 2016 with a good seven million euros until 2021, in order to ultimately provide an IT learning infrastructure for as many as 44,000 schools as possible.
Research ministry has not yet really taken a look
In response to a query from the Ministry, the ministry said that "after the current security incidents had become known", the HPI had "informed the ministry about the incidents and measures taken. Ekin Deligöz, member of the Bundestag for the Greens, reacted "shocked" to the research: It is obvious that the Ministry of Research "did not look at it properly and approved grants amounting to millions without having sufficiently checked data protection.
The founder of the data protection association "Digitalcourage e.V.", Padeluun, called on the supervisory authorities to switch off this system before "sensitive data of pupils is diverted into dark channels." Already on Monday, HPI had addressed the public and reported an alleged hacking attack. However, the security gap had been closed. pm, ots, mei