Louis Nowak* aus der 3b ist häufig um 23 Uhr noch online. In der Schule hat er Deutsch-Probleme: In den Übungen von seiner Lehrerin Simone Bauer* macht er oft viele Fehler. 15 Fehler waren es am 16. Dezember 2020. Sein schlechtestes Ergebnis bisher. Seit Mitte Januar ist er deshalb in einer Deutsch-Fördergruppe, anders als seine kleine Schwester.
Solche Informationen sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App "Anton" waren Informationen wie diese theoretisch über das Internet abrufbar. Betroffen: Schülerinnen und Schüler in Deutschland und einigen anderen Ländern.
Sicherheitslücke von BR-Journalisten entdeckt
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalistinnen und -journalisten. Die Daten waren weder mit Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der Anton-App geschlossen, wenige Stunden nachdem die BR-Datenjournalistinnen und -journalisten ihn informiert hatten.
Offen lagen bis dahin in vielen Fällen Vor- und Nachnamen von Schülerinnen und Schülern, außerdem Informationen zu Lernfortschritten, Klassen- und Schulzugehörigkeit und zu welchen Uhrzeiten sie eingeloggt waren. Darüber hinaus wäre es nach BR-Informationen für Außenstehende theoretisch möglich gewesen, sich als Lehrkraft auszugeben und Nachrichten an Schülerinnen und Schüler in Lerngruppen einzustellen.
Datenschützer zeigt sich beunruhigt
Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer "schlimmen Situation". In anderen Fällen seien solche Sicherheitslücken genutzt worden, "um entweder die Lehrkräfte zu beleidigen oder Schulkinder zu verängstigen oder zu belästigen". Außerdem könnten solche Schwachstellen Chancen für Kriminelle eröffnen, Daten für Betrugsversuche abzugreifen.
Nach BR-Recherchen nutzen Schulen aus ganz Deutschland die App, alleine für München finden sich Daten von mehr als 3.000 Schülerinnen und Schülern und über 200 Schulen. Auch in Österreich, der Schweiz und anderen Ländern setzen Schulen die App ein. Im App-Store für Android-Geräte wurde "Anton" mehr als eine Million Mal heruntergeladen.
Offenbar kein Hinweis auf Datenabfluss
Die Berliner Firma Solocode, Entwickler der Anton-App, räumt die Sicherheitslücke auf BR-Anfrage ein. Wie viele User potenziell betroffen waren, teilt das Unternehmen auf Nachfrage nicht mit. Nach derzeitigem Kenntnisstand sei "kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt".
Derzeit untersuche man, ob es in der Vergangenheit Versuche gegeben hat, die Sicherheitslücke auszunutzen, und informiere betroffene Schulen, Nutzer und die Datenschutzbeauftragten umgehend. Auch die zuständige Berliner Datenschutzbehörde sei informiert worden. "Der Datenschutz und die Sicherheit von Nutzerdaten ist uns ein wichtiges Anliegen", so das Unternehmen. Eine Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit bestätigt auf Anfrage, dass der Vorfall gemeldet worden sei.
Die App wird von der EU und der Berliner Senatsverwaltung finanziell gefördert und gilt prinzipiell als besonders datenschutzfreundlich, da sie verhältnismäßig wenige Nutzerdaten erhebt. So gibt das Bundesbildungsministerium auf BR-Anfrage an, es sei positiv, dass die Anton-App ausdrücklich auf die Beachtung von Datenschutzfragen hin konzipiert sei. Ministerin Anja Karliczek (CDU) bezeichnete die Anwendung in einem Zeit-Interview als "gute Lern-App für Grundschüler". Erst vor Kurzem zeigte sich auch die Staatsministerin für Digitalisierung Dorothee Bär (CSU) auf Instagram mit einem der Gründer der Anton-App.
Ministerien prüfen Lern-Apps nicht selbst
Offen ist, wieso die Lücke bis vor kurzem unentdeckt blieb. Das Bundesbildungsministerium gibt an, bei Apps keine Prüfung auf Sicherheitslücken vornehmen zu können. Auch das bayerische Kultusministerium teilt mit, eine Überprüfung von Drittanbieter-Apps sei im bayerischen Kultusministerium und, soweit bekannt, auch in den Kultusministerien der übrigen Länder nicht vorgesehen. Die sichere Ausgestaltung der App sei Aufgabe des Anbieters, so ein Ministeriumssprecher. Die Entscheidung, welche Apps von Drittanbietern eingesetzt werden, treffe jedoch die einzelne Schule vor Ort.
Simone Fleischmann, Präsidentin des Bayerischen Lehrer- und Lehrinnenverbands (BLLV) sieht die Verantwortung weder bei den Schulen noch bei den Lehrkräften: "Die Verantwortung, was wir da verwenden und ob das datenschutzkonform ist, können wir nicht tragen." Sie fordert deshalb "ein scharfes Genehmigungsverfahren für alle im Netz befindlichen Lernplattformen".
Weil einzelne Schulen die Sicherheitsüberprüfung von Apps nicht leisten könnten, schlägt Datenschützer Thomas Petri eine Zertifizierung für Bildungs-Apps vor. Denkbar sei etwa eine Art Gütesiegel für Apps, die von unabhängigen, fachkundigen Stellen vergeben werden. Auf Nachfrage teilt ein Sprecher der Kultusministerkonferenz mit, derzeit werde an einem Projekt unter anderem zur Entwicklung von Prüfverfahren für digitale Bildungsmedien gearbeitet.
*Die Namen wurden von der Redaktion geändert.
"Darüber spricht Bayern": Der BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!