Hasso-Plattner-Institut Sicherheit zuerst: Wie die Schul-Cloud Pannen behebt

Die Schul-Cloud des Hasso-Plattner-Instituts bietet Schulen eine Plattform für das digitale Lernen.
Düsseldorf Lehrer können Hausaufgaben verteilen, Schüler gemeinsam Referate vorbereiten, Eltern mit dem Lehrpersonal chatten: Die Schul-Cloud des Hasso-Plattner-Instituts (HPI) bietet Schulen eine Plattform für das digitale Lernen – und zwar mit starkem Datenschutz, wie die Initiatoren immer betonen. Dieses Image hat jedoch gelitten. Das ARD-Magazin „Kontraste“ berichtete Mitte Mai über Datenschutzprobleme, die Externen den Zugriff auf die Namen von Schülern ermöglichte.
Die Probleme haben die Entwickler des HPI behoben, nach eigenen Angaben innerhalb weniger Stunden. Dabei will es die Institution aber nicht bewenden lassen: So ruhe derzeit die Entwicklung neuer Funktionen, um die Sicherheit zu stärken, sagt Direktor Christoph Meinel. Man führe zudem Gespräche mit einzelnen Bundesländern bezüglich externer Prüfungen, im Fachjargon Audits genannt. „Sicherheit und Datenschutz haben bei der Schul-Cloud von Beginn des Projekts an hohe Priorität, und wir stärken sie jetzt weiter“, sagt Meinel.
Das HPI begann 2016 mit der Entwicklung der Plattform, gefördert vom Bundesministerium für Bildung und Forschung (BMBF). Bislang haben sich Thüringen, Brandenburg und Niedersachsen für eine landesweite Nutzung entschieden. Aufgrund der Coronakrise hat das Bildungsministerium das System aber für alle Schulen geöffnet, die kein vergleichbares Angebot innerhalb des Bundeslandes oder des Schulträgers nutzen können. 3000 haben sich seither angemeldet.
Inmitten dieses Andrangs tauchten zwei Probleme auf. So konnten sich Externe unerlaubt Nutzerkonten anlegen und Nutzernamen lesen. Dabei habe sich ein Eindringling aber lediglich eine Liste mit den Namen von 103 Schülern verschafft, betonte Meinel. Zusätzlich konnten bestimmte Informationen aus dem Ticketsystem ausgelesen werden, das bei IT-Projekten für die Meldung von Problemen genutzt wird. Diese Lücke sei schon vor dem Hinweis geschlossen worden, so das HPI.
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Die Kritik fiel trotzdem heftig aus. „Aus der Schul-Cloud regnet es Daten“, schrieb beispielsweise die „Frankfurter Allgemeine Zeitung“. Meinel ärgert die Darstellung in den Medien, er hält sie teilweise für irreführend. Der Vorfall sei bedauerlich, der Schaden aber gering, zumal im Vergleich zu anderen Hackerangriffen. Zu einem ähnlichen Zeitpunkt erbeuteten Hacker beispielsweise bei Easyjet die Daten von neun Millionen Nutzern, inklusive E-Mail-Adressen und Kreditkartendaten.
Klar ist: Die Schul-Cloud steht nun unter besonderer Beobachtung. So stoppte Niedersachsen wegen der Vorfälle zwischenzeitlich die Einführung des Systems. Meinel verspricht daher deutliche Verbesserungen. „Wir überlegen mit den Ländern, die die Schul-Cloud einsetzen, wie wir im Zuge der Weiterentwicklung für bestmögliche Sicherheit und Vertrauen sorgen können“, sagt der HPI-Direktor. „In jedem Fall tun wir unser Bestes.“
Das Fazit: „Wenn man etwas Neues entwickelt, kann mal etwas schieflaufen.“ Dabei gehöre es zum Open-Source-Prinzip, den Quellcode offenzulegen und andere zur Mitarbeit und Verbesserung einzuladen. Hinweise von außen seien dafür sogar notwendig. Die Kritik komme aber nicht von ungefähr: „Ich stelle den Datenschutz immer in den Mittelpunkt – und daran müssen wir uns messen lassen“, sagte Meinel.
Anmerkung der Redaktion: In einer früheren Version war Prof. Meinel im Zusammenhang mit dem Datenschutz missverständlich zitiert worden.
Das Kommentieren dieses Artikels wurde deaktiviert.