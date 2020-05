Das Hasso-Plattner-Institut hat eine Datenschutzlücke in der HPI Schul-Cloud geschlossen. "Wir wurden vom saarländischen Datenschutzbeauftragten auf eine potenzielle Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen", sagte Instituts-Direktor Prof. Christoph Meinel der dpa.

Nach HPI-Angaben konnten sich Unberechtigte über einen allgemeinen Einladungs-Link als vermeintliche Schulangehörige bei dem System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen und Schüler sowie Lehrkräfte in dieses Team einzuladen.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

In Niedersachsen wird die Übertragung von Nutzerdaten in eine Schul-Cloud vorübergehend ausgesetzt, wie die Neue Osnabrücker Zeitung berichtet. In Niedersachsen sollten am Montag eigentlich 450 Schulen an dieses Netzwerk angeschlossen werden. Wegen des Vorfalls würden nun vorerst keine Nutzerdaten hochgeladen.

Namen von Schülern und Lehrern

Die Cloud-Software des HPI wird in abgewandelter Form in mehreren Bundesländern eingesetzt. Laut dem HPI wurde im Saarland eine Liste von gut 100 Namen von Schülern und Lehrern bekannt, die sich Hacker angeeignet hatten. Insgesamt sollen bundesweit 13 Schulen betroffen sein, an denen sich einer oder mehrere auffällige Nutzer registriert hatten, davon sechs in Brandenburg, heißt es in dem Zeitungsbericht.

Das HPI wurde im Rahmen des Vorfalls auch auf eine kleinere Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden. "Das Ticketsystem der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der Entwicklung zu gewährleisten." Da das Ticketsystem aber schon vor dem Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren Maßnahmen ergriffen. (anw)