Daten von 400.000 Schülerinnen und Schülern im Netz abrufbar

28. Oktober 2021

Die Schul-App Scoolio hat die personenbezogenen Daten ihrer Nutzerinnen und Nutzer, also minderjähriger Schüler, nicht ausreichend geschützt. Das hat die IT-Sicherheitsaktivistin Lillith Wittmann mit ihren Kollegen des IT-Sicherheitskollektiv „Zerforschung“ herausgefunden. Laut dem App-Anbieter wurden die Sicherheitslücken inzwischen geschlossen.

Die Sicherheitsforscher konnten über einen sogenannten Person-in-the-Middle-Proxy nachvollziehen, dass die Schnittstellen in der Kommunikation zwischen der App und den Nutzern nicht ausreichend gesichert waren. Dadurch konnten sie auf alle Daten von allen Nutzern zugreifen, also Nicknames, Geburtsdaten, E-Mail-Adresse und auch den Standort.

Die Missbrauchs-Potentiale sind groß, in der App können Chaträume wie „Christen“ oder „LGBTQ“ erstellt werden, sodass über die Mitgliedschaften auch Informationen über besondere Kategorien personenbezogener Daten erlangt werden können. Außerdem kann die App für Cybergrooming von Erwachsenen missbraucht werden. Es sei möglich gewesen, ein Profil für eine 33 Jahre alte Person anzulegen und damit Zutritt zur Chatgruppe „Suche Freund zwischen 12 und 13“ zu bekommen.

Die in Dresden ansässige Scoolio GmbH hat die Sicherheitslücken nach mehr als 30 Tagen geschlossen, wichtige Schutzmaßnahmen aber kurzfristig umgesetzt. Aus diesem Grund hat der Datenschutzbeauftragte Sachsens keine weiteren Maßnahmen oder Bescheid erlassen. Der Verantwortliche habe sich kooperativ gezeigt und dankte auch den Sicherheitsforschern. Zusätzlich interessant ist, dass der Technologiegründerfonds Sachsen mit öffentlichem Geld aus Sachsen und der EU in Scoolio investiert hat.