Daten-Diebstahl trifft Schüler und Lehrer im Saarland
Ein Datenleck auf einer Lehrplattform des Potsdamer HassoPlattner-Instituts: Auch in Saarbrücken ist eine Schule davon betroffen.
(epd) Eine vom Bund geförderte Online-Lernplattform, die in abgewandelter Form in mehreren Bundesländern eingesetzt wird, ist von Hackern angegriffen worden. Im Saarland wurden Daten von 103 Schülern und Lehrern abgegriffen, bestätigte das Kultusministerium am Dienstag. Insgesamt sollen bundesweit 13 Schulen betroffen sein, an denen sich Nutzer registriert hatten.
Ein Hacker hat die Daten von 103 Schülern und Lehrern aus dem Saarland auf der Online-Lernplattform „HPI SchulCloud“abgegriffen. Das bestätigte das Kultusministerium gestern. Das Ministerium schreibt in seiner Mitteilung auch, dass es nicht der Anbieter dieses Systems sei. Das sei das
Hasso-Plattner-Institut (HPI). Das sitzt in Potsdam – und ist ein vom SAP-Mit-Gründer privat finanziertes IT-Institut. Die Entwicklung seiner „HPI Schul-Cloud“hat das Bundesbildungsministerium finanziell gefördert. Derzeit läuft das System vor allem in Brandenburg, Thüringen und Niedersachsen. Im Saarland bedienen sich lediglich fünf Schulen der „HPI Schul-Cloud“. Eine davon wurde nun gehackt. Im
Saarland setzen die Schulen meist auf „Online-Schule Saarland“aus dem Hause des Bildungsministeriums und des Landesinstituts für Pädagogik und Medien. Im hauseigenen System seien dem Ministerium keine „Sicherheitslücken bekannt“. Die fünf „HPI Schul-Cloud“-Nutzer im Saarland sollen den Service aus Potsdam nun solange nicht nutzen, bis der Vorfall aufgeklärt ist, fordert das Ministerium.
Bekannt ist die Lücke in der „HPI Schul-Cloud“bereits seit Mittwoch, 13. Mai. Die Nachricht kam anonym beim saarländischen Datenschutzzentrum an. Der Hinweisgeber behauptete, dass Hacker auf der „HPI Schul-Cloud“Namen abgegriffen habe. Als Beweis liefert er die Namen mit. „Sie waren authentisch. Ob der Hinweisgeber auch der Hacker ist, wissen wir nicht“, sagt Marco Schömer, Sprecher der Saar-Datenschützer. Welche Schule es sei, konne er aus datenschutzrechtlichen Gründen nicht sagen. Nur so viel: es sei eine Saarbrücker Schule.
Die Saar-Datenschützer leiteten die Nachricht weiter nach Brandenburg. „Wir wurden aus dem Saarland auf eine potenzielle Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen“, bestätigt Instituts-Direktor Professor Christoph Meinel der Deutschen Presse-Agentur (dpa). Das HPI habe die Lücke sofort geschlossen. „Die HPI Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und Sicherheit wird weiter ausgebaut“, so Meinel.
„Den Hackern war es offenbar möglich, sich illegal einen Account in der HPI Schul-Cloud
anzulegen.“
Prof. Christoph Meinel
Instituts-Direktor
Wie sind die oder der Hacker vorgegangen? Laut Homepage des HPI wie folgt: Am 13. Mai habe sich der Hacker mit einer so genannten „Wegwerf-Emai-Adresse“als Schüler registriert. „Nachdem er Zugang zu der Schule hatte, erstellte er sich als Schüler selbst ein Team. Über die ‚NutzerInnen einladen‘ Funktion in Teams hatte er nun Zugriff auf eine
Liste mit Vor- und Nachnamen aller NutzerInnen der Schule“, schreibt das Institut. Das war es. Insgesamt bei 13 Schulen versuchte der Hacker es, teilt das HPI mit, nicht bei allen war er erfolgreich. Diese Schulen hatten die Funktion, dass Schüler selbst Teams erstellen können, abgestellt. „Der Hacker „hat wahrscheinlich einen schulweiten Registrierungslink
verwendet. Auch diese Funktion wurde von uns umgehend entfernt“, schreibt das HPI. Bereits am 14. Mai sei eine aktualisierte Version der Webanwendung ohne diese Funktionalität online gegangen.
Seit Dienstag ermittelt die Fachabteilung Cybercrime in diesem Fall gegen unbekannt, teilte die Saar-Polizei mit.