Datenschutz: Unberechtigte Accounts in Schul-Cloud

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Artikel veröffentlicht am ,
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen.
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen. (Bild: Hasso-Plattner-Institut)

Auf mehreren Instanzen der Schul-Cloud, die vom Hasso-Plattner-Institut (HPI) bereitgestellt wird, konnten sich Unbefugte Zugänge anlegen und damit Daten von Schülern auslesen. Das wurde offenbar anonym den saarländischen Datenschutzbehörden gemeldet.

Stellenmarkt
  1. IT-Anwendungsbetreuer klinische Systeme (m/w/d)
    Helios IT Service GmbH, Zerbst
  2. IT Business Analyst (m/w/d) Base Services
    ING Deutschland, Nürnberg
Detailsuche

Wie aus dem Blogpost des Schul-Cloud-Projekts hervorgeht, erfolgte der Angriff über einen Registrierungslink. Demnach konnte man sich einen solchen Registrierungslink erstellen, wenn man die ID der jeweiligen Schule kannte. Die Schul-ID wiederum war öffentlich auffindbar.

Daten von 103 Schülern wurden Datenschutzbehörden zugespielt

Mit dieser Methode hatte sich eine unbekannte Person an einer saarländischen Schule einen Account mit einer Wegwerf-Mailadresse angelegt und damit die Daten ausgelesen. Daten von 103 Schülern, die offenbar authentisch waren, wurden der dortigen Datenschutzbehörde zugespielt.

Insgesamt konnte das Hasso-Plattner-Institut daraufhin 13 Schulen identifizieren, an denen derartige Accounts angelegt wurden. Bei vier der Schulen handelte es sich lediglich um Partner bei Testprojekten, die die Cloud nicht mit Schülerdaten befüllt hatten.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die Funktionalität eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Schulen sollen stattdessen persönliche Einladungslinks oder andere Formen der Nutzerregistrierung verwenden.

Private Daten im Ticketsystem

Bei der Überprüfung des Vorfalls fiel den Betreibern der Schul-Cloud dann noch ein weiteres Datenschutzproblem auf: In einem Ticketsystem, das zur Entwicklung der Software genutzt wird, waren einige Tickets öffentlich einsehbar, die Namen, Mailadressen und Telefonnummern von Nutzern enthielten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Victorian Big Battery
Tesla-Speicher brannte vier Tage lang

Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
Artikel
  1. Windows 365: Der mietbare Cloud-PC mit Windows kann bestellt werden
    Windows 365
    Der mietbare Cloud-PC mit Windows kann bestellt werden

    Microsoft startet mit Windows 365 und gibt Preise für den Cloud-PC bekannt. Die VMs sollen wie physische Windows-PCs funktionieren.

  2. Android: Googles Tensor-SoC ist eine halbe Mogelpackung
    Android
    Googles Tensor-SoC ist eine halbe Mogelpackung

    Für seinen ersten eigenen Smartphone-Chip liefert Google ausschließlich Erwartbares und dämpft damit sämtliche Hoffnungen an besseren Support und gute Linux-Treiber.
    Ein IMHO von Sebastian Grüner

  3. Apple-Tastatur: Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich
    Apple-Tastatur
    Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich

    Apple verkauft das Magic Keyboard mit Fingerabdruckscanner Touch ID nun auch einzeln - mit und ohne Ziffernblock.


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /