Der Startbildschirm der Lern-App "Anton" wird auf einem Tablet angezeigt.
Exklusiv

Lern-App "Anton" Massive Sicherheitslücke bei Schul-App

Stand: 10.03.2021 06:00 Uhr

Schulen in ganz Deutschland nutzen die Lern-App "Anton". Nach BR-Recherchen gab es dort eine gravierende Sicherheitslücke: Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.

Von Christian Basl, Stefanie Heiß und Maximilian Zierer, BR

Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte - diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App "Anton" waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern.                              

Sicherheitslücke bei BR-Recherche entdeckt

Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der "Anton"-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.

Offen lagen bis dahin unter anderem Vor- und Nachnamen von Schülern, außerdem Informationen zu Lernfortschritten, Klassen- und Schulzugehörigkeit, und zu welchem Zeitpunkt die Schüler eingeloggt waren. Darüber hinaus wäre es nach BR-Informationen für Außenstehende theoretisch möglich gewesen, sich als Lehrkraft auszugeben und Nachrichten an Schüler in Lerngruppen einzustellen.

Auszug aus dem Code einer Lern-App

Außenstehende hätten aus der App persönliche Daten auslesen können.

Datenschützer: Kinder besonders schutzwürdig

Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer "schlimmen Situation", denn Kinder seien besonders schutzwürdig. In anderen Fällen seien solche Sicherheitslücken genutzt worden, "um entweder die Lehrkräfte zu beleidigen oder Schulkinder zu verängstigen oder zu belästigen". Außerdem könnten solche Schwachstellen Chancen für Kriminelle eröffnen, Daten für Betrugsversuche abzugreifen.

Nach BR-Recherchen nutzen Schulen aus ganz Deutschland die App, alleine für München finden sich Daten von mehr als 3000 Schülern und über 200 Schulen. Auch in Österreich, der Schweiz und anderen Ländern setzen Schulen die App ein. Im App-Store für Android-Geräte wurde "Anton" mehr als eine Million Mal heruntergeladen.

Laut Anbieter kein Hinweis auf Datenabfluss

Die Berliner Firma Solocode, Entwickler der Anton-App, räumt die Sicherheitslücke auf BR-Anfrage ein. Wie viele Nutzer potenziell betroffen waren, teilt das Unternehmen auf Nachfrage nicht mit. Nach derzeitigem Kenntnisstand sei "kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt". Derzeit untersuche man, ob es in der Vergangenheit Versuche gegeben hat, die Sicherheitslücke auszunutzen, und informiere betroffene Schulen, Nutzer und die Datenschutzbeauftragten umgehend. Auch die zuständige Berliner Datenschutzbehörde sei informiert worden. "Der Datenschutz und die Sicherheit von Nutzerdaten ist uns ein wichtiges Anliegen", so das Unternehmen. Eine Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit bestätigte auf Anfrage, dass der Vorfall gemeldet worden ist.

Die App wird von der EU und der Berliner Senatsverwaltung finanziell gefördert und gilt prinzipiell als besonders datenschutzfreundlich, da sie verhältnismäßig wenige Nutzerdaten erhebt. So gibt das Bundesbildungsministerium auf BR-Anfrage an, es sei positiv, dass die "Anton"-App ausdrücklich auf die Beachtung von Datenschutzfragen hin konzipiert sei.

Bundesbildungsministerin Anja Karliczek (CDU) bezeichnete die Anwendung in einem Interview mit der "Zeit" als "gute Lern-App für Grundschüler". Erst vor Kurzem zeigte sich auch die Staatsministerin für Digitalisierung Dorothee Bär (CSU) auf Instagram mit einem der Gründer der "Anton"-App.

Ministerien prüfen Lern-Apps nicht selbst

Offen ist, wieso die Lücke bis vor Kurzem unentdeckt blieb. Das Bundesbildungsministerium gibt an, bei Apps keine Prüfung auf Sicherheitslücken vornehmen zu können. Auch das bayerische Kultusministerium teilt mit, eine Überprüfung von Drittanbieter-Apps sei im bayerischen Kultusministerium und - soweit bekannt - auch in den Kultusministerien der übrigen Länder nicht vorgesehen. Die sichere Ausgestaltung der App sei Aufgabe des Anbieters, so ein Ministeriumssprecher. Die Entscheidung, welche Apps von Drittanbietern eingesetzt werden, treffe jedoch die einzelne Schule vor Ort.

Simone Fleischmann, Präsidentin des Bayerischen Lehrer- und Lehrinnenverbands (BLLV) sieht die Verantwortung weder bei den Schulen noch bei den Lehrkräften: "Die Verantwortung, was wir da verwenden und ob das datenschutzkonform ist, können wir nicht tragen." Sie fordert deshalb "ein scharfes Genehmigungsverfahren für alle diese im Netz befindlichen Lernplattformen". Auf Nachfrage teilt ein Sprecher der Kultusministerkonferenz mit, derzeit werde an einem Projekt zur Entwicklung von Prüfverfahren für digitale Bildungsmedien gearbeitet.

Mehr dazu am 10.03.2021 um 21:15 Uhr bei Kontrovers im BR Fernsehen.

Über dieses Thema berichtete B5 aktuell am 10. März 2021 um 08:31 Uhr.

IHRE MEINUNG

KOMMENTARE

avatar
Moderation 10.03.2021 • 14:51 Uhr

Schließung der Kommentarfunktion

Sehr geehrte User, die Meldung wurde bereits sehr stark diskutiert. Entscheidende neue Aspekte, die einer konstruktiven Diskussion förderlich wären, sind nicht mehr hinzugekommen. Deshalb haben wir beschlossen, die Kommentarfunktion zu schließen. Die Moderation