Eine Frau sieht sich auf einem Laptop die App Learnu an | WDR

Nordrhein-Westfalen NRW-Datenschutzbeauftragte fordert verpflichtende Zertifizierung von Lern-Apps

Stand: 14.11.2021 07:00 Uhr

Eine Hausaufgaben-App aus NRW hatte die Daten von über 300.000 Nutzern unzureichend geschützt: Außenstehende hätten persönliche Daten auslesen können. Die neue NRW-Datenschützerin Bettina Gayk fordert die Politik zum Handeln auf.

Von Christian Basl und Martina Koch

Plötzlich ging in der Hausaufgaben-App "Learnu" gar nichts mehr. Ein Nutzer im Appstore schreibt am 1. November: "Seit ein paar Tagen kann ich weder auf die App zugreifen noch mich erneut anmelden."

Die Betreiber aus Monheim am Rhein hatten sie schon Tage zuvor offline genommen. In ihrer App war eine Sicherheitslücke bekannt geworden: Vollständige Namen, E-Mail-Adressen, Profilbilder, Schul- und Stufenzugehörigkeit von Nutzern und Nutzerinnen waren unzureichend geschützt und potentiell von Unbefugten abrufbar. Betroffen sind mutmaßlich mehr als 300.000 Nutzer und Nutzerinnen. Durch eine weitere Lücke war es offenbar möglich, auch Passwörter von potentiell allen Nutzerinnen und Nutzern zu umgehen.

Landesdatenschutzbeauftragte sieht "hohes Schadenspotential"

Entdeckt hat die Lücke das IT-Sicherheitskollektiv Zerforschung, lediglich zwei Stunden hätten sie dafür gebraucht: "Diese App war ein einziger Datenabfluss. Wir haben da eine ganze Reihe von Lücken gefunden", sagt Lilith Wittmann von Zerforschung. Das IT-Sicherheitskollektiv hatte das Bundesamt für Sicherheit in der Informationstechnik schließlich über die Lücke informiert, das bestätigte die Lücke. Auch die Betreiber der App räumen die Sicherheitslücke auf Nachfrage ein.

Die Landesdatenschutzbeauftragte von NRW Bettina Gayk in einem Interview | WDR

NRW-Datenschutzbeauftragte Bettina Gayk Bild: WDR

Die zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LfDI NRW) geht angesichts der Vielzahl von Betroffenen von einem "hohen Schadenspotential" aus. Die Daten seien dazu geeignet, "dass man Opfer von Spam wird, aber auch von Phishing-Attacken oder Identitätsdiebstahl", sagt Bettina Gayk im Interview mit dem WDR-Magazin Westpol.

Landesdatenschützerin fordert verpflichtende Zertifizierung von Apps

Learnu ist kein Einzelfall: Immer wieder kam es in diesem Jahr vor, dass in Apps oder IT-Anwendungen für Schülerinnen und Schüler Sicherheitslücken entdeckt werden. Etwa bei der App Scoolio: Durch eine Sicherheitslücke waren E-Mail-Adressen, Geburtsdaten und sogar Standorte von Schülern und Schülerinnen abrufbar. Oder im Fall der Anton-App, die von der EU gefördert wird und von der Politik empfohlen wurde: Dort waren nicht nur persönliche Daten einsehbar, sondern Fremde hätten sich durch eine Sicherheitslücke potentiell als Lehrkräfte ausgeben können.

Landesdatenschützerin Bettina Gayk sieht politischen Handlungsbedarf. Im Westpol-Interview fordert sie eine verpflichtende Zertifizierung von Apps für Kinder und Jugendliche: "Wenn man einen hohen Schutz der Kinder erreichen will, ist da der Gesetzgeber gefordert und müsste eine Zertifizierung dann auch gesetzlich vorschreiben. Sonst kommen wir da nicht weiter."

Freiwilliges IT-Sicherheitskennzeichen soll Ende 2021 kommen

Die bildungspolitische Sprecherin der Grünen Sigrid Beer spricht sich ebenso für Zertifizierungen von Apps aus. Sie wirft dem Land NRW zudem vor, wenig für den Datenschutz an Schulen getan zu haben: "Da ist eine große Untätigkeit, während in anderen Ländern etwas passiert", sagt sie. Der Thüringer Datenschützer Lutz Hasse etwa habe an alle Schulen eine "White-List" mit Software-Empfehlungen geschickt. So etwas wünscht sich Beer auch für NRW: "Die Schulleitungen und auch die einzelnen Lehrerinnen und Lehrer sind vollkommen überfordert, die datenschutzrechtlichen Bedingungen zu klären und darzulegen, wie sicher die Software ist."

Yvonne Gebauer, Schulministerin,Pressekonferenz am 27.08.2021 | WDR

Schulministerin Yvonne Gebauer (FDP) Bild: WDR

NRW-Schulministerin Yvonne Gebauer (FDP) verweist darauf, dass eine solche Liste länderübergreifend vereinheitlicht werden müsse: Auf der Kultusministerkonferenz sei beschlossen worden, gemeinsam mit allen Landesdatenschutzbeauftragten an einer länderübergreifenden Liste von erlaubten IT-Anwendungen zu arbeiten, "weil wir eben nicht diesen Flickenteppich wollen." Gebauer hält zudem ein Gütesiegel für "wünschenswert" und im Interesse aller Länder: "Deswegen sollte man hier zusammen mit Land, den Ländern und dem Bund hier ein ordentliches Verfahren aufsetzen, was dann vielleicht am Ende des Tages tatsächlich das Gütesiegel mit sich bringt", sagt sie.

Ende des Jahres soll zwar vom Bundesamt für Sicherheit in der Informationstechnik ein IT-Sicherheitskennzeichen eingeführt werden, aber das ist bislang nur freiwillig und zunächst nur für E-Mail-Server und Breitbandrouter geplant. Am Karlsruher Institut für Technologie startet zudem bald ein Forschungsprojekt des Bundes: Ziel ist ein Gütesiegel, das Datenschutz garantiert – Lern-Apps könnten dann nicht nur von staatlichen, sondern auch von unabhängigen Prüfstellen zertifiziert werden.

Sicherheitsexpertin: Zertifizierungen sind der falsche Weg

Nach Einschätzung von Lilith Wittmann von Zerforschung sind Sicherheitskennzeichen der falsche Weg. "Software verändert sich im Wochenzyklus", sagt sie. "Das würde dann bedeuten, dass man so eine Zertifizierung für Software quasi durchgehend weiterlaufen lassen müsste." Wichtiger sei es, den Landesdatenschützern die Möglichkeit zu geben, proaktiv mehr Apps zu testen und nach Sicherheitslücken zu suchen.

Bislang werden Landesdatenschutzbeauftragte in der Regel nur aktiv, wenn sie eine Meldung über eine potentielle Sicherheitslücke erhalten. "Wir machen Stichprobenkontrollen, aber dass wir eine systematische, breite Kontrolle aller Apps vornehmen, dafür bestehen hier gar keine Kapazitäten", sagt NRW-Landesdatenschutzbeauftragte Gayk.

Learnu hat die Lücke eingeräumt und, wie gesetzlich vorgeschrieben, gemeldet. Die beiden Gründer Eldrick Lindner und Oskar Schnee haben die App während ihrer Schulzeit mit einem externen Anbieter entwickelt und im August 2020 auf den Markt gebracht. Im eigenen Learnu-Podcast hatten die Gründer noch erklärt, dass die Daten "sicher auf deutschen Servern" gespeichert seien. Heute geben sie zu: "Eigene Fachkenntnisse in IT-Sicherheitsfragen hatten wir nicht. Wir als Gründer haben uns auf dieses Know-How des externen IT-Beraters verlassen."

Datenabfluss derzeit noch unklar

Mit Learnu war es möglich, Hausaufgaben mit anderen Schülern und Schülerinnen zu teilen und damit Geld zu verdienen. Die App bleibt nach Angaben der Betreiber jetzt offline, das Projekt sei für sie damit beendet. "Das Offline-nehmen der App war der schnellste, effizienteste und sicherste Weg, die Daten der Nutzer keinem weiteren Risiko auszusetzen und einen möglichen Zugriff von Dritten auszuschließen", schreiben die Betreiber von Learnu.

Zudem gaben sie an, dass es "nicht erforderlich ist, die Nutzer*innen zu informieren." Zu diesem Ergebnis seien sie in Abstimmung mit der LfDI NRW gekommen. Dies sei laut LfDI NRW jedoch ein Missverständnis: Sollten tatsächlich Daten abgeflossen sein, "besteht natürlich eine Verpflichtung, die Betroffenen zu unterrichten." Ob tatsächlich Daten abgeflossen sind, werde laut Landesdatenschutzbeauftragte derzeit noch geprüft.

Quelle: wdr.de