Die Schul-App Scoolio ist leichtfertig mit den Daten ihrer User umgegangen. Zeitweise kursierten E-Mail-Adressen, Geburtsdaten und Standorte von rund 400.000 minderjährigen Schüler:innen im Netz. Mittlerweile ist das Leck zwar wieder geschlossen. Ob und inwieweit Daten abgegriffen wurden ist allerdings unklar.
Die Scoolio GmbH wurde im Jahr 2016 gegründet. Die namensgleiche App soll Schüler:innen den Alltag erleichtern. Mithilfe von Scoolio können sie ihre Hausaufgaben planen, ihre Noten einsehen oder mit Klassenkamerad:innen chatten. Offiziellen Angaben zufolge hat die aus Dresden stammende App mehrere Hunderttausend User.
Doch wie die Recherche der IT-Sicherheitsexpertin Lilith Wittmann offenbart, hat Scoolio die Daten seiner Nutzer:innen nicht ausreichend geschützt. Aufgrund einer Sicherheitslücke sollen private Informationen wie E-Mail-Adressen, Standorte und Geburtsdaten im Netz sichtbar gewesen sein.
Scoolio: Daten von 400.000 Schüler:innen im Netz
Lilith Wittmann hat die Sicherheitslücke von Scoolio bereits vor einigen Wochen entdeckt.
In einem ausführlichen Bericht des IT-Sicherheitskollektivs Zerforschung erläutert sie, wie einfach es gewesen sei, die Daten mitzulesen. Insgesamt sollen dabei private Informationen von mindestens 400.000 minderjährigen Schüler:innen im Netz zugänglich gewesen sein.
Um einen Missbrauch zu vermeiden, hat sich Wittmann erst jetzt an die Öffentlichkeit gewandt. Zuvor hat sie sowohl Scoolio als auch das Bundesamt für Sicherheit in der Informationstechnik und den sächsischen Datenschutzbeauftragten über die Sicherheitslücke informiert.
Sicherheitslücke zu spät geschlossen?
Scoolio hat sich derweil bei den IT-Expert:innen von Zerforschung bedankt. Die Sicherheitslücke wurde geschlossen. Allerdings hat die Schul-App über 30 Tage dafür gebraucht. Zu lange, wie die Aktivist:innen finden. Zwar hat das Unternehmen alle Beteiligten über seine Fortschritte informiert.
Allerdings hätte das Datenleck laut Wittmann nach spätestens 72 Stunden geschlossen sein müssen. Scoolio hätte die betroffenen Nutzer:innen zudem informieren sollen. Der Datenschutzbeauftragte Sachsens äußerte gegenüber dem MDR derweil, dass er das Vorgehen und die zeitlichen Abläufe von Scoolio für vertretbar halte.
„Erste informationssicherheitstechnische Maßnahmen“ seien bereits zuvor eingeleitet worden und nicht erst nach 30 Tagen. Das Land Sachsen gilt dabei als offizieller Förderer der Schul-App. Über einen Technologiefonds hat der Freistaat das Unternehmen mit öffentlichen Geldern aus Sachsen und der EU unterstützt.
Auch interessant:
