Scoolio-Datenleck: Feinheiten von 400.000 Minderjährigen online

Das Start-up Scoolio GmbH besteht seit 2016. Die gleichnamige App soll den Alltag von Schülerinnen und Schülern erleichtern. User planen Hausaufgaben, sehen Noten ein oder chatten miteinander. Wie der MDR berichtet, hat die bekannte IT-Sicherheitsaktivistin Lilith Wittmann nun in Zusammenarbeit mit ihren Kolleginnen und Kollegen des Sicherheitskollektivs zerforschung eine schwerwiegende Sicherheitslücke gefunden, die jahrelang das Abgreifen zahlreicher Daten ermöglichte.

Der beste Virenschutz

Testsieger

Avast

Details zum Test

Detail-Button-Pfeil

Pro

  • Bester Virenschutz
  • Zweitbestes VPN

Kontra

  • Wichtige Extras fehlen
  • schlechte AGB


Kaspersky

Details zum Test

Detail-Button-Pfeil

Pro

  • Guter Virenschutz
  • Beste Zusatzausstattung

Kontra

  • Schwacher Schutz ohne Internet
  • Schlechtes VPN mit wenig Volumen

G Data Total Security

G Data

Details zum Test

Detail-Button-Pfeil

Pro

  • Bester Virenschutz
  • Fehlerfreier Labortest

Eset Smart Security Premium

Eset

Details zum Test

Detail-Button-Pfeil

Pro

  • Bremst den PC kaum aus
  • Kaum Fehlalarme

Norton 360 Premium

NortonLifeLock

Details zum Test

Detail-Button-Pfeil

Kontra

  • Viele Fehlalarme
  • Schwacher Schutz ohne Internetverbindung

Bitdefender Premium Security

Bitdefender

Details zum Test

Detail-Button-Pfeil

Pro

  • Beste Schutzausstattung
  • Wenig Ressourcenhunger

Kontra

  • Wichtige Extras fehlen
  • Etwas umständlicher Programmaufbau

Avira Prime

Avira

Details zum Test

Detail-Button-Pfeil

Kontra

  • Umständliche Bedienung
  • Wichtige Extras fehlen

Windows Defender

Testnote

2,5

befriedigend

Microsoft

Details zum Test

Detail-Button-Pfeil

Kontra

  • Schwacher Schutz ohne Internet
  • Wichtige Extras fehlen

Komplette Liste: Der beste Virenschutz

400.000 Minderjährige betroffen

Das Team von zerforschung fasst das Datenleck in seinem offiziellen Blogbeitrag mit “Das kann doch alles nicht wahr sein!” zusammen. In dem originell geschriebenen Bericht erklären die Sicherheitsprofis mit einer “Kellerbesichtigungs”-Metapher, wo die Datenlecks aus der Schul-App zu finden waren: Durch die Sicherheitslücke war es zerforschung laut MDR möglich, über eine Programmierschnittstelle Daten wie E-Mail-Adressen, Geburtsdaten und Standorte von 400.000 Schülerinnen und Schülern einzusehen. Teilweise gab es Einblicke in Interessen sowie sensible Persönlichkeitsmerkmale wie Herkunft, Religion oder Sexualität der Minderjährigen. Scoolio ermöglichte beispielsweise die Einsicht in frei definierbare Chaträume wie “Christen” oder “LGBTQ”. Nicht nur, dass diese Gruppen persönliche Details über sexuelle Orientierung, Religion oder Herkunft preisgegeben haben, sie seien auch nicht ausreichend moderiert worden, so das Team. Um das zu entlarven, erstellten die IT-Expertinnen und Experten ein Profil mit der Altersangabe 33, das problemlos in die Chaträume gelangen konnte, ohne dass Scoolio es entfernte.

Weitere Kritikpunkte

zerforschung wirft der Schul-App vor, mithilfe von “Persönlichkeitstests in Form von Jobquizzes und anderen lustigen Mini-Games” gezielt Werbung zu schalten und teilweise an Unternehmen zu verkaufen, um marketingrelevante Aspekte zu gewinnen. Die Sicherheitsfachleute kritisieren auch den Staat, der in den vergangenen fünf Jahren 2 Millionen Euro in das Start-up investiert haben soll. (Staatliche) Investoren führen eine sogenannte Due Diligence durch, die ein Unternehmen von der Finanzplanung bis zur IT-Sicherheit prüft. Laut zerforschung macht schoolio nicht den Eindruck, als sei es einer solchen Sicherheitsprüfung unterzogen worden.

Sicherheitsleck wurde gestopft

Die Sicherheitslücke, über die zerforschung am 20. und 21. September 2021 sowohl Scoolio als auch das Bundesamt für Sicherheit in der Informationstechnik und den Sächsischen Datenschutzbeauftragten informiert hat, ist nun geschlossen worden. Es wurde eine 30-tägige Offenlegungsfrist eingeräumt, bis sich die Beteiligten Anfang dieser Woche an die Öffentlichkeit gewandt haben. Allerdings, so Wittmann im MDR-Bericht, hätte Scoolio die Lücke innerhalb von 72 Stunden schließen und alle informieren müssen. In einer offiziellen Pressemitteilung bedankte sich Scoolio bei dem IT-Team für den Hinweis auf die Sicherheitslücke und teilte mit, dass das Start-up “bis zum Ende des Jahres mehrere Maßnahmen zum Daten- und Jugendschutz” ergreifen wolle.

Berlin Ernachrichten