Zerforschung hat sich Learnu vorgenommen

Die Gruppe Zerforschung, die schon mit der Aufdeckung von schweren Sicherheitslücken und zweifelhaften Datenschutzpraktiken bei Scoolio auf sich aufmerksam machte, hat sich nun die Hausaufgaben App learnu vorgenommen und am 11.11.2021 einen Beitrag dazu veröffentlicht. Auch bei dieser App konnten sie schwere Sicherheitslücken ermitteln, die es Angreifern ermöglicht hätten, die Daten von einer halben Million Nutzerkonten abzugreifen. Der Beitrag ist auch lesenswert, weil die Gruppe ihre Methoden offenlegt. Klar wird dabei auch, dass hier Detektivarbeit geleistet wird, die ausreichende Fachkenntnisse voraussetzt. Die Veröffentlichung von Zerforschung hat bereits in anderen Medien ihren Niederschlag gefunden. WDR Westpol hat sich umgehört und berichtet unter NRW-Datenschutzbeauftragte fordert verpflichtende Zertifizierung von Lern-Apps. Zu Wort kommen dabei die LDI NRW wie auch Lilith Wittmann von Zerforschung. Die LDI NRW, Frau Bettina Gayk, sieht in der bekannt gewordenen Sicherheitslücke ein hohes Schadpotential für Betroffene, weil die Daten der Schülerinnen und Schüler, wenn sie in falsche Hände fallen, missbraucht werden können. Gegenüber Westpol fordert die LDI NRW wegen der mit vergleichbaren Sicherheitslücken in in Schule genutzten Apps eine verpflichtende Zertifizierung und sieht die Politik in der Pflicht. Diese Position unterstützt laut Beitrag von Westpol auch die bildungspolitische Sprecherin der Grünen, Sigrid Beer. Auch die Schulministerin wurde vom WDR befragt. Sie hält ein Gütesiegel für sinnvoll, will es jedoch nicht auf Länderebene ansiedeln. Ob das vom BSI zum Jahresende geplante IT-Sicherheitskennzeichen, welches dann auch von unabhängigen Prüfstellen vergeben werden kann, eine Lösung darstellt, wird man sehen. Lilith Wittmann von Zerforschung hält den Weg einer Zertifizierung für den falschen, da sich Software fortlaufend verändert, und fordert stattdessen mehr Ressourcen für die Aufsichtsbehörden.

Sicherheit ist ein Problem. Wie das Beispiel learnu zeigt, verfügt nicht jeder App Entwickler auch über ausreichende Kenntnisse in diesem Bereich. Auch große Plattformen von international tätigen Software Konzernen oder Bildungsverlagen können Sicherheitslücken haben. Niemand ist davor sicher. Bei kleinen, überschaubaren Plattformen sollte eine Absicherung mit entsprechenden Fachkenntnissen jedoch noch gut möglich sein. Eine Zertifizierung kann für Schulen auf jeden Fall eine Hilfe sein, eine Plattform zu bewerten. Dabei gibt es jedoch zwei Probleme. Das eine ist die Weiterentwicklung von Plattformen. Mit jedem neuen Update oder zusätzlichem Feature kann potentiell eine Sicherheitslücke entstehen, wenn die Entwickler dabei Fehler machen. Das andere sind die Kosten für eine Zertifizierung. Diese werden je nach Umfang der Funktionalitäten einer Plattform/ App schnell in die Zehntausende gehen. Ein kleines StartUp, welches sich mit einer neuen Idee am Markt einbringen kann, wird diese Kosten vielleicht nicht stemmen können und dann nie eine Chance haben gegen die großen Platzhirsche am Markt, die solche Kosten aus der Portokasse zahlen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.