Die Gruppe Zerforschung hat sich eine weitere App vorgenommen, die sich mit ihrem Angebot auch an Schülerinnen und Schüler wendet, StudySmarter. In einem Bericht auf der Website der Gruppe vom 07.11.2021 mit dem Titel Zu Besuch bei Deutschlands bestem EdTech-Datenleck – virtuell natürlich wird beschrieben, wie die Gruppe auf die Sicherheitslücke aufmerksam wurde und welche Daten dabei offen lagen. Zerforschung konnte auf alle Daten aller Nutzer zugreifen. Es wurden dann die zuständige Aufsichtsbehörde, die Firma und das CERT Bund informiert. Es dauerte etwas, bis man bei der Firma Erfolg hatte. Dort reagierte man jedoch schnell und schloss die Sicherheitslücke. Zerforschung fiel auf, dass StudySmarter zwar einen Sicherheitsaudit hatte machen lassen, dieser jedoch das Sicherheitsproblem nicht entdeckt hatte. Auch die Geldgeber hätten hier genauer hinschauen müssen. Die Mängel in der Plattform sind für Zerforschung grundsätzlicher Natur.
„Wenn solche eklatanten Sicherheitslücken erst bei Audits gefunden werden, ist der Softwareentwicklungsprozess kaputt.
Um die Auswirkungen solcher Fehler zu minimieren, braucht man zusätzlich Konzepte, wie man so wenig wie möglich Daten speichert – denn Daten, die nicht gespeichert werden, können auch nicht abfließen.“
Für Zerforschung ist klar, die Aufsichtsbehörden müssen finanziell und personell besser ausgestattet werden, um hier genauer hinsehen zu können.
Bewertung
Der Fall zeigt einmal mehr, wie wichtig es ist, Plattformen auf Herz und Nieren zu testen. Eine Prüfung der Datenschutzangaben der Anbieter alleine reicht nicht aus. Wenn tatsächlich von Aufsichtsbehörden Whitelists erstellt werden, sollte es einen Prozess geben, der sicherstellt, dass als unbedenklich eingestufte Apps auch sicher sind.