Schon im Dezember 2022 veröffentlichte, Internet Safety Labs (ISL), eine amerikanische Nonprofit Internet Sicherheitsorganisation, den ersten Teil zu einer landesumfassenden Studie, in welcher es um die Sicherheit von an Schulen genutzten Apps geht. Untersucht wurden dabei Apps, deren Nutzung empfohlen oder sogar verpflichtend war. 1.357 Apps wurden untersucht und dabei wurden über 88.000 Datenpunkte zu den Apps und über 29.000 Datenpunkten zu den Schulen gesammelt und ausgewertet. Im Ergebnis zeigte sich, dass nahezu alle Apps (96%) Daten mit Dritten teilen. In 78 % der Fälle wurden Daten mit Werbe- und Datenanalyseunternehmen geteilt. In der Regel erfolgte dieses ohne das Wissen oder die Zustimmung der Nutzer oder der Schulen. Das so die Autoren der Studie, macht die Apps unsicher. Von den untersuchten Apps waren 28% nicht spezielle Apps für den Bildungsbereich. In 23% der untersuchten Apps wurde den Schülerinnen und Schülern Werbung angezeigt, wodurch ihre Daten an Werbenetzwerke übermittelt werden. Mehr als die Hälfte dieser Apps bzw. 13% aller Apps nutzen Retargeting-Anzeigen, bei denen Cookies, Suchvorgänge und des Website-Verlaufs genutzt werden, um gezielte Werbung zu schalten. Damit, so ISL, werden noch mehr personenbezogenen Daten von Schülerinnen und Schülern an Werbenetzwerke gesendet, um den Werbetreibenden besser zu dienen. Google, so fand man bei der Studie heraus, dominiert den Schulmarkt in Bezug auf Hard- und Software. Für ISL stellt sich die Frage, ob das sicher sein kann. Immerhin senden 68% aller untersuchten Apps Daten an Google. An zweiter Stelle steht Apple, wohin 36% aller untersuchten Apps Daten senden.
Die Studie schließt an eine Vorgängerstudie von 2021 an Weitergabe von Schülerdaten durch mobile Schul-Apps, in welcher man über die in Apps integrierten Software Developer Kits (DSK), das meint die von Dienstleistern bereitgestellten App-Entwicklungs-Bausteine, versuchte, die Abflüsse von Schülerdaten durch die Apps an Drittanbieter zu ermitteln. In der jetzt veröffentlichten Studie vertiefte beschränkte man sich nicht mehr auf den Nachweis von SDKs, sondern untersuchte die Apps selbst und ihren Netzwerkverkehr. Hintergrund ist, dass die Anwesenheit eines SDK in einem App nur vermuten lässt, was damit potentiell an Daten abfließen könnte. Nicht jeder App Entwickler nutzt jedoch auch alle Funktionen eines SDK. Untersucht wurden auch die App Berechtigungen und das Verhalten in Bezug auf Werbung. Genaueres zur Methodik der neuen Studie findet sich im Bericht Teil 1 auf den Seiten 90 ff. Um Apps abschließend zu bewerten, orientierte man sich sowohl an den vorgefundenen SDKs wie auch am tatsächlich beobachteten Netzwerkverkehr. Es wurde ein sogenannter Safety Score entwickelt (S. 14f), in welchen drei Komponenten einflossen:
- Gemessenes Risiko: In der Anwendung enthaltene SDKs und ihre Risikobewertungen (mittel, hoch, sehr hoch)
- Beobachtetes Risiko: Beobachteter Netzwerkverkehr zu den so genannten „großen Sechs Datenaggregatoren (Adobe, Apple, Amazon, Facebook, Google und Twitter), und
- Beobachtetes schlechtes App-Verhalten:
- Präsenz von Werbung,
- Anwesenheit von Retargeting-Werbung,
- Verwendung von WebView (das App ruft quasi eine Website auf und stellt sie im App dar),
- Präsenz von nicht aufgelösten-Domains (meint URLs, die nicht auf ein bestehendes Ressourcen- oder Webdokument verweisen),
- Einbindung von Max Preps (eine werbegestützte Plattform).
Der Safety Score umfasst vier Stufen: geringes Risiko, hohes Risiko, sehr hohes Risiko und Nicht testbar.
Bewertung
Auch wenn die Studie an US Schulen genutzte iOS und Android App zum Gegenstand hatte, zu denen auch speziell im Auftrag von Schulverwaltungen für Schulen entwickelte Apps gehören, so zeigt die Studie zumindest sehr deutlich auf, welche potentiellen Risiken sich aus der Nutzung von Apps im schulischen und vor allem unterrichtlichen Einsatz ergeben können. Außerdem liefert die Studie sehr gute Hinweise, wie man auch hierzulande vorgehen könnte, um Apps zu bewerten. In US Schulen werden viele Apps genutzt, die hierzulande nicht oder nur selten im Unterricht zum Einsatz kommen. Unter den 25 sichersten Apps (S. 80f) taucht aber immerhin ein Android App auf, welches auch in deutschen Schulen zum Einsatz kommt, phyphox, und ein iOS App, DuckDuckGo Privacy Browser. Auch unter den 25 unsichersten Apps taucht zumindest eine auf, die vermutlich in einigen Schulen zum Einsatz kommen könnten, Babbel – Learn Languages. Schulen sollten vor der Installation von Apps, ob diese für den Bildungsbereich entwickelt wurden und vor allem, wenn sie nicht für den Bildungsbereich entwickelt wurden, sehr genau hinschauen. Letztlich können Schulen aber selbst nicht beurteilen, ob ein App sicher ist oder nicht. Es braucht hier auf jeden Fall Hilfe von außen. Auch wenn sich die Ergebnisse der Studie ganz sicher nicht 1:1 auf Deutschland übertragen lassen, so ist zu erwarten, dass auch an deutschen Schulen einige Apps genutzt werden, von denen für die sie nutzenden Schülerinnen und Schüler ein hohes Risiko ausgeht.