Am 19. September 2025 veröffentlichte der Anbieter IServ eine Stellungnahme zu „Sicherheitsbedenken zur IServ Schulplattform.“ In dieser Stellungnahme ging man im Internet umlaufende Hinweise über potenzielle Sicherheitslücken in der Plattform ein und versprach, die Hinweise zu prüfen und über das weitere Vorgehen zu informieren. Vorangegangen waren dieser Veröffentlichung unter anderem ein Beitrag auf Borns IT- und Windows Blog „IServ: Schullösung mit Schwäche inbegriffen?“ am 16. September wie auch ein Hinweis des Hessen CyberCompetenceCenter (Hessen C3). Entdeckt worden war die Schwachstelle laut Born bereits vorher. Am 08. September hatte einer der Leser des Born Blogs dessen Betreiber auf einen Beitrag auf Securelists.org vom 9. September 2025 mit dem Titel User Enumeration in IServ Schoolserver Web Login aufmerksam gemacht. Dort wurde eine potentielle Schwachstelle beschrieben. Der Autor des Beitrags sieht das Hauptsicherheitsproblem von IServ darin, dass die Anmeldeseite (Web-Frontend) eine sogenannte Enumeration von Benutzernamen ermöglicht. Dabei erhält eine Person, die versucht, sich mit einem Benutzernamen anzumelden, je nach Existenz des Benutzerkontos eine unterschiedliche Rückmeldung und kann so durch gezieltes Ausprobieren von Nutzernamen und Beobachten der Systemantworten herausfinden, ob bestimmte Nutzerkonten existieren. Beim IServ-Login konnte bis zu diesem Zeitpunkt zum Beispiel anhand von Rückmeldungen festgestellt werden, ob ein bestimmter Name einer Schule zugeordnet ist und dort als Benutzerkonto existiert. Darin sieht der Autor des Beitrags auf securelists.org1Auf sercurelistes.org veröffentlichen Sicherheitsforscher/ Hacker entdeckte Sicherheitslücken. ein Sicherheitsrisiko. Es dabei nicht um die Sicherheit der auf dem pädagogischen Server verarbeiteten Daten, sondern um die Sicherheit Identität der Nutzer. Da IServ in vielen Schulen eingesetzt wird, könnte ein Angreifer durch systematisches Probieren von Vor- und Nachnamen herausfinden, ob und an welcher Schule ein Kind angemeldet ist. Dies kann für Täter von häuslicher Gewalt, Cybergrooming oder Sextortion genutzt werden, aber auch gezieltes Ausspähen von Kindern prominenter oder exponierter Personen erleichtern. Der Autor, der IServ am 08.09.2025 mit seiner Entdeckung kontaktierte, hält das im sensiblen Umfeld von Schulen aus Datenschutz- und Opferschutzgründen für äußerst problematisch.
IServ meldete dem Autoren noch am gleichen Tag zurück, dass man das Enumeration-Problem nicht als Sicherheitsrisiko einstufe („… stated that they do not interpret the issue as a vulnerability.„). Auf der Stellungnahme erklärt IServ dann, dass man untersuche, welche Auswirkungen die gemeldete Problematik auf die IServ Schulplattform und die Datensicherheit von Benutzerkonten habe und ob weitere Maßnahmen erforderlich seien und dass Sicherheit immer an oberster Stelle für den Anbieter stehe. Bei dem gemeldeten Problem handelt es sich um User Enumeration-Problem, d.h. valide Benutzerkonten können anhand der Rückmeldungen des Loginformulars auf der Anmeldeseite der IServ Schulplattform ermittelt werden, wenn bereits der Benutzername, üblicherweise eine Kombination aus Vor- und Nachname, bekannt ist. Außerdem erklärt man, dass die Konten selbst durch die verfügbaren Sicherheitsmechanismen gut geschützt seien:
„Unter Berücksichtigung des Funktionsumfangs, unserer Zielgruppe und etablierter technischer Verfahren sowiemöglicher Angriffsszenarien sind wir zunächst zu dem Schluss gekommen, dass wir kein erhebliches Risiko für IServ-Benutzer(innen) feststellen können.„
Mit Bezug auf die mögliche Zuordnung von Nutzerkennungen zu identifizierbaren Personen erklärt man, das datenschutztechnische Risiko falle gering aus, da „sich einfache Benutzernamen nicht zweifelsfrei einer natürlichen Person zuordnen lassen.“
Obwohl der Anbieter das Risiko als eher gering einstufte, rollte er am 24.09. – vermutlich auch in Reaktion auf öffentliche Kritik – ein automatisches Sicherheitsupdate für alle IServ-Schulplattformen aus, welches Fehlermeldungen beim Login nun so vereinheitlicht, dass eine Nutzer-Enumeration über die Anmeldemaske nicht mehr möglich ist.
Bewertung
Auch wenn die Sicherheit der IServ Server und ihrer Nutzer insgesamt nicht oder nur sehr geringfügig gefährdet war, ist es positiv, dass der Anbieter reagiert und alle Schulen informiert hat. Auf Born IT- und Windows Blog kritisieren zahlreiche Leser das Verhalten von IServ GmbH. Der Anbieter hätte aber deutlich früher reagieren und nicht erst abwarten sollen, bis das Problem öffentlich wurde und Druck erzeugte. Für das Vertrauen von Nutzern in eine Plattform ist das der besser Weg.