Lern-App Anton: Sicherheitslücke ermöglichte das Auslesen von Schülerdaten
Daten wie Vorname, Name und Schule von Nutzern der Lern-App Anton waren nach Angaben des BR frei zugänglich im Internet verfügbar.
(Bild: Ivan_Karpov/Shutterstock)
Durch eine Sicherheitslücke konnte in der deutschlandweit genutzten Lern-App Anton der Berliner Entwicklerfirma Sonocode auf verschiedene Daten der Schülerinnen und Schüler, die die App nutzten, unbefugt von außen zugegriffen werden. Dies geht aus einem Bericht des Bayerischen Rundfunks (BR) von Mittwoch hervor, der die Sicherheitslücke entdeckt und den Entwicklern gemeldet hatte. Die Schwachstelle soll nach Angaben von Sonocode mittlerweile geschlossen worden sein.
Ungeschützter Datenzugang
Dem BR war das Sicherheitsproblem in der Anton-App bei einer Recherche von Datenjournalistinnen und -journalisten aufgefallen, heißt es in dem Bericht. Weitere Details nannte der Sender nicht. Dabei seien sie auf Daten von Schülerinnen und Schülern aus "Deutschland und einigen anderen Ländern gestoßen", die ohne Passwort oder andere Sicherheitsmaßnahmen über das Internet abgerufen werden konnten. Frei zugänglich sollen Vor- und Nachnamen, die Schule und Klassenstufe sowie Daten zum Lernstand und den Log-in-Zeiten gewesen sein.
Wie der BR weiter ausführt, habe zusätzlich die Möglichkeit bestanden, dass sich "Außenstehende" als Lehrerinnen oder Lehrer hätten ausgeben und Nachrichten an die Teilnehmenden in den Lerngruppen schicken können.
Ausmaß unklar
Die Lücke sei wenige Stunden nach der Meldung an Sonocode geschlossen worden. Sonocode teilte dem Bericht des BR nach mit, es habe nach bisherigen Erkenntnissen kein Datenabfluss und damit kein Missbrauch stattgefunden. Wie viele Schülerinnen und Schüler möglicherweise betroffen waren, konnte das Unternehmen zunächst nicht sagen. Das Unternehmen untersuche derzeit noch, ob die Schwachstelle ausgenutzt wurde. Der Vorfall sei vom Unternehmen an die Berliner Datenschutzbehörde gemeldet worden.
Die Entwicklung der App ist von der EU und dem Berliner Senat gefördert worden und soll datenschutzfreundlich sein, da sie mit Nutzerdaten sparsam umgehe. Eine Überprüfung auf Sicherheitslücken finde vor dem Einsatz in Schulen nicht statt, heißt es in dem Bericht des BR. Auch das Bundesbildungsministerium und die Kultusministerien der Länder würden nach eigener Aussage keine derartige Überprüfung vornehmen. Für die Sicherheit solcher Drittanbieter-Apps sei der Anbieter verantwortlich. Laut Kultusministerkonferenz soll hier aber Abhilfe geschaffen werden: Man arbeite bereits an einem Prüfverfahren, um die Sicherheit digitaler Bildungsmedien künftig besser gewährleisten zu können.
Lesen Sie auch
Lern-App für Schüler im Test: Anton hilft beim Üben zu Hause
Die Lern-App Anton ist in einer kostenlosen Basis-Version für Android und iOS erhältlich. Zusätzlich kann sie als Web-Applikation im Browser eines PCs genutzt werden. In der Basis-Version ist nur das Online-Lernen möglich, in der kostenpflichtigen Version Anton Plus das Lernen zusätzlich offline. Dazu werden auch Schullizenzen angeboten. Mit der App können Schülerinnen und Schüler der Klassenstufen 1 bis 10 selbstständig Mathematik und Deutsch üben. Ab der fünften Klasse kommen Biologie, Physik und Geschichte hinzu.
(olb)