Nachdem das IT-Sicherheitskollektiv „zerforschung“ im Zuge einer Überprüfung von Schul-Applikationen eine massive Sicherheitslücke bei der Schul-App „scoolio“ ans Tageslicht brachte (wir berichteten), traf es nun im zweiten Teil der sog. „Back-To-School-Serie” die Hausaufgaben-App „Learnu“.

Wie auch im Fall „scoolio“, deckte das IT-Sicherheitskollektiv in der Schul-App „Learnu“ gravierende Schwächen auf. So war es dem Kollektiv diesmal in nur – sage und schreibe – zwei Stunden gelungen, die App und die dahinterstehende technische Infrastruktur zu durchdringen, um die bestehenden Sicherheitslücken zu identifizieren und anschließend im Rahmen eines Blogbeitrages mit der Weltöffentlichkeit zu teilen. Laut dem Beitrag war die Schul-App technisch so aufgebaut, dass rund 500.000 Daten von Nutzerinnen und Nutzer unzureichend geschützt und damit für Unbefugte frei zugänglich waren. So war es mit wenigen Klicks möglich, einen Einblick in personenbezogene Daten, wie den vollständigen Namen, die E-Mail-Adresse, persönliche Profilbilder, die Schul- und Stufenzugehörigkeit oder gestellte Fragen und abgerufene Antworten zu erhalten. Doch damit nicht genug: Mittels einer weiteren Lücke war es dem Kollektiv – zusätzlich zum Datenabruf – auch gelungen, die hinterlegten Passwörter der Nutzer-Profile zu umgehen und so einen Zugriff auf (wohlmöglich alle registrierten) Profile zu erhalten und diese damit zu kontrollieren.

Detaillierte Fehlermeldung in den falschen Händen

Die Ursache für den erlangten Zugriff auf registrierte Profile der Nutzerinnen und Nutzer bestand darin – man mag es nicht glauben –, dass der sog. „Entwicklermodus“, auch „Debug-Modus“ genannt, noch aktiviert war. Dieser spezielle Modus stellt ein elementares Hilfsmittel bei der Entwicklung von mobilen Anwendungen dar und unterstützt bei der Lokalisierung und Behebung von Programmierfehlern, indem es detaillierte Fehlermeldungen gegenüber den Entwicklern anzeigt. Dadurch ist es dem Kollektiv gelungen, unbeschränkt und beliebig viele Authentifizierungsschlüssel zu generieren und sich damit gegenüber dem System als registrierte Nutzerin bzw. registrierter Nutzer auszugeben und einzuloggen.

Schul-App nicht mehr verfügbar

Bereits kurz nachdem das Kollektiv das Betreiberunternehmen mit den Erkenntnissen konfrontierte und eine entsprechende Meldung an die zuständigen Aufsichtsbehörden weitergab, beugte sich das Unternehmen und nahm die Schul-App vorerst offline. Eine offizielle Stellungnahme zu den Vorfällen seitens „Learnu“ lässt jedoch bis heute auf sich warten und wird wahrscheinlich auch nicht mehr publiziert. Was dagegen auf anderen Wegen klar kommuniziert wurde – sowohl durch Mediennachfragen bei den beiden Gründern von „Learnu“ als auch durch den erwähnten Blogbeitrag – ist die Tatsache, dass die Schul-App dauerhaft deaktiviert bleibt.

Ob es bereits vor der Bekanntgabe der Sicherheitslücken zu einem potentiellen Abfluss personenbezogener Daten von Nutzerinnen und Nutzern der App gekommen ist, ist zu diesem Zeitpunkt noch nicht abschließend geklärt. Sollte dieser Umstand nachträglich festgestellt werden, ist es mit der Offline-Schaltung der Schul-App noch nicht getan. In einem solchen Fall müssen die beiden Gründer nochmal ihre Hausaufgaben in Form einer Benachrichtigung der Betroffenen erledigen (Benachrichtigungspflicht bei Datenschutzverletzungen). Wobei natürlich zu hoffen ist, dass ein solcher Datenabfluss nicht erfolgte und das Ganze somit für die Nutzerinnen und Nutzer der App glimpflich endet.

Landesbeauftragte fordert Konsequenzen für sog. Lern-Apps

Zwischenzeitlich meldete sich auch die designierte NRW-Datenschutzbeauftragte Bettina Gayk öffentlich zu Wort und forderte – in einem vom WDR veröffentlichten Beitrag – die Politik öffentlich zum Handeln auf. Genauer gesagt verlangt die Datenhüterin eine verpflichtende Zertifizierung von sog. Lern-Apps, da diese ein hohes Schadenspotential aufweisen würden. Im Interview mit dem WDR-Magazin Westpol forderte Gayk: „Wenn man einen hohen Schutz der Kinder erreichen will, ist da der Gesetzgeber gefordert und müsste eine Zertifizierung dann auch gesetzlich vorschreiben. Sonst kommen wir da nicht weiter.“ Die Forderung nach mehr Kontrolle und einer möglichen Zertifizierungspflicht solcher Schul-Apps kann vor dem Hintergrund der beiden jüngst bekanntgewordenen Vorfälle „scoolio“ und „Learnu“ und dem damit entstandenen Schaden für die betroffenen Nutzerinnen und Nutzer nur fett unterstrichen werden.

Fazit

Auch der vorliegende Sachverhalt zeigt wiederholt und gnadenlos auf, welche Bedeutung die Berücksichtigung und Einhaltung der Datenschutz-Grundsätze hat – vor allem bei schnell wachsenden Start-up-Unternehmen, deren Ausrichtung und Geschäftsidee darin besteht, mittels einer eigens gebastelten App und der damit verbundenen Verarbeitung von personenbezogenen Daten ihr Geld zu verdienen. Zwar enden nicht alle App-Erfolgsgeschichten so abrupt wie im vorliegenden Fall; jedoch folgen zumeist ein Imageverlust, die kurzfristige Deaktivierung oder im schlimmsten Fall eine behördliche Untersuchung mit Bußgeld als Sahnehäubchen.

Trotz alldem muss man immer mal wieder verdutzt feststellen, dass gerade unerfahrene Gründende und/oder die an der Entwicklung von Software Beteiligten den Datenschutz und die Schaffung einer sicheren IT-Umgebung – also hier die Grundvoraussetzungen – erstmal auf die lange Bank schieben und sich vorrangig betriebswirtschaftlichen Themen wie dem Marketing oder dem Vertrieb zuwenden, um das Produkt schnell auf den Markt und an die Nutzenden bringen zu können. Das Ganze mag natürlich auch seinen berechtigten Stellenwert innerhalb der Organisation haben. Jedoch sind Gründerinnen und Gründer immer gut beraten, die vorhandenen Ressourcen gerecht zu verteilen und alle Aspekte vollumfänglich und gleichrangig zu berücksichtigen. Nur so lassen sich derartige Vorfälle (wohlmöglich) vermeiden und die eigene Geschäftsidee auch zukunftsträchtig aufbauen.