Lern-App "Anton" - Massive Sicherheitslücke bei Schul-App

"Schulen in ganz Deutschland nutzen die Lern-App »Anton«. Nach BR-Recherchen gab es dort eine gravierende Sicherheitslücke: Außenstehende hätten Daten auslesen oder sich als Lehrkräfte ausgeben können. Die Schwachstelle wurde jetzt behoben.
Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte - diese Daten aus Schul-Apps sollten eigentlich auf sicheren Servern liegen. Doch wegen einer Sicherheitslücke in der beliebten Lern-App »Anton« waren diese Informationen ungeschützt abrufbar. Betroffen: Schüler und Lehrer in Deutschland und einigen anderen Ländern.

Sicherheitslücke bei BR-Recherche entdeckt
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar. Die Sicherheitslücke wurde nach Angaben des Anbieters der »Anton«-App geschlossen, wenige Stunden nachdem die BR-Datenjournalisten ihn informiert hatten.

Offen lagen bis dahin unter anderem Vor- und Nachnamen von Schülern, außerdem Informationen zu Lernfortschritten, Klassen- und Schulzugehörigkeit, und zu welchem Zeitpunkt die Schüler eingeloggt waren. Darüber hinaus wäre es nach BR-Informationen für Außenstehende theoretisch möglich gewesen, sich als Lehrkraft auszugeben und Nachrichten an Schüler in Lerngruppen einzustellen. 

Datenschützer: Kinder besonders schutzwürdig
Der bayerische Datenschutzbeauftragte Thomas Petri spricht im Interview mit dem BR-Politikmagazin Kontrovers von einer »schlimmen Situation«, denn Kinder seien besonders schutzwürdig. In anderen Fällen seien solche Sicherheitslücken genutzt worden, »um entweder die Lehrkräfte zu beleidigen oder Schulkinder zu verängstigen oder zu belästigen«. Außerdem könnten solche Schwachstellen Chancen für Kriminelle eröffnen, Daten für Betrugsversuche abzugreifen.

Nach BR-Recherchen nutzen Schulen aus ganz Deutschland die App, alleine für München finden sich Daten von mehr als 3000 Schülern und über 200 Schulen. Auch in Österreich, der Schweiz und anderen Ländern setzen Schulen die App ein. Im App-Store für Android-Geräte wurde »Anton« mehr als eine Million Mal heruntergeladen. 

Laut Anbieter kein Hinweis auf Datenabfluss
Die Berliner Firma Solocode, Entwickler der Anton-App, räumt die Sicherheitslücke auf BR-Anfrage ein. Wie viele Nutzer potenziell betroffen waren, teilt das Unternehmen auf Nachfrage nicht mit. Nach derzeitigem Kenntnisstand sei "kein Missbrauch potenziell unberechtigt abrufbarer personenbezogener Daten erfolgt". Derzeit untersuche man, ob es in der Vergangenheit Versuche gegeben hat, die Sicherheitslücke auszunutzen, und informiere betroffene Schulen, Nutzer und die Datenschutzbeauftragten umgehend. Auch die zuständige Berliner Datenschutzbehörde sei informiert worden. »Der Datenschutz und die Sicherheit von Nutzerdaten ist uns ein wichtiges Anliegen«, so das Unternehmen. Eine Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit bestätigte auf Anfrage, dass der Vorfall gemeldet worden ist.

Die App wird von der EU und der Berliner Senatsverwaltung finanziell gefördert und gilt prinzipiell als besonders datenschutzfreundlich, da sie verhältnismäßig wenige Nutzerdaten erhebt. So gibt das Bundesbildungsministerium auf BR-Anfrage an, es sei positiv, dass die »Anton«-App ausdrücklich auf die Beachtung von Datenschutzfragen hin konzipiert sei.

Bundesbildungsministerin Anja Karliczek (CDU) bezeichnete die Anwendung in einem Interview mit der "Zeit" als »gute Lern-App für Grundschüler«. Erst vor Kurzem zeigte sich auch die Staatsministerin für Digitalisierung Dorothee Bär (CSU) auf Instagram mit einem der Gründer der »Anton«-App..."

Zum Artikel auf Tagesschau.de.