Scoolio: Daten von 400.000 Schülern waren im Netz abrufbar
“Wir sind ein junges Unternehmen und haben eine Chance verdient.” Mit diesen Worten rechtfertigte sich Danny Roller, Geschäftsführer der Scoolio GmbH, öffentlich auf der Firmenwebseite dafür, dass seine gleichnamige App die personenbezogenen Daten von rund 400.000 Kindern und Jugendlichen abfischbar machte. Denn die spezifisch an Schülerinnen und Schüler gerichtete App sammelt nicht nur Unmengen an hochsensiblen Daten zu Werbezwecken, sondern wies bis vor kurzem auch massive Sicherheitslücken auf. Abrufbar waren unter anderem Geburtsdaten, E-Mail-Adressen, Schulen und Klassen der meist minderjährigen Nutzerinnen und Nutzer. Rund ein Drittel der Profile beinhaltete auch GPS-Daten. Diese ermöglichten unter Umständen die genaue Ortung der Person.
Die Daten der Schüler sammelt das Unternehmen, um seinen Werbekunden zielgenau Anzeigen zu verkaufen – meist Unternehmen auf Azubisuche. Scoolio gibt es seit 2016 für Android und iOS. Die App bietet unter anderem eine Notenübersicht, einen Klassen-Chat, Nachhilfevermittlung, einen Hausaufgabenplaner – und Werbeplatzierungen.
Entdeckt hatte die Lücke das IT-Sicherheitskollektiv “zerforschung”. Die Expertinnen und Experten hatten die App des Dresdner Unternehmens vor mehreren Wochen untersucht. Anschließend gaben sie die Informationen gleichzeitig an Scoolio, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den sächsischen Datenschutzbeauftragten weiter.
Die IT-Sicherheitsexperten kritisieren nicht nur das Sicherheitsproblem selbst, sondern auch den Umgang der Firma damit. Die Entwickler hätten die Schwachstelle erst nach über 30 Tagen behoben. Aus Sicht des zerforschung-Mitglieds Lillith Wittmann hätte Scoolio das Problem aber innerhalb von 72 Stunden lösen und alle Nutzer informieren müssen.
Keine Schutzmaßnahmen
Die Sicherheitsexperten gehen davon aus, dass die Lücke seit Veröffentlichung der App bestand – also bereits in den letzten fünf Jahren. Um die Daten abzugreifen, seien nur “Grundkenntnisse in Web-Entwicklung oder IT-Sicherheit” nötig gewesen. “Das einzige, was wir anders gemacht haben, als eine normale Nutzerin das machen würde, ist, dass wir ein Programm zwischen die Kommunikation zwischen der App und den Servern, auf denen die Daten gespeichert werden, geschaltet haben. Und dabei haben wir festgestellt, dass die Schnittstellen von Scoolio nicht richtig geschützt waren und wir dadurch Zugriff auf alle Daten von allen Nutzern hatten”, beschrieb Wittmann das Vorgehen der Sicherheitsexperten gegenüber dem MDR.
Kritisiert wird auch der mangelhafte Jugendschutz in der App: Scoolio bietet den Schülern die Möglichkeit, sich in Chat-Gruppen auszutauschen. Diese würden aber nicht ausreichend moderiert. Die Sicherheitsforscher hatten in einem Test einen Account angelegt mit dem angeblichen Alter von 33 Jahren. Sie konnten mit diesem Profil allen Chat-Gruppen wie etwa “Suche Freund zwischen 12 und 13” oder “nur Mädchen bis 10” beitreten, ohne von einer Moderation entfernt zu werden. Anhand von Gruppen-Zugehörigkeiten wie “Kennenlernen für bi sexuelle” oder “Muslime” ließ sich zudem die sexuelle Orientierung, der Beziehungsstatus, die politische Ausrichtung oder die Religionszugehörigkeit der Nutzer ablesen. Die Forscher kritisieren, schon die Mitgliedschaft in diesen Chat-Räumen sei ein besonders schützenswertes Datum nach Art. 9 Datenschutz-Grundverordnung (DSGVO).
Bezahlte Jobbörse
Scoolio präsentiert sich Schülern als Orga- und Community-App für den Schulalltag, will sein Geld aber als Ausbildungsbörse verdienen. Der Download der App ist kostenlos. Das Startup bietet Werbung für Ausbildungsangebote in der App sowie Leadgenerierung für Unternehmen an. Auch der Staat hat der Firma Geld in Form von Wirtschaftsförderung zufließen lassen, unter anderem der Technologiegründerfonds Sachsen.
Unternehmen auf der Suche nach Ausbildungskräften können Scoolio spezifisch mitteilen, welche Teile der Schülerschaft sie ansprechen möchten, beispielsweise eines bestimmten Alters, einer Schulform oder in einer bestimmten Region. Sowohl Polizei und Feuerwehr als auch Konzerne wie die Deutsche Bahn, Telekom oder Rewe haben aktuell Anzeigen in Scoolio geschaltet.
Da Scoolio gezielt auch Schulen und Lehrer anspricht, die App im Unterrichtsalltag zu nutzen, kann bei den Schülern potenziell ein Zwang zur Nutzung aufgebaut werden. “Sie können Ihre Schüler via Web und App informieren, Dateien in der Cloud sichern, Hausaufgaben oder andere Formulare ganz easy einsammeln und individuelle Datei-Boxen mit Informationen für Schulfächer, Kurse, Arbeitsgemeinschaften und Projekte erstellen”, wirbt die Unternehmenswebseite.
Jugendschutz: In Planung
Rollers Rechtfertigung ist auf der Scoolio-Webseite in der genannten Form nicht mehr zu lesen – aber vom MDR dokumentiert. Warum bei dem “Startup” bislang so eklatante Mängel bei Datensicherheit und Jugendschutz bestanden, erklärte das Unternehmen auch in einer neuen Stellungnahme nicht. Die IT-Sicherheitsforscher von Zerforschung fordern, dass staatliche Investoren vor einer Investment-Entscheidung in eine Firma auch stets Konzepte zur IT-Sicherheit genau prüfen und resümieren: “Wenn das Produkt marktreif genug ist, um Kund*innendaten zu speichern, muss es auch reif genug sein, diese für sich zu behalten. Besonders, wenn es um eine geschützte Zielgruppe wie z.B. Kinder und Jugendliche geht.” Scoolio will nun im laufenden Betrieb nachbessern. Geschäftsführer Danny Roller erklärte, man habe bis zum Ende des Jahres mehrere Maßnahmen zum Daten- und Jugendschutz geplant.
Kaum Konsequenzen seitens der Behörden
Sachsens Datenschutzbeauftragter Andreas Schurig antwortete auf eine Anfrage von MDR Aktuell zu dem Thema: “Meine Behörde hat die zeitlichen Abläufe in Anbetracht der Umstände und Kapazitäten des konkreten Verantwortlichen noch als vertretbar angesehen.” Verwaltungsakte wurden nicht erlassen. Der Verantwortliche habe sich kooperativ gezeigt.
Der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte wiederum auf Twitter, warum seine Behörde in den Fall nicht eingreifen kann: Weil Scoolio seinen Sitz in Dresden hat, sei der sächsische Landesdatenschutzbeauftragte zuständig. Ohne weitere Ausführungen schrieb Kelber: “Eine klare Meinung habe ich schon.” (hcz)