Was in Sachen Digitalisierung an Schulen jahrelang verschleppt wurde, wird in der Krise notgedrungen und mehr schlecht als recht nachgeholt. Zu den vordergründigen Themen wie fehlender Bandbreite, fehlenden Geräten und fehlenden Kompetenzen mischt sich seit Monaten auch die Diskussion um die Sicherheit der personenbezogenen Daten der Schülerinnen und Schüler. So monieren Datenschützer den Einsatz von Microsoft Teams, Zoom oder WhatsApp für schulische Zwecke. Die bekannten und leicht zu nutzenden Lösungen aus den USA gelten als nicht datenschutzkonform. Doch die rechtlich sauberen Alternativen liefen bisher oft alles andere als rund. Sicher vor Datenschutzproblemen sind Schulen bei deutschen Lösungen auch nicht so ganz.
Während die Datenschutzprobleme bei der Nutzung von Microsoft und anderen US-amerikanischen Anbietern zunächst auf formaljuristischer Ebene zu finden sind, hatte die von über 3.000 deutschen Schulen genutzte HPI Schul-Cloud des Hasso-Plattner-Instituts seit Beginn der Corona-Pandemie schon mit zwei konkreten Datenschutzpannen zu kämpfen gehabt.
Kürzlich machte ein anonymer Hinweisgeber auf erhebliche Sicherheitsprobleme in der durch das Bundesministerium für Bildung und Forschung (BMBF) geförderten Cloud-Lösung aufmerksam. Es war ihm gelungen, sich mit erratenen Zugangsdaten für ein Demonstrations-Nutzerkonto bei der Thüringer Instanz der Schul-Cloud anzumelden. Einmal angemeldet, konnte er mit etwas Recherchearbeit aufgrund von Konfigurationsfehlern auf verschiedene sensible Daten zugreifen.
So konnte er sich Statistiken über die Serverauslastung anzeigen lassen. Das wären nützliche Informationen für Angreifer, die das System per DDoS-Attacke (Distributed Denial of Service) in die Knie zwingen wollten. Anfang des Jahres waren reihenweise Schul-Clouds durch solche Attacken lahmgelegt worden. Das Hasso-Plattner-Institut hatte einen DDoS-Angriff auf seine selbst betriebene Instanz der HPI Schul-Cloud abwehren können und mit der Erweiterung der Server-Kapazitäten reagiert.
Zugriff auf persönliche Schülerdaten
Der anonyme Hacker hatte in der Thüringer Instanz aber neben Server-Statistiken auch auf persönliche Daten zugreifen können, darunter Kontaktdaten, Aufzeichnungen von per Videokonferenz durchgeführten Unterrichtsstunden oder Videos von Schülern, die Gedichte vortragen. Mit den Problemen konfrontiert, meldeten die Betreiber nach eigenen Angaben die Datenschutzpanne den zuständigen Aufsichtsbehörden sowie den Partnern in den Ländern und behoben die technischen Mängel.
Die erste Datenschutzpanne war schon im Mai 2020 aufgetreten. Unbekannte hatten sich unberechtigt an Schulen in Brandenburg und im Saarland anmelden und Nutzerdaten einsehen können.
Anfang des Jahres, also vor Bekanntwerden der zweiten Panne, hatte die Bundesregierung in ihrer Antwort auf eine kleine Anfrage der FDP-Bundestagsfraktion noch versichert, dem hohen Stellenwert der Sicherheit und des Datenschutzes beim Betrieb der Schul-Cloud in besonderer Weise Rechnung zu tragen. Das HPI befände sich im regelmäßigen Austausch mit den Landesdatenschutzbeauftragten. Die Bundesregierung weiter: “Regelmäßige sog. Security Audits und Penetration Testings, die mit externen Dienstleistern durchgeführt werden, entsprechen den Anforderungen an eine qualitätsgesicherte Softwareentwicklung hinsichtlich Datenschutz und Sicherheit.”
Förderung läuft aus
Die HPI Schul-Cloud war im März 2020 für alle Schulen geöffnet worden, um damit flächendeckende Unterrichtsausfälle zu verhindern. Dafür wurden 12,2 Millionen Euro bereitgestellt, zusätzlich zur seit 2016 laufenden regulären BMBF-Förderung über insgesamt sieben Millionen Euro. Die Öffnung war zunächst bis Ende 2020 angesetzt. Nun besteht das Angebot bis August 2021 fort, zumindest aber, bis die Länder wieder uneingeschränkten Regelunterricht anbieten.
Zum Funktionsumfang gehören ein “Lern-Store” mit Lerninhalten, digitale Lernräume, ein Messenger und die integrierte Open-Source-Videokonferenzlösung BigBlueButton. Neben Thüringen betreiben auch Brandenburg und Niedersachsen eigene Instanzen der Schul-Cloud für den landesweiten Betrieb. Auch Schulen aus allen anderen Ländern nutzen das Angebot. Sie sind an die vom HPI selbst betriebene Instanz angebunden. Mitte Januar waren es insgesamt knapp 3.300 Schulen. Täglich melden sich rund eine Millionen Lehrer und Schüler bei der Plattform an.
Ende 2021 läuft das reguläre Förderprojekt für die vom HPI betriebene Cloud aus. Wie es dann weitergeht, ist noch nicht ganz klar. Die Selbst-Betreiber-Länder Brandenburg, Niedersachsen und Thüringen verhandeln derzeit zur Ausgründung einer neuen Gesellschaft unabhängig vom HPI. Die angebundenen Schulen könnten dann gegebenenfalls zur Kasse gebeten werden.
