Sicherheitslücke bei HPI Schul-Cloud Lernplattform

Sicherheitslücke bei HPI Schul-Cloud Lernplattform

Kürzlich wurde eine Sicherheitslücke auf der HPI Schul-Cloud Lernplattform bekannt. Seit Monaten ist nicht nur das Homeoffice, sondern auch das Home-Schooling hoch im Kurs. Aufgrund von weitreichenden Kontaktbeschränkungen und Schulschließungen, bleibt auch gar nichts anderes übrig, als auf Fernunterricht zu setzen. Einige Bundesländer setzten dabei auf die HPI Schul-Cloud, die als Open-Source-Projekt erstellt wurde und kostenlos verfügbar ist.

Der Vorteil einer solchen Lernplattform ist das gemeinsames digitale Lernen und das Nutzen von Videokonferenzen. Da aber vor Corona bisher Schulen sich kaum um solche Lösungen gekümmert haben, musste während den Lockdowns alles schnell gehen. Möglicherweise zu schnell, womit viele Verantwortliche teilweise überfordert waren.

Die HPI Schul-Cloud wird derzeit von mehr als einer Million Schüler und Lehrer genutzt. Alleine in den letzten 12 Monaten hat sich die Zahl der registrierten Nutzer mehr als verdreißigfacht. Das zeigt deutlich das Defizit deutscher Schulen bei der Nutzung digitaler Lernmöglichkeiten.

Im Februar 2021 wurde nun ein Sicherheitsproblem und Datenleck auf der HPI Schul-Cloud bekannt. Dabei waren sensible Daten einsehbar. Dazu gehörte von Schülern und Lehrern hochgeladene, vertrauliche Dokumente, wie Tests und Übungsblätter. Ebenso waren Klassenlisten und Lehrerlisten, sowie Bildschirmaufnahmen und Videos aus Wohn- und Kinderzimmern einsehbar.

Darüberhinaus waren Serverdaten frei für jeden einsehbar. Mit diesen Informationen können Hacker eine DDoS Attacke zielgerichtet mit geringem Aufwand durchführen. Bereits Anfang Januar kam es bereits zu einem sogenannten Distributed-Denial-of-Service(DDos)-Angriff, bei dem die Erreichbarkeit massiv eingeschränkt war. Tausende von Schüler konnten währenddessen nicht am Online-Unterricht teilnehmen. Das zeigt die massive Verwundbarkeit solcher Systeme.

Diese schweren Datenverstöße beruhten teilweise auf Programmierfehlern, sowie Konfigurationsfehlern. Nach bekannt werden der Sicherheitslücken konnten diese in wenigen Stunden beseitigt werden.

Dieser Vorfall zeigt einmal mehr, wie wichtig es ist Penetration-Tester zu beauftragen, die das eigene System auf Herz und Nieren testen und Sicherheitslücken erkennen und schließen können. Wer also selbst gewerblich eine Infrastruktur im Netz betreibt, sollte Experten einen Blick von außen auf die eigene Infrastrukur werfen lassen. Wir unterstützen hierbei gerne mit unserem Expertenwissen, um diese wieder sicherer zu machen. Gerne stehen wir für Anfragen dazu bereit und unterstützen bei Bedarf.