Schweizer Schulsoftware

20. Januar 2020 12:46; Akt: 20.01.2020 15:37 Print

Schüler konnten dank Lücke Noten selber ändern

Ein Lehrling fand eine gravierende Sicherheitslücke in einem Onlinetool. Sie ermöglichte, dass Schüler sich als Lehrer anmelden und Noten ändern konnten.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Aus Langeweile befasste sich ein Informatik-Lehrling mit dem Notenverwaltungsprogramm seiner Schule. Dabei entdeckte er eine gravierende Sicherheitslücke im für Schulen entwickelten Onlinetool Ecolm der Informatikfirma Prodaxo. Diese erlaubte es, in jeden beliebigen Account einzudringen – egal ob von einem Schüler oder einem Lehrer.

«Die Sicherheitslücke ist extrem fahrlässig», sagt der Lehrling gegenüber 20 Minuten. Denn im Onlinetool können etwa Prüfungsergebnisse, Absenzen und Zeugnisnoten abgelegt werden. Wer in einen Lehrer-Account eindringt, kann also all diese Daten einsehen. Und sie sogar manipulieren.

«Ein Tool für alles», so wirbt die Entwicklerfirma Prodaxo für Ecolm. Auf der Firmenwebsite präsentiert Prodaxo ihr Programm als Wundermittel für die «smart school»: Das Programm soll nicht nur den Unterricht vereinfachen, sondern auch die Schulverwaltung.

Die Sicherheit von Ecolm preist Prodaxo in einem Werbevideo an, das mittlerweile entfernt wurde: «Der Datenschutz ist sichergestellt», hiess es da. Zwischen 10 und 20 Franken kostet eine Lehrerlizenz pro Monat gemäss der Website.

«Ich hätte die Sicherheitslücke ausnutzen können»

In einen fremden Account einzudringen, war bei Ecolm aber offenbar ein Kinderspiel: Durch eine simple Manipulation beim Zurücksetzen des Passworts konnte man sich für jeden beliebigen Account ein gültiges Ersatzpasswort zusenden lassen.

Für den Lehrling ist klar: «Ich hätte die Sicherheitslücke ausnutzen können.» Und auch andere vor ihm hätten ihre Noten nach oben anpassen oder Absenzen löschen können. Der Lehrling betont aber, dass er dies nicht getan habe. Vielmehr wolle er Missbrauch verhindern, indem er die Sicherheitslücke öffentlich mache.

Bereits im Dezember hatte der Lehrling eine grobe Sicherheitslücke im Onlinetool entdeckt und meldete diese betroffenen Schulen. Auch mit dieser Lücke war es möglich, in fremde Accounts einzudringen.

Entwickler spricht von «Unregelmässigkeiten»

Erst durch die Anfrage von 20 Minuten erfährt Ovidio Raimondi, Chef von Prodaxo und ehemaliger Informatiklehrer an der Technischen Berufsschule Zürich, von der Sicherheitslücke. Einen Tag später schreibt er, dass in den letzten Wochen «Unregelmässigkeiten» von ihren Systemen gemeldet worden seien: «Die Verursacher wurden geloggt und die Lücken geschlossen.» Der Lehrling bestätigt, dass die Lücke jetzt geschlossen sei.

Die Daten seien intakt, so Raimondi. «Es gab keinen Schaden.» Trotzdem werde Prodaxo ein sogenanntes «Bug Bounty Program» ins Auge fassen, das Entdecker von Softwarefehlern mit einem Preis belohne. Weitere Fragen, etwa zur Sicherheit seines Tools, beantwortete Raimondi trotz mehrerer Kontaktversuche nicht.

Schulen wissen von nichts

Derweil sind die Schulen, die Ecolm verwenden, offenbar ahnungslos. «Wir haben keine Kenntnis von einer Sicherheitslücke», sagt Roger Meier, Rektor der Berufsfachschule Zofingen. Für seine Schule war die Lücke allerdings weniger gravierend. Denn: «Unsere Schule verwendet Ecolm nur für Online-Prüfungen. Noten tragen wir in ein separates Notenverwaltungsprogramm ein.»

Ähnlich tönt es bei der Sekundarschule Sulgen. Man verwende Ecolm lediglich als Stundenplansoftware, sagt Schulleiter Magnus Jung.

Von der Sicherheitslücke betroffen gewesen dürfte allerdings die Technische Berufsschule Zürich sein. Sie verwendet Ecolm auch für die Notenverwaltung: «Das Tool ist bei uns in der Abteilung Informationstechnik im Einsatz», sagt der interimistische Prorektor Edgar Frei. Doch ihm sei ein Sicherheitsproblem nicht bekannt.

(pro/nk/pam)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Dario am 20.01.2020 12:52 via via Mobile Report Diesen Beitrag melden

    und dann...

    und dann heisst es immer die lehrlinge von heute kann man nicht brauchen. Super Arbeit Junge!

    einklappen einklappen
  • Le Mao am 20.01.2020 13:00 Report Diesen Beitrag melden

    Klarer Fall

    Verantwortungsvoll und ehrlich. Ich hoffe dies setzt sich bei der "heutigen Jugend" durch!

  • Onkel Dagobert am 20.01.2020 12:58 Report Diesen Beitrag melden

    Ein Hoch der Digitalisierung

    Hauptsache alles wird digitalisiert. Dies generiert vor allem den Softwarefirmen welche vor Hackerangriffen und Datenlecks schützen sollen ein gesichertes Einkommen.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Giacomo Molay am 21.01.2020 18:59 Report Diesen Beitrag melden

    Selbstgestrickte Applikation

    Das ist der Unterschied zwischen durch nicht-Informatiker selbstgestrickter Applikation und professionellen Anwendungen. Dass die TBZ so eine Applikation überhaupt in Betracht zieht ist darauf zurückzuführen, dass der Prodaxo Inhaber, Nicht-Informatiker, Jahrelang in der TBZ, als Berufsschullehrer, Informatiker ausgebildet hat.

    • TBZ am 21.01.2020 19:15 Report Diesen Beitrag melden

      Lehrling

      Ich schliesse dieser Jahr die Lehre als Informatiker ab. Schule hatte ich in der TBZ. Ich gebe Ihnen 100%ig recht. Die meisten Lehrer habe wenig und veraltete Kenntnisse. Es gibt aber natürlich auch einige sehr Kompetente Lehrer.

    • Giacomo Molay am 21.01.2020 20:52 via via Mobile Report Diesen Beitrag melden

      @TBZ 

      Als Lehrmeister bilde ich seit über 20 Jahren Informatik-Lernende (Systemer & Applis) aus. Ich musste immer wieder mit Berufsfremden Berufsschullehrer 'kämpfen'. Ich pflichte Ihnen aber bei, dass es aber auch sehr gute und kompetente Berufsschullehrer gibt.

    einklappen einklappen
  • spectre121 am 21.01.2020 11:04 via via Mobile Report Diesen Beitrag melden

    Gebt ihm ein Job in Security

    Ich hoffe diese inkompetenten bieten dem Schüler eine fette Belohnung an. Ein Jobangebot sollte er von denen besser nicht annehmen.

    • Lolo L. am 21.01.2020 11:33 via via Mobile Report Diesen Beitrag melden

      @spectre121

      Ich glaube für einen Job in der Security ist er definitiv überqualifiziert. Er scheint zumindest einen Schulabschluss anzustreben.

    einklappen einklappen
  • E. W. am 21.01.2020 11:01 Report Diesen Beitrag melden

    Yeah

    Ou das hätte mir mal passieren sollen :)

  • Berner Bär am 21.01.2020 08:23 Report Diesen Beitrag melden

    Die liebe Digitalisierung ...

    Der Schüler war offensichtlich wirklich ehrlich oder konnte seine Noten einfach nicht nach oben frisieren. Das gute alte Notenbuch für Lehrer (Papier, nicht elektronisch ...), mit welchem unsere Lehrer damals durch das Schulhaus geisterten, war offensichtlich doch sicherer als die Elektronik heute. Kuli ausradieren wäre aufgefallen.

  • Meysa am 21.01.2020 08:20 via via Mobile Report Diesen Beitrag melden

    Bester

    Alleine dafür hätte ich ihm eine gute Note gegeben.