Schweizer Schulsoftware: Schüler konnten dank Lücke Noten selber ändern
Aktualisiert

Schweizer SchulsoftwareSchüler konnten dank Lücke Noten selber ändern

Ein Lehrling fand eine gravierende Sicherheitslücke in einem Onlinetool. Sie ermöglichte, dass Schüler sich als Lehrer anmelden und Noten ändern konnten.

von
pro/nk/pam
1 / 6
Die Schulsoftware Ecolm soll Lehrern das Leben einfacher machen. Prüfungsergebnisse, Absenzen und Zeugnisnoten können bequem online erfasst und gespeichert werden.

Die Schulsoftware Ecolm soll Lehrern das Leben einfacher machen. Prüfungsergebnisse, Absenzen und Zeugnisnoten können bequem online erfasst und gespeichert werden.

Keystone/Martin Ruetschi
Doch jetzt warnt ein Informatiklehrling, dass das Programm eine gravierende Sicherheitslücke hat.

Doch jetzt warnt ein Informatiklehrling, dass das Programm eine gravierende Sicherheitslücke hat.

Keystone/Franco Greco
So könne sich jeder Zugang zu fremden Accounts verschaffen.

So könne sich jeder Zugang zu fremden Accounts verschaffen.

Britta Pedersen

Aus Langeweile befasste sich ein Informatik-Lehrling mit dem Notenverwaltungsprogramm seiner Schule. Dabei entdeckte er eine gravierende Sicherheitslücke im für Schulen entwickelten Onlinetool Ecolm der Informatikfirma Prodaxo. Diese erlaubte es, in jeden beliebigen Account einzudringen – egal ob von einem Schüler oder einem Lehrer.

«Die Sicherheitslücke ist extrem fahrlässig», sagt der Lehrling gegenüber 20 Minuten. Denn im Onlinetool können etwa Prüfungsergebnisse, Absenzen und Zeugnisnoten abgelegt werden. Wer in einen Lehrer-Account eindringt, kann also all diese Daten einsehen. Und sie sogar manipulieren.

«Ein Tool für alles», so wirbt die Entwicklerfirma Prodaxo für Ecolm. Auf der Firmenwebsite präsentiert Prodaxo ihr Programm als Wundermittel für die «smart school»: Das Programm soll nicht nur den Unterricht vereinfachen, sondern auch die Schulverwaltung.

Die Sicherheit von Ecolm preist Prodaxo in einem Werbevideo an, das mittlerweile entfernt wurde: «Der Datenschutz ist sichergestellt», hiess es da. Zwischen 10 und 20 Franken kostet eine Lehrerlizenz pro Monat gemäss der Website.

«Ich hätte die Sicherheitslücke ausnutzen können»

In einen fremden Account einzudringen, war bei Ecolm aber offenbar ein Kinderspiel: Durch eine simple Manipulation beim Zurücksetzen des Passworts konnte man sich für jeden beliebigen Account ein gültiges Ersatzpasswort zusenden lassen.

Für den Lehrling ist klar: «Ich hätte die Sicherheitslücke ausnutzen können.» Und auch andere vor ihm hätten ihre Noten nach oben anpassen oder Absenzen löschen können. Der Lehrling betont aber, dass er dies nicht getan habe. Vielmehr wolle er Missbrauch verhindern, indem er die Sicherheitslücke öffentlich mache.

Bereits im Dezember hatte der Lehrling eine grobe Sicherheitslücke im Onlinetool entdeckt und meldete diese betroffenen Schulen. Auch mit dieser Lücke war es möglich, in fremde Accounts einzudringen.

Entwickler spricht von «Unregelmässigkeiten»

Erst durch die Anfrage von 20 Minuten erfährt Ovidio Raimondi, Chef von Prodaxo und ehemaliger Informatiklehrer an der Technischen Berufsschule Zürich, von der Sicherheitslücke. Einen Tag später schreibt er, dass in den letzten Wochen «Unregelmässigkeiten» von ihren Systemen gemeldet worden seien: «Die Verursacher wurden geloggt und die Lücken geschlossen.» Der Lehrling bestätigt, dass die Lücke jetzt geschlossen sei.

Die Daten seien intakt, so Raimondi. «Es gab keinen Schaden.» Trotzdem werde Prodaxo ein sogenanntes «Bug Bounty Program» ins Auge fassen, das Entdecker von Softwarefehlern mit einem Preis belohne. Weitere Fragen, etwa zur Sicherheit seines Tools, beantwortete Raimondi trotz mehrerer Kontaktversuche nicht.

Schulen wissen von nichts

Derweil sind die Schulen, die Ecolm verwenden, offenbar ahnungslos. «Wir haben keine Kenntnis von einer Sicherheitslücke», sagt Roger Meier, Rektor der Berufsfachschule Zofingen. Für seine Schule war die Lücke allerdings weniger gravierend. Denn: «Unsere Schule verwendet Ecolm nur für Online-Prüfungen. Noten tragen wir in ein separates Notenverwaltungsprogramm ein.»

Ähnlich tönt es bei der Sekundarschule Sulgen. Man verwende Ecolm lediglich als Stundenplansoftware, sagt Schulleiter Magnus Jung.

Von der Sicherheitslücke betroffen gewesen dürfte allerdings die Technische Berufsschule Zürich sein. Sie verwendet Ecolm auch für die Notenverwaltung: «Das Tool ist bei uns in der Abteilung Informationstechnik im Einsatz», sagt der interimistische Prorektor Edgar Frei. Doch ihm sei ein Sicherheitsproblem nicht bekannt.

Deine Meinung