Auf dieser Seite finden Sie Informationen zum Datenschutzvorfall vom 13.05.2020. Wir werden diese Seite fortlaufend aktualisieren, wenn uns neue Informationen vorliegen.

Am 13.05.2020 um 16:42 Uhr wurden wir vom Landesbeauftragten für Datenschutz und das Recht auf Akteneinsicht (LDA) in Brandenburg per Mail über einen Datenschutzvorfall informiert:

Uns sind anonyme Hinweise weitergeleitet worden, nachdem es auf allen Schul-Cloud-Instanzen des HPI eine Vielzahl an Sicherheitslücken gäbe, die jederzeit ausgenutzt werden könnten. Als Beleg wurde eine Liste von 103 Namen von Schülerinnen, Schülern und Lehrern beigefügt, die angeblich aufgrund dieser Sicherheitslücken zugänglich waren. Nach Aussage der betroffenen Schule sind die Daten authentisch.

Wir haben umgehend begonnen, den Vorfall auf Basis der wenigen vorhandenen Informationen in Zusammenarbeit mit unseren externen IT-Sicherheitsberatern zu untersuchen.

Am Abend des 13.05.2020 wurden wir von Nutzer:innen darüber informiert, dass unsere fünf Schulen im Saarland eine Mitteilung des zuständigen Ministeriums erhalten haben, in der ihnen die weitere Nutzung der HPI Schul-Cloud bis zur Klärung des Vorfalls untersagt wurde.

Am 14.05.2020 um 11:16 Uhr haben wir vorsorglich alle Landesdatenschützer über den uns vorliegenden Verdacht informiert.

Um 11.57 Uhr haben wir nach telefonischen Rückfragen beim LDA erfahren, dass der gemeldete Vorfall sowie die Daten von einer unserer fünf saarländischen Schulen stammen und beim dortigen Landesdatenschutz gemeldet wurden. Eine weitere Rückfrage bei dem dortigen Datenschützer konnte bestätigen, dass Daten von 103 Nutzer:innen übermittelt wurden, die jeweils aus Vor- und Nachnamen bestehen. Weitere Felder waren in dem enthaltenen Datensatz nicht vorhanden.

Auf Basis dieser Information konnten wir durch eine Analyse der Daten die betroffene Schule identifizieren. Dort fand sich auch ein verdächtiger Nutzer, der sich am am 13.05.2020 (2020-05-13 07:49:36.172Z) mit einer Wegwerf-Emailadresse (*******@muellemail.com) als Schüler registriert hatte. Nachdem er Zugang zu der Schule hatte, erstellte er sich als Schüler selbst ein Team. Über die 'Nutzer:innen einladen' Funktion in Teams hatte er nun Zugriff auf eine Liste mit Vor - und Nachnamen aller Nutzer:innen der Schule.

Eine weiterführende Analyse ergab, dass sich wenige Minuten vorher ein Nutzer mit identischem Muster an einer anderen Schule selbst registriert hatte. Diese Schule hatte die Funktion, dass Schüler selbst Teams erstellen können, allerdings deaktiviert.

Anhand der vorliegenden Informationen konnten wir erkennen, dass der Nutzer wahrscheinlich einen schulweiten Registrierungslink verwendet hatte. Nach einem internen Review wurde diese Funktion als sicherheitskritisch identifiziert, da es möglich war, sich unter Verwendung auffindbarer Informationen (der Schul-ID) einen Registrierungs-Link für jede Schule zu generieren. Die Funktion wurde  umgehend entfernt. Am 14.05.2020 ab 12:50 Uhr wurde eine aktualisierte Version der Webanwendung ohne diese Funktionalität in Betrieb genommen. Auch die Nutzung von vorher erzeugten Links wurde mit der Aktualisierung unterbunden.

Eine Anmeldung von Nutzern bleibt weiterhin über persönliche Einladungslinks, QR-Codes, CSV-Imports oder Verwendung von schuleigenen Anmeldeservern möglich.

Eine direkte Information des Hackers an das HPI im Sinne einer Responsible Disclosure wurde nicht vorgenommen.


Update  (14.05.2020, 17:54 Uhr): Der für das HPI zuständigen Datenschutzbehörde wurde eine offizielle Meldung des Vorfalls zugestellt. Die für das Saarland zuständige Behörde wurde in Kopie benachrichtigt.


Update (15.05.2020, 7:35 Uhr): Für die Thüringer Schulcloud konnte die genannte Lücke nicht ausgenutzt werden, da dort die Registrierung deaktiviert ist. Alle Anmeldungen und Registrierungen erfolgen hier zentral über das Thüringer Schulportal. Eine Analyse der Datenbanken konnte hier unbefugte Anmeldungen ausschließen.


Update (15.05.2020, 9:00 Uhr):  Im Rahmen der weiteren Analyse konnten insgesamt 13  Schulen identifiziert werden, bei denen nach dem identischen Muster unberechtigte Registrierungen stattgefunden haben. Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option aktiviert, dass Schüler Teams erstellen können. Vier der 13 Schulen waren Testschulen von Projektpartner ohne Schülerdaten. Die betroffenen Accounts wurden von uns gesichert und gelöscht.  

Sowohl die betroffenen Schulen als auch nicht-betroffene Schulen wurden von uns zeitnah informiert.


Update (15.05.2020, 11:30 Uhr): Im Zusammenhang mit dieser Sicherheitslücke erreichte uns am 14.05.2020 um 14:54 Uhr eine Information über einen weiteren datenschutzrechtlich relevanten Sachverhalt.

Hierbei wurde insbesondere auf Informationen unseres öffentlichen Ticketsystems zugegriffen. Das Ticketsystem der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei OpenSource-Projekten durchaus üblich, um eine maximale Transparenz in der Entwicklung zu gewährleisten. Andere Bereiche des Ticketsystems wie der Helpdesk und interne Bereiche waren hingegen nur einer geschlossenen Gruppe von Mitarbeitern zugänglich. Bereits am 12.5.2020 um 14 Uhr wurde das Ticketsystem im Rahmen laufender Projektreviews, die gemeinsam mit einem unserer Dienstleister erfolgen, geschlossen.

In der Information wurden wir auf eine Liste von insgesamt 15 Tickets hingewiesen, welche sich vor der Schließung im öffentlichen Bereich des Ticketbereichs befanden und Namen, Emailadressen und teilweise Telefonnummern von Nutzern enthielten.

Da das Ticketsystem zu diesem Zeitpunkt bereits geschlossen war, wurden hier keine unmittelbaren Maßnahmen getroffen. Die betroffenen Nutzer werden von uns informiert, die betroffenen Tickets werden gelöscht. Ob weitere Tickets ähnliche Daten enthielten, wird noch geprüft.


Am 20.05.2020 erfahren wir aus einem Artikel des ARD-Magazins Kontraste um 18:45 Uhr, dass Benutzernamen im Kontext des Chats in der HPI Schul-Cloud einsehbar gewesen sein sollen. Da uns von der Redaktion dazu keine Informationen gegeben wurden, starten wir basierend auf den Informationen des Artikels umgehend eine Untersuchung. Sie ergibt, dass nach der Registrierung in der Schul-Cloud über eine Funktion im Chat bei bestimmten regionalen Instanzen der HPI Schul-Cloud eine Liste von Nutzernamen aufgerufen werden konnte. Auch wer sich unrechtmäßig in der HPI Schul-Cloud registriert und gezielt Funktionen missbraucht hat, konnte diese aufrufen.  Dadurch waren Vor-und Nachnamen von Chat-Nutzern sowie deren Eintrittsdatum in den Chat für andere eingeloggte Nutzer potentiell sichtbar, die die entsprechende URL herausgefunden und aufgerufen hätten. Die entsprechende Funktion im Chat wurde am selben Tag um 22.02 Uhr durch das Sicherheitsteam deaktiviert. Wir prüfen gerade, welche Nutzer davon betroffen gewesen sein könnten.