Datenschutz : Hausaufgaben-App Learnu stellt nach Sicherheitslücken Betrieb ein

Das Hackerkollektiv Zerforschung fand in einer App zum Teilen von Schul-Hausaufgaben gravierende Schwächen: Daten von 400.000 Nutzern waren abrufbar, außerdem ließen sich fremde Accounts kapern.

Dieser Artikel erschien am 11.11.2021 in DER SPIEGEL
Hanno Böck
Schüler mit Handy
Schüler mit Handy
©Anna Gorbacheva/iStock

Was die App Learnu allen Schülerinnen und Schülern versprach, kann man wohl die Kommerzialisierung des Abschreibens nennen: Dokumente wie Hausaufgaben oder Schulpräsentationen ließen sich darüber teilen, im Idealfall konnten die Nutzerinnen und Nutzer damit sogar Geld verdienen. Denn andere konnten für einen Premium-Account knapp fünf Euro im Monat zahlen, um sich nach Belieben an den bereitgestellten Hausaufgaben bedienen zu dürfen.

Die App hatte jedoch gravierende Sicherheitslücken, wie eine Analyse des Hackerkollektivs Zerforschung nahelegt, die dem SPIEGEL vorliegt. Demnach war es mit einfachen Mitteln möglich, sämtliche Daten der Nutzerinnen und Nutzer auszulesen: die öffentlich in Profilen dargestellten Informationen sowie unter anderem die Mailadresse, die Schule und der Wohnort von etwa 400.000 Personen.

Weiterhin war es möglich, die Accounts anderer Personen zu kontrollieren. Der Grund dafür war, dass die Anwendung einen speziellen Modus nutzte, der nur während der Softwareentwicklung aktiviert sein sollte (genauer: auf Serverseite nutzte sie den sogenannten Debug-Modus des Web-Frameworks Laravel). Darüber gelang es der IT-Sicherheitsexpertin Lilith Wittmann von Zerforschung, diverse interne Passwörter und Schlüssel des Onlinesystems der App auszulesen.

Die beschriebenen Sicherheitslücken wurden von Learnu auf Anfrage bestätigt. Die Betreiber von Learnu hatten allerdings nach eigenen Angaben bereits vor diesem Vorfall geplant, den Betrieb der App einzustellen.

Die App ist inzwischen nicht mehr funktionsfähig. Zwar existiert die Website noch und Learnu lässt sich über den Google Playstore installieren, eine Registrierung eines Benutzeraccounts ist jedoch nicht mehr möglich.

„Das Offline-Nehmen der App war der schnellste, effizienteste und sicherste Weg, die Daten der Nutzer keinem weiteren Risiko auszusetzen und einen möglichen Zugriff von Dritten auszuschließen“, teilten die beiden Gründer des Unternehmens auf Anfrage mit. „Wir hatten uns übrigens aufgrund privater Gründe bereits zuvor dazu entschlossen gehabt, das ganze Projekt, welches wir als Schüler gestartet haben, bald zu einem Ende bringen.“

Die Gründer von Learnu hatten ihren Angaben zufolge die App von einem externen Entwicklerteam erstellen lassen: „Dabei wurde dokumentiert, dass typische Schwachstellen vermeintlich geschlossen worden waren und die App nach Aussage und einigen Monaten Arbeit seitens des Entwicklerteams sicher sein sollte. Wir als Gründer haben uns auf dieses Know-how des externen IT-Beraters verlassen.“

Die Nutzerinnen und Nutzer der App wurden über die Vorfälle bislang nicht informiert. Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass bei der Verletzung von Datenschutzrechten Betroffene in manchen Fällen informiert werden müssen. Doch die zuständige Datenschutzbehörde in Nordrhein-Westfalen sieht dafür in diesem Fall keine Notwendigkeit – und begründet das mit der Vertrauenswürdigkeit der Entdecker dieser Sicherheitslücken.

„Die Landesbeauftragte (für Datenschutz, Anm. der Redaktion) hat Learnu auf Nachfrage mitgeteilt, dass nach ihrer Einschätzung von den Zugriffen der Gruppe ›Zerforschung‹ kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht und daher hinsichtlich dieser Zugriffe keine Benachrichtigungspflicht nach Artikel 34 Datenschutz-Grundverordnung besteht“, teilte die Behörde mit. „Diese Auskunft wurde vor dem Hintergrund getroffen, dass die Gruppe Zerforschung hier als vertrauenswürdig bekannt ist und das Ziel verfolgt, Sicherheitslücken aufzudecken, um den Schutz der Daten zu verbessern. Eine Missbrauchsabsicht besteht hier nicht.“

„Wir freuen uns zwar über das Vertrauen, das uns die Datenschutzbehörde entgegenbringt, finden allerdings, das dieses kein Grund sein darf, Softwarehersteller von ihrer Benachrichtigungspflicht im Rahmen der Datenschutzgrundverordnung zu entbinden“, kommentierte Lilith Wittmann von Zerforschung diese Entscheidung.

Zerforschung ist ein Zusammenschluss von Personen, die regelmäßig Sicherheitslücken aufdecken und darüber berichten. Zuletzt hatte die Gruppe systematisch Schul- und Lernapps analysiert. Zuvor hatte sie mehrfach Datenlecks bei Corona-Testzentren dokumentiert. Lilith Wittmann erlangte zudem einige Bekanntheit, weil sie schwere Sicherheitsmängel in einer Wahlkampf-App der CDU fand.