Lern-App Study Smarter : Ich weiß, was du nicht weißt

Welche Fehler machen Studierende beim Lernen? Solche Informationen aus der App StudySmarter standen ungeschützt im Netz. Es ist nicht die erste Lücke in Bildungssoftware.

Dieser Artikel erschien am 07.12.2021 auf ZEIT Online
Jakob von Lindern
Digitales Lernen hat sich durch die Corona-Pandemie weiter verbreitet.
Digitales Lernen hat sich durch die Corona-Pandemie weiter verbreitet.
©ijeab/iStock

Kann ich mal deine Mitschrift kopieren? Notizen aus Vorlesungen oder Zusammenfassungen von Skripten sind an Unis beinahe eine Art Währung: Wer die Vorlesung geschwänzt oder das Lehrbuch nicht gelesen hat, kann sich den Stoff damit ordentlich portioniert eintrichtern. Die App StudySmarter ist ein Handelsplatz für solche wertvollen Informationen: Studenten und Schülerinnen können dort Dokumente hochladen, sie markieren, Karteikarten erstellen und damit lernen. Und sie können die Lernmaterialien mit ihren Kommilitoninnen oder Mitschülern teilen.

Natürlich nur, wenn sie das wollen. „Wir geben keine persönliche Daten von dir weiter, weder zu deinem Lernprozess noch deine Mail Adresse”, verspricht StudySmarter auf der Startseite. Klingt gut – stimmte aber zumindest zwischenzeitlich nicht.

Denn zeitweise waren die Daten der mehr als drei Millionen Nutzerinnen und Nutzer von StudySmarter offen im Netz abrufbar: Namen, E-Mail-Adressen, Studienort oder Schule, Studienfach. Bei einem Teil der Accounts waren auch Informationen zur Aktivität in der App abrufbar. Welche Fächer eine Person gelernt hat, welche Fragen sie richtig beantwortet, welche Ziele sie sich gesetzt, welche Noten sie eingetragen hat. Das zeigen Recherchen des Hacking-Kollektivs Zerforschung, die ZEIT ONLINE einsehen und nachvollziehen konnte. Mit wenigen Befehlen konnte der komplette Datensatz einer Person abgerufen werden. Viele auf einmal abzurufen, wäre ohne großen Aufwand möglich gewesen.

„Das darf einfach nicht passieren”, sagt Karl, Mitglied bei Zerforschung. Er tritt in der Öffentlichkeit nur mit Vornamen auf. Die Schwachstelle sei ein offensichtlicher Fehler: „Es hat gerade einmal zehn Minuten gedauert, das zu finden.”

Keine Nutzerdaten veröffentlicht

Mittlerweile ist die Lücke geschlossen. Nach Angaben des Unternehmens bestand das Problem seit dem 16. November, an diesem Tag sei eine fehlerhafte Version der Software ausgespielt worden. Am 22. November machte Zerforschung das Unternehmen darauf aufmerksam, nicht einmal eine Stunde später sei das Problem behoben gewesen. Die Lücke sei nicht ausgenutzt worden. „In dem Vorfall wurden keine Nutzerdaten veröffentlicht”, schreibt StudySmarter-Mitgründer Maurice Khudhir auf Nachfrage.

Das heißt nicht, dass es kein Problem gab: „Wie kritisch eine Lücke ist, wird nicht daran gemessen, wie lange sie offen war, sondern daran, wie viele Daten von wie vielen Menschen betroffen sind”, sagt Lilith Wittmann, Mitglied bei Zerforschung.

Millionen fürs Lernen

StudySmarter ist Teil einer schnell wachsenden Branche: EdTech, der Begriff setzt sich zusammen aus Education und Technology, Bildung und Technologie. Dazu gehören Anbieter von Nachhilfe-Apps, Chat-Programme für die Schule oder Lernmanagement-Software. Das Unternehmen ist in dieser Welt sehr erfolgreich: Im Mai verkündete StudySmarter, 15 Millionen US-Dollar Risikokapital von Investoren eingesammelt zu haben, im Oktober kamen weitere 16 Millionen dazu. Unter den Geldgebern sind Start-up-Investmentfonds aus den USA, Owl Ventures, Left Lane Capital und Goodwater Capital. Auch die Investmentfirmen Dieter von Holtzbrinck Ventures und Axel Springer P&P haben in StudySmarter investiert.

Das Ziel von StudySmarter ist start-up-typisch hoch gesteckt: „Wir nutzen modernste Technologies (sic) um den gesamten Lernprozess von allen Lernenden zu digitalisieren – unabhängig von Studiengang, Fach, oder Lernziel”, heißt es in einer Selbstbeschreibung.

In einer digitalen Welt wird digital gelernt

Die Anwendung ist um eine recht klassische Methode des Auswendiglernens herum aufgebaut: Karteikarten. Nutzerinnen und Nutzer können fertige Kartensammlungen zu Themen wie Kurvendiskussion oder Gedichtanalyse nutzen, um damit ihr Wissen zu testen. Sie bekommen dann Fragen zu sehen („Was bedeutet das Wort Metapher?”), per Klick oder Fingerdruck wird die virtuelle Karteikarte umgedreht und die Antwort ist zu sehen („Übertragung”). Man kann dann selbst bewerten, wie gut man die Frage beantworten konnte: „verstanden”, „unsicher” oder „unklar”. Basierend darauf zeigt die App die Karten künftig an.

Solche Karteikarten und ausführlichere Zusammenfassungen können die Nutzerinnen und Nutzer auch selbst erstellen, entweder indem sie Text einfach eintippen oder indem sie Passagen in Dokumenten markieren, die sie hochladen. Zusammenfassungen und Karteikarten können dann auch der Community zur Verfügung gestellt werden, sodass auch andere mit ihnen lernen können. Diese Funktion scheint vor allem für Studierende interessant zu sein – man findet Kartensätze zu vielen Vorlesungen.

Wer möchte, kann sich selbst Ziele setzen, etwa wie viele Karteikarten man pro Tag „verstehen” möchte oder wie viele Stunden man pro Woche lernen will. Statistiken über das eigene Lernverhalten werden auch angezeigt. Und am Ende kann man die in einem Fach erzielte Note eintragen.

Diese Informationen standen durch die Sicherheitslücke ungeschützt im Netz. Wie wertvoll die Daten sind, dürften die StudySmarter-Gründer wissen. Denn sie nutzen sie auch selbst – um ihren Nutzerinnen und Nutzern passende Werbung anzuzeigen. StudySmarter verdient unter anderem damit Geld, dass Unternehmen in der Lern-App Stellenanzeigen schalten. „Erreiche deine Zielgruppe datengetrieben und ohne Streuverluste”, verspricht StudySmarter. Unternehmen wie Audi, die Deutsche Bahn und staatliche Organe wie das Bundesforschungsministerium und die Bundeswehr gehören zu den Kunden. Wer keine Werbung sehen möchte, muss zahlen: 6,99 Euro pro Monat kostet der Premium-Account.

Sicher muss es sein

Es gibt Kritiker, die sagen, solche Anwendungen kommerzialisieren die Bildung. Andere bemängeln, dass Apps, die Schulstoff in kleinen Häppchen präsentieren, keine Bildungsrevolution sind, sondern im Wesentlichen dem Auswendiglernen einen digitalen Anstrich verpassen – und damit eher die Probleme des Bildungssystems zementieren. Gleichzeitig ist klar: In einer digitalen Welt wird auch digital gelernt. Studentinnen, Schüler, Lehrerinnen nutzen Software und Geräte völlig selbstverständlich. Weil sie das Lernen verbessern können, aber auch einfach, weil es in einer Kultur der Digitalität kaum noch ohne denkbar ist.

Umso wichtiger ist, dass diese Werkzeuge zuverlässig funktionieren. Dazu gehört, dass Apps, die sensible Daten wie Noten oder Lernstände speichern, diese Informationen auch zuverlässig vor fremden Blicken schützen.

Denn wer persönliche Daten und Informationen über den Lernfortschritt von Millionen Schülerinnen und Studenten hat, kann damit einiges anstellen: Man könnte zum Beispiel Spam- oder Phishing-Mails an die E-Mail-Adressen verschicken, die besonders echt aussehen, weil sie den korrekten Namen oder andere persönliche Informationen enthalten. Man könnte sie mit anderen Datensätzen kombinieren und so noch genauere Profile von Menschen erstellen. Oder man könnte einzelne Personen erpressen oder zumindest ärgern, weil man aus den Daten ihre Lernschwächen oder gar Noten herauslesen kann. Auch ein zukünftiger Arbeitgeber könnte diese Informationen sehen.

Deshalb ist insbesondere zu Beginn der Corona-Pandemie bereits eine Diskussion entstanden um den Datenschutz und die Datensicherheit von Software, die im Bildungsbereich verwendet wird. Es ist auch der Grund, warum die Hackerinnen und Hacker von Zerforschung begonnen haben, Bildungssoftware zu überprüfen. „Wir haben den Eindruck, dass in diesem Bereich nicht allzu viel Wert auf Datensicherheit gelegt wird”, sagt Wittmann.

„So etwas sollte nicht durchrutschen”

Tatsächlich gibt es einige Beispiele: Zerforschung hat etwa Probleme bei den Apps Scoolio und Learnu aufgedeckt. Die Daten von Schülerinnen der populären App Anton waren im Frühjahr ebenfalls offen im Netz zu finden. Auch, wenn sich die Fälle ähneln, sind sie nicht gleich: Die Fehler bei Learnu waren so gravierend, dass die Macher ihre App nach den Hinweisen von Zerforschung gleich ganz abschalteten. Einiges deutet darauf hin, dass die Lücke bei StudySmarter eher ein Ausrutscher war als ein Zeichen dafür, dass die ganze App kaputt ist.

„So etwas sollte nicht durchrutschen”, sagt Karl. „Dass es doch passiert ist, ist ein Zeichen dafür, dass Sicherheit keine ausreichend große Rolle beim Entwicklungsprozess gespielt hat.” Das hätten die Hersteller der App nun aber auch erkannt.

Laut StudySmarter-Gründer Khudhir würden neue Kontrollschritte eingeführt, um Fehler bei Updates zu vermeiden. Es sei auch ein Belohnungsprogramm geplant für Menschen, die Fehler im System finden; ein übliches Vorgehen in der Softwarebranche. Das Unternehmen will in Zukunft außerdem einmal pro Monat einen Penetrationstest, also eine Überprüfung auf Sicherheitslücken, durchführen lassen. Ein solcher Test habe auch schon kurz vor dem fehlerhaften Update stattgefunden.

Wer kontrolliert Schulsoftware?

Es bleibt aber das Problem, dass man sich größtenteils darauf verlassen muss, was Unternehmen über ihre eigene Sicherheit sagen. Unabhängige Tests gibt es kaum – außer ehrenamtliche Hackerinnen und Hacker wie die von Zerforschung machen die Arbeit.

„Es müsste eigentlich eine Liste geben, mit Software, die bedenkenlos an Schulen eingesetzt werden kann”, sagte Thomas Petri, der Landesbeauftragte für Datenschutz in Bayern im Frühjahr ZEIT ONLINE. Eine solche Liste gibt es offiziell immer noch nicht. Der Thüringer Landesdatenschutzbeauftrage Lutz Hasse allerdings hat in einigen kürzlich durch eine IFG-Anfrage veröffentlichten E-Mails klare Empfehlungen ausgesprochen. Das könnte eine Grundlage für eine Positiv-Liste bilden.

Klare Empfehlungen für sichere Software würden auch die Zerforscher:innen, wie sie sich selbst nennen, begrüßen. „Aber sie können nur ein kleiner Teil sein”, sagt Wittmann. Wichtiger sei es, dass die Software, die verwendet wird, regelmäßig überprüft werde. „Gerade Software, die Daten von Schüler:innen verarbeitet, sollten schon grundsätzlich Open Source sein”, sagt Wittmann. Läge der Quellcode offen, könnte jeder nachvollziehen, wie sicher er ist.

Eine Kontrollinstanz können die Datenschutzbehörden sein. „Die Landesdatenschützer brauchen viel mehr Ressourcen”, sagt Wittmann. Geld, Zeit, Personal, um systematisch Software auf ihre Sicherheit zu testen. „Oft reagieren die Behörden bisher nur”, sagt Wittmann. „Sie müssten aber auch von sich aus handeln können.”