Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Kommentar

Scoolio-App: Das geht gar nicht

Ein Artikel von , veröffentlicht am 27.10.2021
Die Scoolio-App ist kein geschützter Raum. Foto: iStock.

Wie das IT-Sicherheitskollektiv „zerforschung“ am 26. Oktober berichtete, waren Nutzerdaten der Schul-App Scoolio frei im Internet zugänglich. Doch auch das werbebasierte Geschäftsmodell und die Netzwerkfunktion der Plattform sind mehr als fragwürdig.

[Update vom 28.10.2021]  In unserem Artikel vom 27.10.2021 fehlte der Hinweis, dass die Scoolio-Lernplattform auch ohne Anmeldung für Schüler*innen nutzbar ist. Auch die Organisations-Funktionen der App sind ohne Konto nutzbar, für die Social-Media-Funktionen ist eine Anmeldung aber nötig.

Die App Scoolio richtet sich an Schüler*innen aller Klassenstufen und verspricht, den Schulalltag besser zu organisieren. Wer sich mit Namen, E-Mail und Geburtsdatum anmeldet, kann in seinem Nutzerkonto zum Beispiel Noten, Stundenpläne und Unterrichtsnotizen verwalten.

Diese Profildaten waren für jede*n frei im Internet zugänglich, wie das IT-Sicherheitskollektiv zerforschung in seinem am 26. Oktober veröffentlichten Bericht eindrücklich darstellte.

Laut Bericht waren Profildaten von Mindestens 400.000 Nutzer*innen betroffen. Diese enthielten neben den eigenen Angaben auch den Standort, an dem die App das letzte Mal geöffnet wurde, sofern die*der Nutzende den Standort freigegeben hatte.

Hinter dem Dienst steht die Scoolio GmbH mit Sitz in Dresden. Sie hat die Sicherheitslücken am 25. Oktober final geschlossen - rund vier Wochen nachdem die IT-Expert*innen sie darauf aufmerksam gemacht hatten. Die zuständige Aufsichtsbehörde ermittelt noch in dem Fall.

Öffentliche Hand investierte

Wer ab und an Nachrichten aus der Technik-Welt liest, der dürfte nicht überrascht sein. Von ähnlichen Datenpannen lesen wir schließlich im Wochentakt - oft bei deutlich größeren Firmen mit deutlich höheren Betroffenenzahlen.

Den Fall damit abzutun, dass so etwas "in den besten Familien vorkommt" und sich über die hilfreiche Mitarbeit der Community zu freuen, wäre trotzdem falsch.

Denn die Betreiberfirma hat für die Entwicklung von Scoolio mehrere Millionen Euro eingesammelt – darunter auch öffentliche Mittel. So investiert unter anderem der Freistaat Sachsen über den Technologiegründerfonds seit 2018 in die Firma.

Da kann man sich schon fragen, warum es bei der IT-Wirtschaftsförderung mit Steuergeldern nicht gewisse Mindeststandards gibt, die dann auch überprüft werden. Zum Beispiel bei Datenschutz und IT-Sicherheit. Oder auch, was die grundsätzliche Vereinbarkeit des Geschäftsmodells mit öffentlichen Interessen betrifft.

Werbung jetzt auch an Schulen?

Ein unbestreitbar öffentliches Interesse ist es zum Beispiel, die Schule als besonders geschützten Raum frei von Werbung zu halten. Daher auch das generelle Werbeverbot, das an Schulen gilt. Mit Scoolio fördert der Freistaat Sachsen allerdings eine App, die sich gerade damit rühmt, die gut geschützte Zielgruppe „Schüler*innen“ mit Werbung zu erreichen.

Spätestens dann, wenn sich eine Schule entscheidet, Scoolio auch als Lernplattform zu nutzen – eine Funktion, die seit Anfang 2021 zur Verfügung steht - haben Schüler*innen kaum mehr eine Möglichkeit, sich dieser Werbebeschallung zu entziehen.

Wie eine Schule überhaupt auf die Idee kommen kann, ihre Schüler*innen auf eine werbefinanzierte Plattform zu bringen, ist uns daher einigermaßen rätselhaft. Mit geltenden Datenschutzregeln kann das kaum vereinbar sein.

Dass die App Tracking per Voreinstellung aktiviert hat und Daten an die Drittanbieter Facebook, Appsflyer und Google sendet, fällt da schon kaum mehr ins Gewicht. Auch wenn für eine App, die an Schulen eingesetzt werden soll, alleine das schon ein Ausschlusskriterium wäre.

Welche Daten sendet meine Android-App? Hier geht's zu unserer AppChecker-Datenbank mit mehr als 30.000 Testberichten.

Social-Media Funktionen: What could possibly go wrong?

Noch fragwürdiger sind die Social-Media-Funktionen des Dienstes. Nutzer*innen können auf Scoolio chatten, posten und Gruppen anlegen. Wer den Standort freigibt, kann sich Profile in der Nähe anzeigen lassen.

Zugangsbeschränkungen gibt es hierbei keine. Und damit meinen wir wirklich gar keine. Jede*r kann sich in der App ein Profil anlegen und sich eine Schule aussuchen. Die Angaben werden nicht überprüft, auf Scoolio kann sich also jede Person als Schüler*in jeder Schule ausgeben.

Angelegte Profile sind öffentlich und können ohne Zustimmung per Chat angeschrieben und zur eigenen Freundesliste hinzugefügt werden. Privacy-Einstellungen für das eigene Profil haben wir nicht gefunden. Angelegte Gruppen sind per Voreinstellung öffentlich, jede*r kann beitreten und mitlesen. Ob das den Viert- und Fünftklässler*innen so klar ist, die sich dort in Gruppen wie „nur Mädchen ab 10“ herumtreiben, ist fraglich.

Zu einigen Chats wird man als Nutzer*in auch automatisch hinzugefügt – zum Beispiel zum Schulchat der Schule, die man angegeben hat. Aus dem Chat auszutreten ist nicht möglich. Wer hier gemobbt wird, dem*der bleibt nur, die Plattform zu verlassen. Dumm nur, wenn auch das Home-Schooling über die Plattform organisiert wird.

Scoolio ist kein geschützter Raum

So what could possibly go wrong? Die App bietet ein Einfallstor für die direkte Kontaktaufnahme mit Schüler*innen, wobei auch noch die besuchte Schule und Klasse sichtbar sind.

Wer einen Eindruck davon bekommen will, wie das ausgehen kann, wenn nicht massiv gefiltert und moderiert wird, dem*der empfehlen wir unseren Bericht aus der Anfangszeit von Musical.ly (inzwischen umbenannt in TikTok).

Scoolio kombiniert hier die schlimmsten Fehler, die wir von anderen Social-Media-Plattformen kennen, mit der sensiblen Gruppendynamik im Ökosystem Schule – und holt dabei auch munter Grundschüler*innen mit ins Boot.

Ob eine Firma, die selbst die einfachsten IT-Sicherheitsanforderungen nicht erfüllen kann, diese Plattform wieder in den Griff bekommt, wenn sie erst einmal von Cyber-Grooming, Hatespeech und jugendgefährdenden Inhalten überrollt wird, ist mehr als fraglich.

Im Schulbereich, der aus guten Gründen einen besonderen Schutz genießt, hat diese App definitiv nichts verloren.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Hintergrund 

Das Recycling-Smartphone ist möglich. Warum gibt es noch keins?

In unseren alten Geräten schlummert ein Schatz aus wertvollen Rohstoffen. Woran es liegt, dass wir immer noch zu wenig recyceln.

Mehr
Ratgeber 

Worauf Sie bei In-App-Käufen achten sollten

In-App-Käufe können schnell ins Geld gehen, vor allem bei Spielen. Die App selbst ist kostenlos, kostenpflichtig sind Extras, die den Spielverlauf beschleunigen. Sowohl bei Android als auch bei iOS lassen sich In-App-Käufe mit einem Passwort absichern oder über Guthabenkarten kontrollieren. Wir zeigen wie es geht.

Mehr
Ratgeber 

Datenschutz bei Chrome (iOS)

Chrome ist auch auf iPhones und iPads ein häufig genutzter Browser. Wie er mit Daten umgehen soll, die er während des Surfens sammelt, kann man – ähnlich wie beim Apple-Browser Safari – teils in den Betriebssystemeinstellungen, teils in den Browsereinstellungen konfigurieren.

Mehr
In eigener Sache 

Juhu! Hier ist unser HandyHelfer

Nie wieder ratlos, was ihr mit einem älteren Handy machen sollt.

Mehr