Kommentar

Scoolio-App: Das geht gar nicht

Ein Artikel von , veröffentlicht am 27.10.2021
Die Scoolio-App ist kein geschützter Raum. Foto: iStock.

Wie das IT-Sicherheitskollektiv „zerforschung“ am 26. Oktober berichtete, waren Nutzerdaten der Schul-App Scoolio frei im Internet zugänglich. Doch auch das werbebasierte Geschäftsmodell und die Netzwerkfunktion der Plattform sind mehr als fragwürdig.

[Update vom 28.10.2021]  In unserem Artikel vom 27.10.2021 fehlte der Hinweis, dass die Scoolio-Lernplattform auch ohne Anmeldung für Schüler*innen nutzbar ist. Auch die Organisations-Funktionen der App sind ohne Konto nutzbar, für die Social-Media-Funktionen ist eine Anmeldung aber nötig.

Die App Scoolio richtet sich an Schüler*innen aller Klassenstufen und verspricht, den Schulalltag besser zu organisieren. Wer sich mit Namen, E-Mail und Geburtsdatum anmeldet, kann in seinem Nutzerkonto zum Beispiel Noten, Stundenpläne und Unterrichtsnotizen verwalten.

Diese Profildaten waren für jede*n frei im Internet zugänglich, wie das IT-Sicherheitskollektiv zerforschung in seinem am 26. Oktober veröffentlichten Bericht eindrücklich darstellte.

Laut Bericht waren Profildaten von Mindestens 400.000 Nutzer*innen betroffen. Diese enthielten neben den eigenen Angaben auch den Standort, an dem die App das letzte Mal geöffnet wurde, sofern die*der Nutzende den Standort freigegeben hatte.

Hinter dem Dienst steht die Scoolio GmbH mit Sitz in Dresden. Sie hat die Sicherheitslücken am 25. Oktober final geschlossen - rund vier Wochen nachdem die IT-Expert*innen sie darauf aufmerksam gemacht hatten. Die zuständige Aufsichtsbehörde ermittelt noch in dem Fall.

Öffentliche Hand investierte

Wer ab und an Nachrichten aus der Technik-Welt liest, der dürfte nicht überrascht sein. Von ähnlichen Datenpannen lesen wir schließlich im Wochentakt - oft bei deutlich größeren Firmen mit deutlich höheren Betroffenenzahlen.

Den Fall damit abzutun, dass so etwas "in den besten Familien vorkommt" und sich über die hilfreiche Mitarbeit der Community zu freuen, wäre trotzdem falsch.

Denn die Betreiberfirma hat für die Entwicklung von Scoolio mehrere Millionen Euro eingesammelt – darunter auch öffentliche Mittel. So investiert unter anderem der Freistaat Sachsen über den Technologiegründerfonds seit 2018 in die Firma.

Da kann man sich schon fragen, warum es bei der IT-Wirtschaftsförderung mit Steuergeldern nicht gewisse Mindeststandards gibt, die dann auch überprüft werden. Zum Beispiel bei Datenschutz und IT-Sicherheit. Oder auch, was die grundsätzliche Vereinbarkeit des Geschäftsmodells mit öffentlichen Interessen betrifft.

Werbung jetzt auch an Schulen?

Ein unbestreitbar öffentliches Interesse ist es zum Beispiel, die Schule als besonders geschützten Raum frei von Werbung zu halten. Daher auch das generelle Werbeverbot, das an Schulen gilt. Mit Scoolio fördert der Freistaat Sachsen allerdings eine App, die sich gerade damit rühmt, die gut geschützte Zielgruppe „Schüler*innen“ mit Werbung zu erreichen.

Spätestens dann, wenn sich eine Schule entscheidet, Scoolio auch als Lernplattform zu nutzen – eine Funktion, die seit Anfang 2021 zur Verfügung steht - haben Schüler*innen kaum mehr eine Möglichkeit, sich dieser Werbebeschallung zu entziehen.

Wie eine Schule überhaupt auf die Idee kommen kann, ihre Schüler*innen auf eine werbefinanzierte Plattform zu bringen, ist uns daher einigermaßen rätselhaft. Mit geltenden Datenschutzregeln kann das kaum vereinbar sein.

Dass die App Tracking per Voreinstellung aktiviert hat und Daten an die Drittanbieter Facebook, Appsflyer und Google sendet, fällt da schon kaum mehr ins Gewicht. Auch wenn für eine App, die an Schulen eingesetzt werden soll, alleine das schon ein Ausschlusskriterium wäre.

Welche Daten sendet meine Android-App? Hier geht's zu unserer AppChecker-Datenbank mit mehr als 30.000 Testberichten.

Social-Media Funktionen: What could possibly go wrong?

Noch fragwürdiger sind die Social-Media-Funktionen des Dienstes. Nutzer*innen können auf Scoolio chatten, posten und Gruppen anlegen. Wer den Standort freigibt, kann sich Profile in der Nähe anzeigen lassen.

Zugangsbeschränkungen gibt es hierbei keine. Und damit meinen wir wirklich gar keine. Jede*r kann sich in der App ein Profil anlegen und sich eine Schule aussuchen. Die Angaben werden nicht überprüft, auf Scoolio kann sich also jede Person als Schüler*in jeder Schule ausgeben.

Angelegte Profile sind öffentlich und können ohne Zustimmung per Chat angeschrieben und zur eigenen Freundesliste hinzugefügt werden. Privacy-Einstellungen für das eigene Profil haben wir nicht gefunden. Angelegte Gruppen sind per Voreinstellung öffentlich, jede*r kann beitreten und mitlesen. Ob das den Viert- und Fünftklässler*innen so klar ist, die sich dort in Gruppen wie „nur Mädchen ab 10“ herumtreiben, ist fraglich.

Zu einigen Chats wird man als Nutzer*in auch automatisch hinzugefügt – zum Beispiel zum Schulchat der Schule, die man angegeben hat. Aus dem Chat auszutreten ist nicht möglich. Wer hier gemobbt wird, dem*der bleibt nur, die Plattform zu verlassen. Dumm nur, wenn auch das Home-Schooling über die Plattform organisiert wird.

Scoolio ist kein geschützter Raum

So what could possibly go wrong? Die App bietet ein Einfallstor für die direkte Kontaktaufnahme mit Schüler*innen, wobei auch noch die besuchte Schule und Klasse sichtbar sind.

Wer einen Eindruck davon bekommen will, wie das ausgehen kann, wenn nicht massiv gefiltert und moderiert wird, dem*der empfehlen wir unseren Bericht aus der Anfangszeit von Musical.ly (inzwischen umbenannt in TikTok).

Scoolio kombiniert hier die schlimmsten Fehler, die wir von anderen Social-Media-Plattformen kennen, mit der sensiblen Gruppendynamik im Ökosystem Schule – und holt dabei auch munter Grundschüler*innen mit ins Boot.

Ob eine Firma, die selbst die einfachsten IT-Sicherheitsanforderungen nicht erfüllen kann, diese Plattform wieder in den Griff bekommt, wenn sie erst einmal von Cyber-Grooming, Hatespeech und jugendgefährdenden Inhalten überrollt wird, ist mehr als fraglich.

Im Schulbereich, der aus guten Gründen einen besonderen Schutz genießt, hat diese App definitiv nichts verloren.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Marcel Bokhorst von FairEmail: „Ein geschlossener Quellcode und Datenschutz passen nicht zusammen“

Marcel Bokhorst entwickelt die quelloffene Android-App FairEmail. Neben Transparenz und Datenschutz ist ihm eine intuitive Bedienung wichtig. Dazu arbeitet er das Feedback der Nutzerinnen und Nutzer in die App ein, sagt er im mobilsicher-Interview.

Mehr
Kommentar 

Gesichtserkennung in Apps: Was soll da schon schiefgehen?

Selfies in Apps hochzuladen und mit Filtern zu bearbeiten, ist für viele Nutzer*innen schon lange normal. Doch die Selbstporträts können in Datenbanken landen, auf die schon jetzt Sicherheitsbehörden und Staaten zugreifen.

Mehr
Ratgeber 

Partnerschaftsgewalt: Das Handy als Spion

Wenn es in Beziehungen zu Gewalt kommt, spielt das Smartphone häufig eine Rolle. Viele Apps und Systemfunktionen lassen Überwachung zu. Doch man kann sich schützen.

Mehr
YouTube-Video 

Wie sicher ist der Messenger Telegram?

Telegram ist die beliebteste Alternative zu WhatsApp. Aber ist der von russischen Entwicklern angebotene Messenger wirklich sicherer als der US-amerikanische Marktführer? Wir können nur sagen: Es kommt darauf an. Für die sichere Nutzung geben wir im Video eine wichtige Empfehlung.

Ansehen