Kommentar

Scoolio-App: Das geht gar nicht

Ein Artikel von , veröffentlicht am 27.10.2021
Die Scoolio-App ist kein geschützter Raum. Foto: iStock.

Wie das IT-Sicherheitskollektiv „zerforschung“ am 26. Oktober berichtete, waren Nutzerdaten der Schul-App Scoolio frei im Internet zugänglich. Doch auch das werbebasierte Geschäftsmodell und die Netzwerkfunktion der Plattform sind mehr als fragwürdig.

[Update vom 28.10.2021]  In unserem Artikel vom 27.10.2021 fehlte der Hinweis, dass die Scoolio-Lernplattform auch ohne Anmeldung für Schüler*innen nutzbar ist. Auch die Organisations-Funktionen der App sind ohne Konto nutzbar, für die Social-Media-Funktionen ist eine Anmeldung aber nötig.

Die App Scoolio richtet sich an Schüler*innen aller Klassenstufen und verspricht, den Schulalltag besser zu organisieren. Wer sich mit Namen, E-Mail und Geburtsdatum anmeldet, kann in seinem Nutzerkonto zum Beispiel Noten, Stundenpläne und Unterrichtsnotizen verwalten.

Diese Profildaten waren für jede*n frei im Internet zugänglich, wie das IT-Sicherheitskollektiv zerforschung in seinem am 26. Oktober veröffentlichten Bericht eindrücklich darstellte.

Laut Bericht waren Profildaten von Mindestens 400.000 Nutzer*innen betroffen. Diese enthielten neben den eigenen Angaben auch den Standort, an dem die App das letzte Mal geöffnet wurde, sofern die*der Nutzende den Standort freigegeben hatte.

Hinter dem Dienst steht die Scoolio GmbH mit Sitz in Dresden. Sie hat die Sicherheitslücken am 25. Oktober final geschlossen - rund vier Wochen nachdem die IT-Expert*innen sie darauf aufmerksam gemacht hatten. Die zuständige Aufsichtsbehörde ermittelt noch in dem Fall.

Öffentliche Hand investierte

Wer ab und an Nachrichten aus der Technik-Welt liest, der dürfte nicht überrascht sein. Von ähnlichen Datenpannen lesen wir schließlich im Wochentakt - oft bei deutlich größeren Firmen mit deutlich höheren Betroffenenzahlen.

Den Fall damit abzutun, dass so etwas "in den besten Familien vorkommt" und sich über die hilfreiche Mitarbeit der Community zu freuen, wäre trotzdem falsch.

Denn die Betreiberfirma hat für die Entwicklung von Scoolio mehrere Millionen Euro eingesammelt – darunter auch öffentliche Mittel. So investiert unter anderem der Freistaat Sachsen über den Technologiegründerfonds seit 2018 in die Firma.

Da kann man sich schon fragen, warum es bei der IT-Wirtschaftsförderung mit Steuergeldern nicht gewisse Mindeststandards gibt, die dann auch überprüft werden. Zum Beispiel bei Datenschutz und IT-Sicherheit. Oder auch, was die grundsätzliche Vereinbarkeit des Geschäftsmodells mit öffentlichen Interessen betrifft.

Werbung jetzt auch an Schulen?

Ein unbestreitbar öffentliches Interesse ist es zum Beispiel, die Schule als besonders geschützten Raum frei von Werbung zu halten. Daher auch das generelle Werbeverbot, das an Schulen gilt. Mit Scoolio fördert der Freistaat Sachsen allerdings eine App, die sich gerade damit rühmt, die gut geschützte Zielgruppe „Schüler*innen“ mit Werbung zu erreichen.

Spätestens dann, wenn sich eine Schule entscheidet, Scoolio auch als Lernplattform zu nutzen – eine Funktion, die seit Anfang 2021 zur Verfügung steht - haben Schüler*innen kaum mehr eine Möglichkeit, sich dieser Werbebeschallung zu entziehen.

Wie eine Schule überhaupt auf die Idee kommen kann, ihre Schüler*innen auf eine werbefinanzierte Plattform zu bringen, ist uns daher einigermaßen rätselhaft. Mit geltenden Datenschutzregeln kann das kaum vereinbar sein.

Dass die App Tracking per Voreinstellung aktiviert hat und Daten an die Drittanbieter Facebook, Appsflyer und Google sendet, fällt da schon kaum mehr ins Gewicht. Auch wenn für eine App, die an Schulen eingesetzt werden soll, alleine das schon ein Ausschlusskriterium wäre.

Welche Daten sendet meine Android-App? Hier geht's zu unserer AppChecker-Datenbank mit mehr als 30.000 Testberichten.

Social-Media Funktionen: What could possibly go wrong?

Noch fragwürdiger sind die Social-Media-Funktionen des Dienstes. Nutzer*innen können auf Scoolio chatten, posten und Gruppen anlegen. Wer den Standort freigibt, kann sich Profile in der Nähe anzeigen lassen.

Zugangsbeschränkungen gibt es hierbei keine. Und damit meinen wir wirklich gar keine. Jede*r kann sich in der App ein Profil anlegen und sich eine Schule aussuchen. Die Angaben werden nicht überprüft, auf Scoolio kann sich also jede Person als Schüler*in jeder Schule ausgeben.

Angelegte Profile sind öffentlich und können ohne Zustimmung per Chat angeschrieben und zur eigenen Freundesliste hinzugefügt werden. Privacy-Einstellungen für das eigene Profil haben wir nicht gefunden. Angelegte Gruppen sind per Voreinstellung öffentlich, jede*r kann beitreten und mitlesen. Ob das den Viert- und Fünftklässler*innen so klar ist, die sich dort in Gruppen wie „nur Mädchen ab 10“ herumtreiben, ist fraglich.

Zu einigen Chats wird man als Nutzer*in auch automatisch hinzugefügt – zum Beispiel zum Schulchat der Schule, die man angegeben hat. Aus dem Chat auszutreten ist nicht möglich. Wer hier gemobbt wird, dem*der bleibt nur, die Plattform zu verlassen. Dumm nur, wenn auch das Home-Schooling über die Plattform organisiert wird.

Scoolio ist kein geschützter Raum

So what could possibly go wrong? Die App bietet ein Einfallstor für die direkte Kontaktaufnahme mit Schüler*innen, wobei auch noch die besuchte Schule und Klasse sichtbar sind.

Wer einen Eindruck davon bekommen will, wie das ausgehen kann, wenn nicht massiv gefiltert und moderiert wird, dem*der empfehlen wir unseren Bericht aus der Anfangszeit von Musical.ly (inzwischen umbenannt in TikTok).

Scoolio kombiniert hier die schlimmsten Fehler, die wir von anderen Social-Media-Plattformen kennen, mit der sensiblen Gruppendynamik im Ökosystem Schule – und holt dabei auch munter Grundschüler*innen mit ins Boot.

Ob eine Firma, die selbst die einfachsten IT-Sicherheitsanforderungen nicht erfüllen kann, diese Plattform wieder in den Griff bekommt, wenn sie erst einmal von Cyber-Grooming, Hatespeech und jugendgefährdenden Inhalten überrollt wird, ist mehr als fraglich.

Im Schulbereich, der aus guten Gründen einen besonderen Schutz genießt, hat diese App definitiv nichts verloren.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Video: Fahrplan-App Öffi kurz vorgestellt

Im Juli 2018 flog die Fahrplan-App namens "Öffi" aus dem Google Play-Store. Während noch an einer Lösung gearbeitet wird, haben wir die kostenlose App für Bus und Bahn auf Funktionalität und Datensicherheit getestet. Ergebnis: Eure Daten bleiben, wo sie hingehören - bei euch. Und praktisch ist die App außerdem.

Ansehen
Ratgeber 

Fremde WLANs nutzen

Die drahtlose Verbindung ins Internet, WLAN, ist eine praktische Sache. Sie ist meistens schneller und günstiger als die mobile Datenübertragung. Wer WLAN-Zugänge mit Smartphone oder Tablet nutzen möchte, sollte jedoch ein paar Punkte beachten.

Mehr
Ratgeber 

Auch im Urlaub sicher in Kontakt bleiben

Wer im Ausland von außergewöhnlichen Ereignissen überrascht wird, ist schnell von der üblichen Kommunikation abgeschnitten. Diese Erfahrung machten auch Türkei-Reisende, als es infolge des Putschversuchs zu Sperrungen kam. Doch nicht nur dort müssen Reisende mit Einschränkungen rechnen.

Mehr
Ratgeber 

Android 10 (Q): Das ist neu bei Sicherheit und Datenschutz

Im September 2019 hat Google die zehnte Version des Betriebssystems Android veröffentlicht. Android 10 (Q) schützt den eigenen Standort und viele andere persönliche Daten deutlich besser vor dem Zugriff von Apps, bringt schnellere Sicherheitsupdates und neue Funktionen zur eigenen Nutzungskontrolle.

Mehr