Die App Scoolio richtet sich an Schüler*innen aller Klassenstufen und verspricht, den Schulalltag besser zu organisieren. Wer sich mit Namen, E-Mail und Geburtsdatum anmeldet, kann in seinem Nutzerkonto zum Beispiel Noten, Stundenpläne und Unterrichtsnotizen verwalten.
Diese Profildaten waren für jede*n frei im Internet zugänglich, wie das IT-Sicherheitskollektiv zerforschung in seinem am 26. Oktober veröffentlichten Bericht eindrücklich darstellte.
Laut Bericht waren Profildaten von Mindestens 400.000 Nutzer*innen betroffen. Diese enthielten neben den eigenen Angaben auch den Standort, an dem die App das letzte Mal geöffnet wurde, sofern die*der Nutzende den Standort freigegeben hatte.
Hinter dem Dienst steht die Scoolio GmbH mit Sitz in Dresden. Sie hat die Sicherheitslücken am 25. Oktober final geschlossen - rund vier Wochen nachdem die IT-Expert*innen sie darauf aufmerksam gemacht hatten. Die zuständige Aufsichtsbehörde ermittelt noch in dem Fall.
Öffentliche Hand investierte
Wer ab und an Nachrichten aus der Technik-Welt liest, der dürfte nicht überrascht sein. Von ähnlichen Datenpannen lesen wir schließlich im Wochentakt - oft bei deutlich größeren Firmen mit deutlich höheren Betroffenenzahlen.
Den Fall damit abzutun, dass so etwas "in den besten Familien vorkommt" und sich über die hilfreiche Mitarbeit der Community zu freuen, wäre trotzdem falsch.
Denn die Betreiberfirma hat für die Entwicklung von Scoolio mehrere Millionen Euro eingesammelt – darunter auch öffentliche Mittel. So investiert unter anderem der Freistaat Sachsen über den Technologiegründerfonds seit 2018 in die Firma.
Da kann man sich schon fragen, warum es bei der IT-Wirtschaftsförderung mit Steuergeldern nicht gewisse Mindeststandards gibt, die dann auch überprüft werden. Zum Beispiel bei Datenschutz und IT-Sicherheit. Oder auch, was die grundsätzliche Vereinbarkeit des Geschäftsmodells mit öffentlichen Interessen betrifft.
Werbung jetzt auch an Schulen?
Ein unbestreitbar öffentliches Interesse ist es zum Beispiel, die Schule als besonders geschützten Raum frei von Werbung zu halten. Daher auch das generelle Werbeverbot, das an Schulen gilt. Mit Scoolio fördert der Freistaat Sachsen allerdings eine App, die sich gerade damit rühmt, die gut geschützte Zielgruppe „Schüler*innen“ mit Werbung zu erreichen.
Spätestens dann, wenn sich eine Schule entscheidet, Scoolio auch als Lernplattform zu nutzen – eine Funktion, die seit Anfang 2021 zur Verfügung steht - haben Schüler*innen kaum mehr eine Möglichkeit, sich dieser Werbebeschallung zu entziehen.
Wie eine Schule überhaupt auf die Idee kommen kann, ihre Schüler*innen auf eine werbefinanzierte Plattform zu bringen, ist uns daher einigermaßen rätselhaft. Mit geltenden Datenschutzregeln kann das kaum vereinbar sein.
Dass die App Tracking per Voreinstellung aktiviert hat und Daten an die Drittanbieter Facebook, Appsflyer und Google sendet, fällt da schon kaum mehr ins Gewicht. Auch wenn für eine App, die an Schulen eingesetzt werden soll, alleine das schon ein Ausschlusskriterium wäre.
Social-Media Funktionen: What could possibly go wrong?
Noch fragwürdiger sind die Social-Media-Funktionen des Dienstes. Nutzer*innen können auf Scoolio chatten, posten und Gruppen anlegen. Wer den Standort freigibt, kann sich Profile in der Nähe anzeigen lassen.
Zugangsbeschränkungen gibt es hierbei keine. Und damit meinen wir wirklich gar keine. Jede*r kann sich in der App ein Profil anlegen und sich eine Schule aussuchen. Die Angaben werden nicht überprüft, auf Scoolio kann sich also jede Person als Schüler*in jeder Schule ausgeben.
Angelegte Profile sind öffentlich und können ohne Zustimmung per Chat angeschrieben und zur eigenen Freundesliste hinzugefügt werden. Privacy-Einstellungen für das eigene Profil haben wir nicht gefunden. Angelegte Gruppen sind per Voreinstellung öffentlich, jede*r kann beitreten und mitlesen. Ob das den Viert- und Fünftklässler*innen so klar ist, die sich dort in Gruppen wie „nur Mädchen ab 10“ herumtreiben, ist fraglich.
Zu einigen Chats wird man als Nutzer*in auch automatisch hinzugefügt – zum Beispiel zum Schulchat der Schule, die man angegeben hat. Aus dem Chat auszutreten ist nicht möglich. Wer hier gemobbt wird, dem*der bleibt nur, die Plattform zu verlassen. Dumm nur, wenn auch das Home-Schooling über die Plattform organisiert wird.
Scoolio ist kein geschützter Raum
So what could possibly go wrong? Die App bietet ein Einfallstor für die direkte Kontaktaufnahme mit Schüler*innen, wobei auch noch die besuchte Schule und Klasse sichtbar sind.
Wer einen Eindruck davon bekommen will, wie das ausgehen kann, wenn nicht massiv gefiltert und moderiert wird, dem*der empfehlen wir unseren Bericht aus der Anfangszeit von Musical.ly (inzwischen umbenannt in TikTok).
Scoolio kombiniert hier die schlimmsten Fehler, die wir von anderen Social-Media-Plattformen kennen, mit der sensiblen Gruppendynamik im Ökosystem Schule – und holt dabei auch munter Grundschüler*innen mit ins Boot.
Ob eine Firma, die selbst die einfachsten IT-Sicherheitsanforderungen nicht erfüllen kann, diese Plattform wieder in den Griff bekommt, wenn sie erst einmal von Cyber-Grooming, Hatespeech und jugendgefährdenden Inhalten überrollt wird, ist mehr als fraglich.
Im Schulbereich, der aus guten Gründen einen besonderen Schutz genießt, hat diese App definitiv nichts verloren.