Schüler konnten dank Lücke Noten selber ändern

Aus Langeweile befasste sich ein Informatik-Lehrling mit dem Notenverwaltungsprogramm seiner Schule. Dabei entdeckte er eine gravierende Sicherheitslücke im für Schulen entwickelten Onlinetool Ecolm der Informatikfirma Prodaxo. Diese erlaubte es, in jeden beliebigen Account einzudringen – egal ob von einem Schüler oder einem Lehrer.

«Die Sicherheitslücke ist extrem fahrlässig», sagt der Lehrling gegenüber 20 Minuten. Denn im Onlinetool können etwa Prüfungsergebnisse, Absenzen und Zeugnisnoten abgelegt werden. Wer in einen Lehrer-Account eindringt, kann also all diese Daten einsehen. Und sie sogar manipulieren.

«Ein Tool für alles», so wirbt die Entwicklerfirma Prodaxo für Ecolm. Auf der Firmenwebsite präsentiert Prodaxo ihr Programm als Wundermittel für die «smart school»: Das Programm soll nicht nur den Unterricht vereinfachen, sondern auch die Schulverwaltung.

Die Sicherheit von Ecolm preist Prodaxo in einem Werbevideo an, das mittlerweile entfernt wurde: «Der Datenschutz ist sichergestellt», hiess es da. Zwischen 10 und 20 Franken kostet eine Lehrerlizenz pro Monat gemäss der Website.

In einen fremden Account einzudringen, war bei Ecolm aber offenbar ein Kinderspiel: Durch eine simple Manipulation beim Zurücksetzen des Passworts konnte man sich für jeden beliebigen Account ein gültiges Ersatzpasswort zusenden lassen.

Für den Lehrling ist klar: «Ich hätte die Sicherheitslücke ausnutzen können.» Und auch andere vor ihm hätten ihre Noten nach oben anpassen oder Absenzen löschen können. Der Lehrling betont aber, dass er dies nicht getan habe. Vielmehr wolle er Missbrauch verhindern, indem er die Sicherheitslücke öffentlich mache.

Bereits im Dezember hatte der Lehrling eine grobe Sicherheitslücke im Onlinetool entdeckt und meldete diese betroffenen Schulen. Auch mit dieser Lücke war es möglich, in fremde Accounts einzudringen.

Erst durch die Anfrage von 20 Minuten erfährt Ovidio Raimondi, Chef von Prodaxo und ehemaliger Informatiklehrer an der Technischen Berufsschule Zürich, von der Sicherheitslücke. Einen Tag später schreibt er, dass in den letzten Wochen «Unregelmässigkeiten» von ihren Systemen gemeldet worden seien: «Die Verursacher wurden geloggt und die Lücken geschlossen.» Der Lehrling bestätigt, dass die Lücke jetzt geschlossen sei.

Die Daten seien intakt, so Raimondi. «Es gab keinen Schaden.» Trotzdem werde Prodaxo ein sogenanntes «Bug Bounty Program» ins Auge fassen, das Entdecker von Softwarefehlern mit einem Preis belohne. Weitere Fragen, etwa zur Sicherheit seines Tools, beantwortete Raimondi trotz mehrerer Kontaktversuche nicht.

Derweil sind die Schulen, die Ecolm verwenden, offenbar ahnungslos. «Wir haben keine Kenntnis von einer Sicherheitslücke», sagt Roger Meier, Rektor der Berufsfachschule Zofingen. Für seine Schule war die Lücke allerdings weniger gravierend. Denn: «Unsere Schule verwendet Ecolm nur für Online-Prüfungen. Noten tragen wir in ein separates Notenverwaltungsprogramm ein.»

Ähnlich tönt es bei der Sekundarschule Sulgen. Man verwende Ecolm lediglich als Stundenplansoftware, sagt Schulleiter Magnus Jung.

Von der Sicherheitslücke betroffen gewesen dürfte allerdings die Technische Berufsschule Zürich sein. Sie verwendet Ecolm auch für die Notenverwaltung: «Das Tool ist bei uns in der Abteilung Informationstechnik im Einsatz», sagt der interimistische Prorektor Edgar Frei. Doch ihm sei ein Sicherheitsproblem nicht bekannt.