Lernsieg nicht anonym: Lehrer können sehen, wer sie bewertet hat

Die App-Entwickler von Lernsieg haben ihre „Security-Hausaufgaben nicht gemacht“, sagt Sebastian Bicchi von Sec-Research. Laut einer Analyse des Security-Spezialisten ist die Lehrerbewertungs-App komplett unsicher.

Die Bewertungen seien durch das eingesetzte SMS-Authentifizierungsverfahren manipulierbar, so der Forscher gegenüber der futurezone. „Und es lassen sich die Bewertungen beliebiger Nutzer abfragen.“ Abgesehen von der Telefonnummer des Schülers, benötigt man lediglich einen sogenannten SMS-Gateway. Solche Services findet man recht einfach im Internet. Für diese Methode ist kaum ein IT-Fachwissen oder das Hacken der App nötig.

Nicht anonym

Das bedeutet in der Praxis: Es ist möglich nachzusehen, welche Telefonnummer welchen Lehrer wie bewertet hat. Dazu reicht es, dass man die Telefonnummer des Schülers kennt. Das dürfte bei den Schülern untereinander im Großen und Ganzen der Fall sein. Falls auch Lehrer die Nummern ihrer Schüler haben, etwa über WhatsApp-Gruppen für Hausaufgaben, könnten diese ebenfalls herausfinden, wie sie bewertet wurden. „Die App ist also nicht, wie vom Erfinder behauptet, anonym“, sagt Sebastian Bicchi im futurezone-Interview.

Die App wurde erst gestern wieder in die App Stores gestellt, nachdem die Datenschutzbehörde aus Datenschutzsicht „grünes Licht“ gegeben hatte. Untersucht wurde allerdings nur die Problematik, ob die Verarbeitung der Lehrerdaten mit den Grundsätzen der Datenschutzgrundverordnung in Einklang steht.

Bicchi hat in einem Blogposting auf Sec-Research beschrieben, wie der Zugriff auf die Bewertungen möglich wird. So etwas nennt sich in der Fachsprache „Proof of Concept“. Das heißt, er hat für die Außenwelt seine Nachforschungen nachvollziehbar gemacht. Konkret geht es dabei um das eingesetzte SMS-Authentizifizierungsverfahren.

Verkehrte Authentifizierung

Nutzer sind es von Diensten wie WhatsApp gewohnt, SMS-Nachrichten zu bekommen, um sich mit einer Nummer, die man dann eingeben muss, auszuweisen. Bei der Lernsieg-App wurde dieses Verfahren umgedreht, wie Bicchi beschreibt. „In diesem Fall dient der Absender der SMS als Authentifizierungsmerkmal, nicht der Empfänger. Dies scheint ein kleines Detail zu sein. Jedoch ist es sehr viel einfacher einen SMS-Absender zu fälschen als einen Empfänger“, erklärt der Sicherheitsforscher.

Denn bei Diensten, die „SMS-Gateways“ anbieten, könne der Absender frei eingegeben werden, so Bicchi. Hier kann eine bekannte Nummer eines Schülers eingegeben werden. Wenn man diese Nummer verwendet, kommt man in der App auf die Benutzeroberfläche des Schülers und kann seine Bewertungen einsehen. Denn die Nummer des Schülers ist verknüpft mit seinen Aktionen, die er in der Lernsieg-App getätigt hat.

Manipulationen möglich

Bicchi zeigt mit seinem „Proof of Concept“ zudem, wie sich Bewertungen fälschen lassen - mit einer nicht existierenden Telefonnummer, damit niemand zu Schaden kommt. Wenn man mit derartigen SMS-Gateway-Diensten SMS versendet, kostet dies rund 6,5 Cent pro SMS. „Um 65 Euro erhält man somit 1000 Stimmen. Für etwas mehr Kleingeld, nämlich 650 Euro, erhält man 10.000 Stimmen zur freien Verwendung. Damit ließe sich die Bewertung nach Belieben verändern“, heißt es seitens des Sicherheitsforschers.

Damit hat die App gleich zwei wesentliche Probleme: Einerseits sind die Schülerdaten nicht mehr anonym, andererseits lassen sich Bewertungen manipulieren. Um die Probleme zu beseitigen, müsste Lernsieg das Verfahren komplett andersrum aufsetzen, so wie es etwa bei WhatsApp gemacht wird. Mit diesem Verfahren sind zwar noch immer Angriffe möglich, aber diese seien „weitaus aufwändiger“.

Aus Datenschutz-Sicht muss man sich die App auf jeden Fall noch genauer ansehen. Denn durch die Verknüpfung der Bewertungen mit der Telefonnummer ergibt sich ein Personenbezug. "Unseren Tests nach speichert die App bzw. der Server jedenfalls alle Bewertungen zu einer Rufnummer bzw. vice versa", sagt Bicchi.

UPDATE (25.2., 15:35 Uhr):

App-Erfinder will nachbessern

Benjamin Hadrigan, der Erfinder der App, nimmt gegenüber der futurezone zu den Untersuchungen von Bicchi Stellung: "Ein normaler Lehrer müsste das Gesetz brechen und dann auch noch alle Nummern seiner Schüler kennen. Aber das wäre Identitätsfälschung und damit klarer Betrug." Die App ist aus Sicht von Hadrigan sicher, so wie sie sei. Allerdings werde man die Lernsieg-App jetzt binnen zwei Werktagen auf dasselbe SMS-Authentifizierungsverfahren wie WhatsApp umstellen, verspricht der Erfinder. "Das ist ein sehr aufwendiger Prozess, aber mittlerweile können wir das umändern." Bisher sei die App "nicht gehackt" worden, heißt es. Die Forschung von Sec-Research hält Hardigan für "Dirty Campaigning".

Michael Steiner von der App-Entwicklerfirma "All About Apps", dessen Firma die App programmiert hat, fügt hinzu: "Lernsieg speichert weder Vor- noch Nachnamen zur Telefonnummer ab. Schülerinnen und Schüler können deshalb anonym und sicher ihre Lehrerinnen und Lehrer bewerten." Man müsse über "kriminelle Energie" und "Hacker-Software" verfügen, um "theoretisch mit besonderem technischem Aufwand" herauszufinden, mit welcher Telefonnummer welcher Lehrer bewertet worden sei, so Steiner. "Dass dies überhaupt passiert ist, schließen wir aus, dennoch ändern wir die Software so, dass auch das nicht mehr möglich ist."