Schul-Apps wie SchoolFox, threema.work und sdui im Datenschutztest
- Seit Corona auf dem Vormarsch: Schul-Apps erleichtern Verwaltung und Austausch von Lehrbeauftragten, Lehrern und Schüler*Innen.
- Ranking-Anführer in punkto Sicherheit: SchoolFox und Threema.Work
- Wermutstropfen Tracking-Dienste: noch immer (unnötiger) Bestandteil vieler Apps
Laptop statt Klassenzimmer – mit der Corona-Krise wurde der Schulalltag über Nacht auf den Kopf gestellt. Was gerade zu Beginn eine große Herausforderung war, erwies sich jedoch gleichzeitig als eine Chance und wahrer Innovationsschub für digitale Hilfsmittel. Sogenannte Schul-Apps helfen Lehrbeauftragten bei der Organisation, Verwaltung und Kommunikation mit Eltern und Schüler*Innen. Doch wie ist es um die sensiblen Daten der Beteiligten wie Schulnoten oder Krankschreibungen bestellt, die per App auf Smartphone oder Tablet bearbeitet werden? Und wie sieht es mit der Sicherheit aus, wenn sich SchülerInnen und Lehrer über Unterrichtsinhalte im Chat austauschen?
Aktuelle Tests (1) der App Security Spezialisten von APPVISORY haben ergeben, dass, abgesehen von Tracking- und Analytics-Diensten in den Android-Versionen, die meisten der getesteten Apps durchaus als sicher und empfehlenswert eingestuft werden können. Lediglich bei der iOS- und Android-Version von Studipost sowie der iOS-Version von Schul.cloud müsse laut der Experten in punkto Sicherheit noch deutlich nachgebessert werden.
Das Ranking der Getesteten von unsicher bis sicher
| App | Risk Level (Höchster CVSS Score) |
| SchoolFox: Version: 3.1.0 (iOS) / 3.1.0 (Android) | 5,3 / 7,5 |
| Threema.Work: Version: 4.4.3 (iOS) / 4.4.3 (Android) | 6,0 / 7,4 |
| dsbmobile: Version: 2.5.6 (iOS) / 3.0.18 (Android) | 5,3 / 7,4 |
| sdui: Version: 3.3.13 (iOS) / 3.3.13 (Android) | 6,0 / 6,0 |
| iserv: Version: 1.4.2 (iOS) / 1.4.2 (Android) | 6,0 / 8,8 |
| schul.cloud: Version: 3.9.0 (iOS) / 3.9.1 (Android) | 6,0 / 7,4 |
| Studipost: Version: 1.4.4 (iOS) / – (Android) | 6,0 / – |
SchoolFox, der klare Sieger
Als einzige App ohne nennenswerte Auffälligkeiten, sowohl in ihrer Android- als auch iOS-Version ging bei dem Test der Schulmessenger SchoolFox hervor. Die App bietet Videokonferenz und Klassenchats für die einfache und sichere Kommunikation zwischen Lehrbeauftragten, Eltern und Schülerinnen
Silber für Threema.Work
Das Education-Angebot des Unternehmens-Messenger Threema.Work bietet datenschutzkonformes Instant Messaging für Bildungseinrichtungen zu günstigen Konditionen. Während die iOS-Version beim Test keine Auffälligkeiten aufweist, zeigt die Android-Version ein unsicheres Generieren von Zufallszahlen auf. Dies kann unter Umständen zu einer schlechten Verschlüsselung führen, ist aber laut der APPVISORY Security-Spezialisten eher zu vernachlässigen.
Punktabzug Tracking: iserv, sdui und dsbmobile
Den dritten Platz auf dem Siegertreppchen teilen sich der Schulserver iserv, die Schulkommunikationsplattform sdui und dsbmobile, die Mobil-App für das digitale schwarze Brett. Alle drei schnitten bei den Sicherheitstests verhältnismäßig gut ab und wurden als empfehlenswert eingestuft. Allerdings gilt hier zu beachten, dass alle drei Apps Tracking- oder Analytics-Dienste wie Google Firebase Analytics nutzen – eine Tatsache, die letzten Endes auch einen negativen Einfluss auf die Ranking-Position nahm.
Der Zonk für Studi.post und Schul.cloud
Schlusslichter beim Schul-App Ranking von APPVISORY bilden Studi.post und Schul.cloud.
Die Android-Version von Schul.cloud, der kollaborativen WhatsApp-Alternative für Schulen weist mit einer unsicheren Implementierung von TLS einen potentiellen Angriffsvektor auf. Die Version ist besonders anfällig für Man-in-the-Middle-Attacken, da bei ihr alle Zertifikate und somit auch gefälschte von Dritten, akzeptiert werden können.
Bei Studi.post konnte erst gar keine Android-Version zum Test antreten, da es die App für Android nicht mehr gibt. Bei der iOS-Version findet keinerlei Überprüfung statt, ob die aufgebauten Verbindungen verschlüsselt sind. Höchst fragwürdig ist zudem, dass die App Standortdaten benötigt, was in Augen der APPVISORY-Spezialisten für eine Nutzung absolut unnötig ist.
APPVISORY Fazit:
Alles in allem schneiden die getesteten Schul-Apps bis auf Studi.post und schul.cloud gut ab und weisen keine gravierenden Sicherheitsmängel auf. Einzig die Tatsache, dass seitens der Entwickler häufig noch immer Tracking- und Analyticsdienste in die Apps implementiert werden, trübt die Rankingergebnisse ein wenig. Gerade bei Apps, die auch von Kindern genutzt werden und sensible Informationen Minderjähriger enthalten können, sollten Hersteller daher zukünftig auf Tracking- und Analytics-Dienste verzichten, oder zumindest die Möglichkeit des Opt-outs anbieten.
1 Untersucht wurden die iOS und Android Apps der Anbieter SchoolFox, Threema.Work, dsbmobile, sdui, iserv, schul.cloud und Studipost im Zeitraum vom 25.05. – 02.06.2020.
2 Der höchste CVSS Score zeigt die Gefährlichkeit einer App auf einer Skala von 0 (ungefährlich) bis 10 (sehr gefährlich). Siehe auch: https://www.first.org/cvss/calculator/3.0
Schreiben Sie uns an!
