München – Bei der Schul- und Lernplattform „Mebis“ hat es mehrere Sicherheitslücken gegeben. Am Freitag hatte der Nürnberger Hacker-Verein „0x90space“ öffentlich gemacht, dass er bereits am 20. und 21. Mai den Entwicklern der Seite mehrere Programmiermängel gemeldet habe. Ein Schüler, der selbst die Plattform nutzt, hatte die Probleme entdeckt.
Die Lücken ermöglichten es Hackern, eine gefälschte Website mit einer offiziell wirkenden Internetadresse an Opfer zu verschicken und dadurch Zugangsdaten abzugreifen oder Schadsoftware zu verbreiten. Zudem könnten Datenbank-Einträge der Seite verändert werden. So könnte zum Beispiel ein Schüler seinen Namen ändern. Außerdem könnten Links zu mebis.bayern.de erstellt werden, die dann auf beliebige Seiten weitergeleitet werden könnten – auch dies sei ein Einfallstor für das Abgreifen von Zugangsdaten.
Die Hacker erklärten, den Entwicklern der Seite eine Frist von 90 Tagen für die Behebung der Mängel gesetzt zu haben. Die Antwort seitens der Entwickler sei aber ernüchternd gewesen: Es sei nicht absehbar, wann die Probleme behoben werden würden. Die Frist sei ohne eine Reaktion verstrichen.
Stimmt nicht, sagt das Kultusministerium. Das für „Mebis“ zuständige Staatsinstitut für Schulqualität und Bildungsforschung (ISB) habe die Probleme behoben, erklärte ein Ministeriumssprecher dem Evangelischen Pressedienst. Das ISB habe die Fehler analysiert und die notwendigen Softwareanpassungen in die Wege geleitet. Ein IT-Dienstleister wurde beauftragt, die Lücken zu schließen. Dazu habe eine korrigierte Software entwickelt und installiert werden müssen. Das Update habe wegen der routinemäßig vorgesehenen umfangreichen Tests nicht früher aufgespielt werden können: „Das ISB hat keine Hinweise dafür, dass die Lücke ausgenutzt wurde.“
Der Ministeriumssprecher sagte, das ISB arbeite stetig daran, „für alle Teilangebote von Mebis auch hinsichtlich Datensicherheit und Datenschutz stets höchste Standards zu erfüllen“. Damit wolle man der Schulgemeinschaft „stets ein verlässliches und attraktives Angebot bereitstellen“. Deshalb seien auch Hinweise auf Sicherheitsmängel, wie die der Hacker-Gruppe „0x90.space“, sehr willkommen, betonte der Sprecher.
Die Online-Lernplattform „Mebis“ hat nach eigenen Angaben eine Million Nutzer an rund 5500 Schulen. Im Zuge der Corona-Pandemie kommt ihr eine große Bedeutung zu. Bereits im März hatte es einen Hackerangriff gegeben. „Mebis“ war deshalb vorübergehend nicht erreichbar gewesen.