Das Security-Unternehmen Sec-Research ortet Sicherheitslücken bei der umstrittenen Lehrerbewertungs-App "Lernsieg". Die von den Schülern abgegebenen Bewertungen sollen nicht anonym und auch nicht vor Manipulation geschützt sein, berichtet "Futurezone". Die App-Betreiber schließen auf APA-Anfrage zwar aus, dass bisher Bewertungen eingesehen oder manipuliert wurden, wollen die Software aber ändern.

Manipulation leicht möglich

Laut der Analyse von Sec-Research ist das bei "Lernsieg" eingesetzte SMS-Authentifizierungsverfahren mit relativ wenig Aufwand zu umgehen, die Security-Firma vergleicht es mit einem Login nur mit Benutzername und ohne Passwort. Dadurch könnten mit der Telefonnummer von Schülern und einem SMS-Gateway-Service, das man leicht im Internet findet, die Bewertungen beliebiger Nutzer abgefragt werden.

"Es wäre kein Problem für Lehrer nachzuforschen, wie Schüler sie bewertet haben, wenn die Telefonnummer des Nutzers bekannt ist." Außerdem könnten der Analyse zufolge Accounts zu beliebigen Nummern erstellt und die Lehrer- und Schulbewertung damit im großen Stil manipuliert werden.

Betreiber schließen Missbrauch aus

Die Betreiber der App betonen, dass bei "Lernsieg" keine Namen zur Telefonnummer abgespeichert werden. "Wer kriminelle Energie aufbringt und über eine Hacker-Software verfügt, weiters eine fremde Telefonnummer als die eigene ausgibt, konnte bisher theoretisch mit besonderem technischem Aufwand herausfinden, mit welcher Telefonnummer welcher Lehrer bewertet wurde, aber nicht, wem sie gehört oder wie damit bewertet wurde."

Man schließe aus, dass dies überhaupt passiert ist. "Dennoch ändern wir die Software so, dass auch das nicht mehr möglich ist", heißt es in der Stellungnahme. An Sec-Research üben die "Lernsieg"-Betreiber Kritik: Es entspreche nicht dem Industrie-üblichen Standard, Lücken direkt an Medien und nicht zuerst dem Betreiber zu melden. (APA, 25.02.2020)