Das Schulamt der Stadt Bern agiert im Moment nicht eben glücklich. Für 12,1 Millionen Franken sollte ab Beginn des Schuljahres 2019/20 in den Klassenzimmern eine neue Lernplattform namens base4kids2 samt iPads zum Einsatz kommen. Seither herrscht das Chaos: Die Apple-Geräte, auf denen eine eigens entwickelte Open-Source-Lösung installiert wurde, funktionieren nur beschränkt.

«In unserem Lehrerzimmer gibt es kein anderes Thema als die iPads», liess sich ein Lehrer Ende Oktober in der «Berner Zeitung» zitieren. Dokumente verloren ihre Formatierung, Drucker funktionierten nicht, und die Benutzer wurden bei den Tablets immer wieder ausgeloggt. Die Probleme waren derart gravierend, dass sich Lehrerinnen und Lehrer per Brief über die «mangelhafte und unausgereifte Lösung» beklagten.

Jetzt kommt zu den bestehenden Problemen noch selbst verschuldeter Ärger hinzu: eine geradezu stümperhafte Sicherheitslücke auf der Website base4kids.ch. Dort findet man ohne grosses Suchen eine Anleitung dafür, wie man Schul-Notebooks auch ausserhalb des Schulhauses nutzen kann: Mit einem allgemeinen Nutzernamen und einem simplen Passwort Sicheres Passwort So umgehen Sie häufige Fehler . Beides steht für jedermann einsehbar auf der Website.

Direkter Zugriff auf heikle Daten

Das Problem dabei: Mit Nutzernamen und Passwort kann man sich auch auf Microsoft-Konten des Schulamts anmelden. Damit hat man plötzlich Zugriff auf Dokumente und Daten, die mit Sicherheit nicht für die Öffentlichkeit bestimmt sind, etwa Sitzungsprotokolle, eine Liste mit den Namen und Handynummern sämtlicher IT-Verantwortlichen in den einzelnen Schulhäusern. Besonders gravierend: Mit wenigen Klicks lassen sich Klasseneinteilungen von sämtlichen Schülerinnen und Schülern der Stadt Bern herausfinden.

«Dass man mit einem im Internet publizierten Login und Passwort einfach an Personendaten von Schülerinnen und Schülern gelangt, geht gar nicht», sagt deshalb Beat Rudin, Präsident von Privatim, der Vereinigung der Schweizerischen Datenschutzbeauftragten: «Eine Anmeldung für einen externen Zugriff auf Personendaten mit nur einem allgemeinen, nicht-persönlichen Passwort, ist überhaupt nicht 'State of the art'».

Einsicht in Klassenlisten

Screenshot einer Schülerliste, auf die man mit den publizierten Logindaten Einsicht hat.

Wenige Klicks genügten - und man konnte sämtliche Klassenlisten der Stadt Bern einsehen.

Quelle: Screenshot
Datenschutz-Aufsichtsstelle fehlen die Ressourcen

Bei Software-Applikationen, die eine Vielzahl von Personen betreffen und erhöhte Risiken für deren Rechte aufweisen, müssen gemäss Datenschutzgesetz Datenschutz Wer darf was über mich wissen? sogenannte Vorabkontrollen durch die städtische Datenschutz-Aufsichtsstelle durchgeführt werden. Eine solche fand hier jedoch nicht statt.

«Wir haben im Moment für diese Kontrollen schlicht nicht genügend Ressourcen, verantwortlich für den Datenschutz Datenschutz Wirbel um neue Datenbank der Stadtzürcher Volksschule bleibt jedoch immer die Behörde», sagt Beatrice Inglin. Sie vertritt die momentan abwesende Ombudsfrau, die gleichzeitig auch Datenschutzbeauftragte ist. Auch für Inglin ist der Fall aber klar: «Das ist ein absolutes No-go. Wenn Daten von Schülerinnen und Schülern so einfach zugänglich sind, so handelt es sich um eine Art Grundrechtsverletzung».

Schulamt will unkompliziertes Login ermöglichen

Die Website mit Login und Passwort war am Mittwochabend immer noch erreichbar. Das Schulamt begründet die Publikation der heiklen Angaben damit, dass damit vor allem in Klassen mit jüngeren Schülerinnen und Schülern ein schnelles und unkompliziertes Login möglich sein müsse. Es handle sich dabei um ein reines Geräte-Login, ohne Zugriff auf die Dateiablage, erklärt Jörg Moor, stellvertretender Leiter des Schulamts: «Es besteht deshalb auch kein Problem mit dem Datenschutz.»

Moor räumt jedoch ein, dass die Liste der Mail-Adressen und damit auch der Klasseneinteilungen während der Umbauarbeiten am System temporär möglich war: «Das war uns leider so nicht bewusst und wurde sofort korrigiert.»

In einem Video auf base4kids2.ch ist Sicherheit im Internet ebenfalls ein Thema: «Sei wachsam im Netz. Weisst du, wem du deine Daten Facebook, Google & Co. Sie wissen, was wir morgen denken anvertraust?», fragt dabei eine Stimme aus dem Off. Die Antwort ist spätestens jetzt klar: höchstens beschränkt.

Die besten Artikel – Woche für Woche
«Die besten Artikel – Woche für Woche»
Thomas Angeli, Redaktor
Der Beobachter Newsletter