BERLIN. Die Schul-Cloud des Hasso-Plattner-Instituts (HPI) wird künftig von den Bundesländern Niedersachsen, Brandenburg und Thüringen in den Regelbetrieb übernommen. Das HPI werde sich Ende Juli nach einer vierjährigen Pilotphase wie geplant aus der Entwicklung des Systems zurückziehen, erklärte das Potsdamer Institut am Dienstag. «Umso mehr freuen wir uns, dass sich die drei Bundesländer, die bereits landesspezifische Varianten der HPI Schul-Cloud anbieten, darauf verständigt haben, das Forschungsprojekt zu übernehmen und für die schulische und berufliche Bildung weiterzuentwickeln», sagte HPI-Direktor Prof. Christoph Meinel. Kritik daran wird allerdings laut.
Auf die Schul-Cloud greifen inzwischen mehr als 1,4 Millionen Lehrkräfte, Schülerinnen und Schüler bundesweit und an deutschen Auslandsschulen zu. Aktuell nutzten über 4000 Schulen die Plattform. Gründer und Namensgeber des Instituts ist der SAP-Gründer und -Aufsichtsratvorsitzende Hasso Plattner. Einziger Gesellschafter ist die gemeinnützige Brandenburger Stiftung bürgerlichen Rechts „Hasso-Plattner-Stiftung“.
Die quelloffene und freie HPI-Cloud wurde mit finanzieller Unterstützung des Bundesbildungsministeriums entwickelt. Das Projekt war in der Branche nicht unumstritten, denn es steht auch im Wettbewerb mit Lösungen, die auf der Open-Source-Plattform Moodle aufsetzen. Dazu gehört die bayerische Lernplattform Mebis, die aber immer wieder mit technischen Problemen zu kämpfen hat. Vor allem aber sind etliche mittelständische Lösungen auf dem Markt. Dazu gehören AixConcept, IServ, ucs@school, Webweaver, itslearning oder die Schul.Cloud des Anbieters Heinekingmedia, die sich gegen eine staatliche Plattform aussprechen. Neben den Mittelständlern versuchen auch US-Konzerne wie Microsoft, Google und Apple im Bildungsmarkt Fuß zu fassen.
Statt Schulen mit marktreifen Lösungen zu unterstützen, fließen zusätzliche Millionen in eine hinterherhinkende Schulcloud
Die stellvertretende Vorsitzende der FDP-Bundestagsfraktion, Katja Suding, gehört ebenfalls zu den Kritikern des Projekts: Statt Schulen mit individuellen und marktreifen Lösungen zu unterstützen, würden zusätzliche Millionen in eine ohnehin schon gut finanzierte Cloud gesteckt, deren Funktionen anderen Anbietern weit hinterherhinken, so erklärte sie bereits im vergangenen Jahr.
In Reaktion auf die Corona-Pandemie hatte das Bundesbildungsministerium im März 2020 entschieden, die HPI Schul-Cloud deutschlandweit für alle Schulen zu öffnen, die keine vergleichbare Lösung des Landes oder des Schulträgers nutzen konnten.
Meinel, der im HPI persönlich das Schul-Cloud-Projekt leitete, räumte ein, es sei eine enorme Herausforderung gewesen, das System mehr als ein Jahr vor der geplanten Fertigstellung in kürzester Zeit für eine deutlich größere Zahl von Nutzerinnen und Nutzern auszubauen. Das sei gelungen. Allerdings gab es zwischenzeitlich massive Probleme: Im Dezember war die Plattform tagelang kaum zu erreichen. In dieser Phase seien auch mehrfach Sicherheitslücken entdeckt worden, so Meinel, die allerdings schnell vom HPI wieder geschlossen worden seien.
Hacker hatte Einblick in bewertete Tests und Übungsblätter sowie in Klassenlisten mit Kontaktdaten und Videos von Schülern
So waren vertrauliche Inhalte aus dem Cloud-System aufgrund eines Datenlecks online abrufbar, wie das IT-Fachmagazin c’t Ende Februar berichtete. Durch eine Schwachstelle im System sei es einem Hinweisgeber gelungen, sich in die Thüringer Instanz der Plattform einzuloggen. Der Unbekannte soll sich dem Bericht zufolge Einblick in handschriftlich bewertete Tests und Übungsblätter verschafft sowie in Klassenlisten mit Kontaktdaten und Videos von Schülern gehabt haben. Außerdem sollen Listen mit Namen und IDs von Lehrern einsehbar gewesen sein, ebenso wie Informationen über Server-Auslastung. Letzteres sei für Angreifer interessant, die versuchen, Plattformen über massenhafte Anfragen, sogenannte DDoS-Attacken, zum Erliegen zu bringen.
Das HPI teilte kurz darauf mit, man habe die Schwachstellen „innerhalb einer Stunde“ schließen können. Ein Datenabfluss sei nicht erfolgt. Erfolgreiche DDoS-Attacken auf die HPI-Cloud gab es dann trotzdem: Die Lernplattform wurde noch im April mit Anfragen gezielt überflutet und so ausgebremst, wie der MDR berichtete. Betroffen waren davon alle Nutzer bundesweit. Bei einem vorangegangenen Angriff im Februar war das Thüringer Schulportal gezielt mit Anfragen bombardiert worden. Zehntausende Schüler im Heimunterricht und ihre Lehrerinnen und Lehrer konnten sich nicht anmelden, weil die Seite nicht erreichbar war. Das Landeskriminalamt übernahm die Ermittlungen. News4teachers / mit Material der dpa