Missbrauch in Schul-Videokonferenzen möglich?: Kritik an Sicherheitslücken in NRW-Unterrichtssoftware

In Jettingen (Baden-Württemberg) pöbelte ein Eindringling Lehrer und Schüler an, nachdem er in einem Video-Klassenraum entdeckt worden war. In Berlin saß eine zweite Klasse minutenlang geschockt vor einem Pornovideo, das ein Fremder abspielte. In Bayern zeigte sich im Videounterricht plötzlich ein Mann nackt vor einer Achtjährigen.

Bisher waren das Einzelfälle. Nun aber droht das schulische Videosystem des bevölkerungsreichsten Bundeslandes Nordrhein-Westfalen für Schüler gefährlich zu werden. „Es ist nur eine Frage der Zeit, bis in die ersten Videokonferenz-Räume gekapert werden“, schlug ein Lehrer aus dem Bundesland gegenüber dem Tagesspiegel Alarm.

NRW hat vor zwei Wochen eine Videoanwendung frei geschaltet, die nach Meinung von Lehrern und Medienberatern schwere Mängel aufweist. Sie bringen den Videounterricht für potenziell zwei Millionen Schüler in Gefahr. Teilen Schüler den Link an Dritte - was nicht erlaubt ist, aber häufig passiert - bedarf es keiner zusätzlichen Legitimierung oder eines Passworts. Dann kann jeder mit einem Klick in die Videokonferenzen von Lehrern und Schülern eindringen – auch Externe.

Kritik vom Bundeselternrat

Zudem kann jeder, der in der Videokonferenz ist, seinen Bildschirm teilen. Das bedeutet, er kann den Schülern zeigen, was er will: Tiktok-Videos, rechtsextreme Propaganda, Gewaltdarstellungen - also alles, was die Bildungsrepublik zuletzt bewegte. In Hessen hat vor drei Tagen die Spezialstaatsanwaltschaft für Internetkriminalität Frankfurt/Main einen Fall übernommen, wo ein Mann als Mädchen getarnt zwei Lehrerinnen aus der Videokonferenz warf – und pornografische Videos abspielte.

Die Reaktionen auf das neue Videosystem für Schulen in NRW fallen kritisch aus. „Es darf nicht sein, dass unsere Schüler schutzlos an Videokonferenzen teilnehmen, zu denen jedermann über einen Link Zugang bekommt“, sagte Stephan Wassmuth, scheidender Sprecher des Bundeselternrats. „Für diese Versäumnisse gibt es keine Entschuldigung“.

Der Cyberkriminologe Thomas-Gabriel Rüdiger sagte dem Tagesspiegel, „im Videounterricht sollten nur Personen mit individuellen Zugangsdaten zugelassen werden, um die Gefahr einzudämmen, dass etwa pornografische Medien geteilt werden.“ Die Geschäftsführerin der Kinderschutzorganisation „Innocence in Danger“, Julia von Weiler, warnte vor einer neuen Spielwiese für pädokriminelle Täter. „Es ist nicht nachvollziehbar, dass ein Tool, das im Auftrag eines Kultusministeriums entwickelt wird, eine derart gravierende Schwachstelle besitzt“, sagte die Psychologin dem Tagesspiegel.

Das Bildungsministerium dementiert die Fehlkonstruktion nicht

Das NRW-Bildungsministerium unter Yvonne Gebauer (FDP) dementierte auf Anfrage die Fehlkonstruktion nicht. Es werde derzeit geprüft, wie man „einer regelwidrigen Teilnahme an Videokonferenzen entgegenwirken kann“. Grundsätzlich gelte: „Das hier thematisierte Problem ist im Wesentlichen jedoch eine erzieherische und medienpädagogische Aufgabe, die durch technische Rahmenbedingungen lediglich unterstützt werden kann“, heißt es aus dem Schulministerium.

Dass Medienbildung für den Schutz von Schülern ausreiche, sehen selbst die Medienerzieher von Ministerin Gebauer anders. Es könne kein Zweifel bestehen, dass es um technische Fehler gehe, sagten mehrere Medienberater aus NRW. Das Videosystem dürfe für Externe auf keinen Fall nur mittels eines Link betretbar sein. Der Lehrer müsse in der Lage sein, Teilnehmer daran zu hindern, ihren Bildschirm zu teilen – also fremde Inhalte in der Klasse abzuspielen. Man müsse Eindringlinge aus der Konferenz auch entfernen können.

Alarm auf der Ministeriums-Homepage

Schulministerin Gebauer ließ am Freitag einen Alarm auf der Ministeriums-Homepage veröffentlichen. Die erste Grundregel für Lehrer lautet nun: „Den Raum vor den Teilnehmenden betreten und absichern!“

Nach Informationen des Tagesspiegel waren die zuständigen Stellen allerdings bereits im Dezember auf die Mängel hingewiesen worden. Dennoch ging das für den Online-Unterricht unverzichtbare Instrument vor knapp zwei Wochen in Betrieb. Das bedeutet, dass 180.000 Lehrer in NRW das riskante System nutzen können.

Der Präsident des Deutschen Lehrerverbandes, Heinz-Peter Meidinger, bezeichnete die Sicherheitslücken bei Logineo als „absolut nicht akzeptabel“. Seine Kritik ist aber grundsätzlich. „Bei der Mehrheit der genutzten Lernplattformen – egal ob staatliche oder kommerzielle Produkte – gibt es derzeit keinen wirksamen Schutz der Persönlichkeitsrechte von Lehrkräften und Schülern“, sagte Meidinger.

Das Klassenzimmer ist ein besonderer Schutzraum

Das Klassenzimmer sei ein besonderer Schutzraum – das müsse auch für eine Videokonferenz gelten. Meidinger steht damit nicht allein. In einer Logineo-Chatgruppe in NRW schrieb ein Teilnehmer: „Völlig unbrauchbar“, das Videotool dürfe so nicht genutzt werden.

Der Leiter der Gemeinschaftsschule in Jettingen, die eine Videostunde wegen eines Eindringlings abbrechen musste, hat Konsequenzen gezogen. „Uns war es immer wichtig, dass die Schüler mit Links verantwortlich umgehen“, sagte Schulleiter Dominic Brucker. „Nun haben wir uns für maximale Sicherheit in Videokonferenzen entschieden“.

Für den Eintritt reicht nicht mehr der Link, sondern es werden Nutzername und Passwort abgefragt. Die Schule nutzt im Konfliktfall die Möglichkeit, „das Online-Verhalten der Schüler auszulesen und nachzuverfolgen." Das bedeutet, gibt ein Schüler den Link zu schulischen Videokonferenzen an Dritte weiter, wird dies geahndet.