Die IServ-Schulplattform wirbt mit einer DSGVO-konformen Gesamtlösung für das pädagogische Netzwerk an Schulen und wird daher auch in diesem Bereich als vermeintlich sicher Lösung eingesetzt. Leider besitzt IServe eine Schwäche, wie gerade auf SecureList bekannt wurde. Man kann mit einem Namen prüfen, ob diese Person Schüler oder Schülerin einer bestimmten Schule ist, ohne angemeldet zu sein. Der Betreiber will dies aber nicht als Problem erkennen und nichts ändern. Hier ein kurzer Überblick, der Leser mit schulpflichtigen Kindern möglicherweise interessieren dürfte.
Was steckt hinter IServe?
Die IServ GmbH ist ein 2001 gestartetes Softwareunternehmen mit rund 185 Mitarbeitern in Braunschweig, Berlin und Essen. Kernprodukt ist die IServ-Schulplattform, ein System, um Schüler, Lehrkräfte, Eltern und Alumni online miteinander zu verbinden.
Inzwischen ist das Angebot auf eine Lösung mit über 55 Modulen, von Schulkommunikation (digitaler Stunden- und Vertretungsplan, digitales Klassenbuch, Kommunikation mit Eltern etc.) bis zum Netzwerk- und Gerätemanagement angewachsen. Der Anbieter wirbt mit einer DSGVO-konformen Gesamtlösung "für das pädagogische Netzwerk der Schule" aus der Cloud. Der Anbieter wirbt mit fast 6.300 Schulen, die IServe nutzen.
Bucht eine Schule dieses kostenpflichtige Angebot, sind Schüler und Eltern darauf angewiesen, die betreffenden Funktionen zu nutzen. Das Unternehmen rühmt sich auf seiner Webseite vom Bundeswirtschaftsministerium gefördert zu werden, führt ein TÜV-Siegel auf seiner Seite auf und wirbt mit einer Auszeichnung als Preisträger 2023. Liest sich alles sehr positiv und muss nicht schlecht sein.
IServ wirbt mit Sicherheit
Da Schüler und Schülerinnen, Eltern und Lehrkräfte eine Menge persönliche Daten in der Schulplattform ablegen, kommt der Sicherheit eine entscheidende Bedeutung zu. Auf der Webseite wirbt das Unternehmen mit einem Sicherheitskonzept, was den Schutz ihrer Schuldaten gewährleisten soll.
O-Ton: "Das können Sie durch das IServ-Sicherheitskonzept auch mit einem guten Gefühl machen. Es regelt von Verschlüsselungen über Updates, Backups bis zu Passwörtern alles genau so, dass Angreifer keine Chance haben." Als Betriebssystem setzt man auf Debian Linux, es gibt Passwort-Richtlinien und einen Schutz gegen Brutforce-Angriffe gegen Benutzerkonten. Klingt alles ganz gut, sieht wie eine runde Sache aus.
Kleiner Wehrmutstropfen: Bei der Suche bin ich auf einen Artikel von 2022 gestoßen, in dem von polizeilichen Durchsuchungen von Wohnungen die Rede ist. Es sollen im August 2021 hunderte Iserv-Konten gekapert und zum Versenden von Drohmails missbraucht worden sein. Es gibt also auch Schattenseiten und die Gefahr eines Missbrauchs.
Ein Post bei Securelists.org: IServe hat eine Schwäche
Blog-Leser Tomas Jakobs hat mich die Tage per Mail mit dem Betreff "IServe petzt Schülernamen" auf einen Post User Enumeration in IServ Schoolserver Web Login vom 9. September 2025 auf Securelists.org hingewiesen (danke dafür). Auf der Plattform veröffentlichen Sicherheitsforscher entdeckte Sicherheitslücken.
Am 8. September 2025 ist jemandem aufgefallen, dass das Web-Frontend des IServ-Schul-Servers der IServ GmbH eine "Benutzeraufzählung" im weitesten Sinne ermöglicht. Gibt jemand den Namen einer Person an der IServe-Anmeldeseite einer Schule ein, und versucht er eine Anmeldung, ohne das Passwort zu kennen, schlägt diese Anmeldung natürlich fehl.
Noch ist also alles im grünen Bereich, da dieser Anmeldeversuch abgewiesen wird. Das Problem liegt darin, dass sich die Antworten dieser fehlgeschlagenen Anmeldeversuche unterscheiden, nachdem, ob das Benutzerkonto existiert oder nicht und hängt angeblich noch von anderen Bedingungen ab.
Der Finder dieses Sachverhalts schreibt, dass dies in vielen Anwendungen kein wirkliches Sicherheitsrisiko darstellt. Aber bei einer Software, die für Schulen entwickelt wurde, müsse dies als äußerst problematisch angesehen werden. Aufgrund der weit verbreiteten Nutzung von IServ in Deutschland wäre es möglich, anhand des Vor- und Nachnamens eines Kindes dessen Schule herauszufinden, sofern diese Schule IServ nutzt.
Ein Täter müsste also nur Namen von Schülerinnen und Schülern kennen (gibt es oft auf Social Media) und könnte per Script die Schulen in der Umgebung abklappern, ob diese IServe verwenden und ob beim Namen dann eine bestimmte Reaktion auf die IServe-Anmeldeseite erfolgt.
Der Entdecker skizziert besonders bemerkenswerte Bedrohungsszenarien wie die Aufzählung durch Täter häuslicher Gewalt, durch Gruppen, die sich mit Cybergrooming und Sextortion befassen (genannt wird das 764-Netzwerk), oder die gezielte Ausrichtung auf Kinder besonders exponierter Personen. Gut, in Zeiten von Social Media lassen sich Daten zu einer Person und der Schule, die diese besucht, vermutlich durch Internet-Recherchen herausfinden.
Zum Problem wird der obige Sachverhalt möglicherweise durch die Reaktion der IServe GmbH. Denn der Hersteller wurde kontaktiert und erklärte, dass er das Problem nicht als Sicherheitslücke interpretiere. Auch hinsichtlich des Datenschutzes und der Einhaltung der DSGVO bestehen beim Anbieter wohl keine Bedenken. Der Hersteller bestätigt laut dem Securelists-Post außerdem, dass eine Aufzählung auch über andere Schnittstellen möglich wäre und er nicht beabsichtigt, eine Korrektur bereitzustellen.
Auf Grund dieser Hersteller-Reaktion hat der Entdecker des Sachverhalts das Ganze auf securelists.org veröffentlicht. Im Hinblick auf den Kontext "Schule" und der skizzierten Szenarien stellt sich natürlich schon die Frage, ob die Reaktion der IServe GmbH klug war und ob sich das oben skizzierte Verhalten nicht abstellen lässt?
Anmerkung: Ich hatte die Presseabteilung der IServe GmbH am 14. September 2025 bezüglich einer Stellungnahme angefragt, habe aber bis zum 16.9.2025 nichts gehört und den Artikel veröffentlicht.
