Digital
Analyse

So einfach haben Schüler den «Stellwerk»-Test gehackt, mit Folgen

Computer room at the secondary school "Kirchbuehl", pictured during the summer break on August 16, 2010, in Kriens in the canton of Lucerne, Switzerland. (KEYSTONE/Gaetan Bally)

Computerrau ...
Computerraum einer öffentlichen Schule. Den (erwachsenen) Anbietern eines in mehreren Kantonen obligatorischen Online-Tests für Oberstufenschülerinnen und Oberstufenschüler muss wegen einer IT-Schwachstelle ein «ungenügend» ausgestellt werden.symbolBild: KEYSTONE
Analyse

So einfach haben Schüler den «Stellwerk»-Test gehackt – und das sind die Konsequenzen

Ein an Oberstufenschulen obligatorischer Online-Test hatte eine Schwachstelle, die es ermöglichte, die Lösungen über das Browser-Fenster einzusehen. Nun sind Lehrpersonen aufgerufen, «verdächtige Testresultate» zu melden.
20.06.2022, 14:5221.06.2022, 13:05
Mehr «Digital»

Schülerinnen und Schüler einer Oberstufenklasse in Buttikon (SZ) haben den Stellwerktest «überlistet» und so bessere Resultate erzielt. Dies teilte die St.Galler Staatskanzlei am Montag mit und bestätigte einen Bericht von «20 Minuten».

Peinlich für die Plattform-Betreiber: Offenbar war es möglich, die Antworten auf die Online-Testfragen durch einen einfachen Trick im entsprechenden Browserfenster einzusehen. Hier sind die wichtigsten Fragen und Antworten.

Was ist passiert?

Jugendliche aus dem Kanton Schwyz haben bei einem weit verbreiteten schulischen Online-Test geschummelt – und sind dabei aufgeflogen. Peinlich ist die von «20 Minuten» publik gemachte Schummelei vor allem für die Betreiber der Online-Plattform stellwerk.ch. Denn offensichtlich wies der Test eine gravierende Schwachstelle auf, die es ermöglichte, ohne viel Aufwand zu betrügen.

Das Ausmass des Stellwerk-Hacks ist nicht bekannt. Im Kanton Schwyz gab es gemäss den Verantwortlichen beim St.Galler Lehrmittelverband keine weiteren Vorkommnisse.

Allerdings bestand die Schwachstelle – ein Programmierfehler – schon eine ganze Weile. Es hätten also auch noch andere Schülerinnen und Schüler darauf kommen können, wie man beim Stellwerk-Test das System überlistet.

Wie war das möglich?

Warum die Schwachstelle in der Software nicht schon früher durch Fachleute entdeckt wurde, ist nicht bekannt.

Die St.Galler Staatskanzlei schreibt:

«Nachdem in einer Oberstufenklasse in Buttikon (SZ) einzelne Schülerinnen und Schüler bei einem Stellwerktest auffällig hohe Punktzahlen erzielten, räumten sie ein, mittels Tastenkombination den Quellcode bearbeitet zu haben. Die Schülerinnen und Schüler haben den Quelltext in der Browsersitzung aktiv verändert und eine Lücke genutzt. Somit konnten sie die Prüfungslösungen aufrufen und eingeben.»

Die Verantwortlichen versuchen zu beschwichtigen:

«Dass der Quelltext im Browser der Webseite angezeigt werden kann, um Seitenbestandteile zu untersuchen, ist in der Webentwicklung ein gängiges Tool.»

Wie funktionierte der Trick?

Christian Grob, Geschäftsführer des Lehrmittelverlages St.Gallen, erklärt gegenüber watson, dass es sich bei den Stellwerktest-Hackern um «IT-affine junge Leute» handle. Diese hätten zunächst anhand eines Übungs-Systems herausgefunden, wie das Ganze technisch abläuft. So seien sie auf einen Code-Schnipsel gestossen, den es für das Anzeigen der Lösungen brauche. Und diesen Code-Schnipsel konnten sie «im scharfen System», während des Online-Tests, im Browser-Fenster einfügen und erhielten die Antworten.

Diesem Hack liege ein Programmierfehler zugrunde, der wahrscheinlich schon länger – allenfalls Jahre – vorhanden gewesen sei. Nachdem die Schwyzer Schüler aufgeflogen waren, sei die Stellwerk-Schwachstelle innert eines Tag behoben worden. Ob der Fehler auch von anderen ausgenutzt wurde, sei ihm nicht bekannt. Es gebe dafür keine Hinweise.

Der Lehrmittelverlagsleiter spricht von einer kreativen Vorgehensweise der Schwyzer Jugendlichen. «Wir haben zahlreiche Gespräche geführt und die Schülerinnen und Schüler befragt, um den Fehler reproduzieren zu können.»

Warum ist das wichtig?

Der Stellwerk-Test dient der Standortbestimmung der Schülerinnen und Schüler, die sich in der Oberstufe mit der Berufswahl auseinandersetzen, er wird aber auch von grossen Unternehmen wie der Migros bei der Personal-Rekrutierung respektive der Lehrstellen-Vergabe genutzt.

Der Online-Test ist in mehreren Deutschschweizer Kantonen für Oberstufenschülerinnen und -schüler obligatorisch. Am Computerbildschirm müssen sie Fragen zum Schulstoff beantworten und daraus erstellt die Software ein persönliches Profil, das die schulischen Stärken und Schwächen aufzeigt. Und zwar für die wichtigsten Fächer.

Die St.Galler Staatskanzlei schreibt:

«Das online-basierte, standardisierte Testsystem macht es möglich, schulische Kernkompetenzen in den Fächern Mathematik, Deutsch, Natur und Technik, Französisch und Englisch miteinander zu vergleichen. Das individuelle Testergebnis wird auf einer normierten Skala von 200 bis 800 Punkten abgebildet.»
quelle: medienmitteilung

Was sind die Folgen?

Das Ausmass des Online-Test-Betrugs ist nicht bekannt.

Die St.Galler Staatskanzlei schreibt:

«Der St.Galler Lehrmittelverlag hat als Testanbieter in Zusammenarbeit mit dem Applikationsprovider Arcadix unverzüglich reagiert, die Schwachstelle lokalisiert und sie behoben. Die Analysen zeigen, dass die Schülerinnen und Schüler das System nicht aktiv gehackt, sondern eine Schwachstelle in der Applikation ausgenutzt haben. Personendaten waren zu keinem Zeitpunkt gefährdet.»

Sicher ist: Die betroffene Schulklasse muss den Test wiederholen. Zudem sind die Lehrpersonen im Kanton St.Gallen dazu aufgerufen worden, verdächtige Testresultate dem Amt für Volksschule zu melden (siehe unten).

Ob weitere Kantone diesem Beispiel folgen und die Pädagoginnen und Pädagogen an den Oberstufenschulen ebenfalls aufrufen, Testresultate zu hinterfragen, ist offen.

Die Bildungsdirektion des Kantons Zürich, wo die Durchführung von Stellwerk-Tests für Schülerinnen und Schüler der zweiten Sekundarklasse obligatorisch ist, wollte keine Detailfragen beantworten, sondern liess watson eine allgemeine Stellungnahme zum Vorfall zukommen und verwies auf den St.Galler Lehrmittelverlag, der zuständig sei.

Weiter teilte die Zürcher Bildungsdirektion mit, die Online-Tests müssten jeweils zwischen Anfang Februar und Ende April in Deutsch, Mathematik, Französisch und Englisch durchgeführt werden. Innerhalb dieses Testzeitfensters seien die Schulen bei der Festlegung der Daten für die einzelnen Stellwerktests frei. Der Stellwerktest diene dabei als Standortbestimmung «und in diesem Sinne auch als Momentaufnahme für die Schülerinnen und Schüler, damit sie die 3. Sekundarschulklasse optimal nutzen können».

«Damit dient der Stellwerktest in erster Linie den Schülerinnen und Schülern; je ‹ehrlicher› sie ihn ausfüllen, desto besser erkennen sie, wo sie stehen. Für die Lehrstellensuche sind die Resultate hingegen nur begrenzt aussagekräftig, weshalb den Schülerinnen und Schülern, welche den Test ohne Tricks ausfüllen, keine Nachteile erwachsen.»
Zürcher Bildungsdirektion, Generalsekretariat

Wie viele erschummelte Testresultate gibt es in der Schweiz?

Das ist nicht bekannt.

Der Leiter des St.Galler Lehrmittelverlags betont, dass sich der an der Schule im Kanton Schwyz entdeckte Stellwerk-Hack nicht über Social Media viral verbreitet habe.

Der St.Galler Lehrmittelverlag ist Lizenznehmer der Applikation und betreut diese auch für andere Kantone.

Die Verantwortlichen schreiben, von einer flächendeckenden Wiederholung der Online-Tests werde «derzeit abgesehen». Begründung:

«Die Standortbestimmungen generieren Resultate, die über das gesamte Schuljahr gesammelt werden und sich verifizieren lassen. Ausreisser können dadurch erkannt werden.»

Aber:

«Die Lehrpersonen wurden dazu aufgerufen, verdächtige Testresultate dem Amt für Volksschule zu melden. Stellt sich heraus, dass die Schülerin oder der Schüler den Trick angewendet hat, muss der Test wiederholt werden.»

Ist das überhaupt Hacking?

Das kommt auf die Definition an. Wenn man darunter das Eindringen in ein fremdes IT-System versteht, dann ist das Schummeln beim Stellwerk-Test kein Hacking. Es wurde jedenfalls nicht in ein geschütztes System eingedrungen, wie auch die St. Galler Staatskanzlei bestätigt.

Den unbekannten Schülerinnen und/oder Schülern, die den Trick ursprünglich über die Browser-Funktion «Seitenquelltext anzeigen» herausgefunden haben, kann attestiert werden, dass sie echtes Gespür für IT-Sicherheit besitzen.

Wer weiss, vielleicht können sie ihre Hartnäckigkeit beim Aufspüren von Schwachstellen später in einem entsprechenden ICT-Beruf sinnvoll einsetzen.

Sicher ist auf jeden Fall, dass alle Beteiligten viel aus dem Vorfall gelernt haben. Der Leiter des St.Galler Lehrmittelverlags, Christin Grob betont, es brauche auch bei Computer-Tests weiterhin eine menschliche Prüfungsaufsicht.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Rucksack-Verbot an dieser US-Schule sorgt für viel Kreativität bei den Schülern
Video: watson
Das könnte dich auch noch interessieren:
90 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
_stefan
20.06.2022 15:07registriert September 2015
You had one Job! Als Softwareentwickler weiss ich bei solchen Artikeln jeweils nicht, ob ich lachen oder weinen soll. Ein Quiz zu programmieren ist doch die übliche Übung während dem Studium. Die grundsätzlichste Anforderung dabei ist, dass die Lösung nie mit der Frage an den Browser gesendet werden darf.

Hätten doch dieselben Programmierer die Watson-Website entwickelt. Dann hätte ich wenigstens eine Chance gegen den Huber 😉
2993
Melden
Zum Kommentar
avatar
Lienat
20.06.2022 15:32registriert November 2017
Mussten sie den Seitenquelltext wirklich bearbeiten (wie dies die St. Galler Staatskanzlei schreibt), oder konnte man im Quelltext die richtige Antwort einfach ablesen? In letzterem Fall wäre der Ausdruck "Sicherheitslücke" noch milde formuliert. Das wäre eher so, wie wenn man bei einer Papierprüfung die richtigen Lösungen auf die Rückseite druckt und hofft, das niemand von den Kandidaten das Blatt während der Prüfung umdreht.

Security by Obscurity war noch nie eine gute Idee.
2465
Melden
Zum Kommentar
avatar
ᴉlǝqǝǝuɥɔs@Frau Schneebeli
20.06.2022 15:35registriert Juli 2020
Lehrplan 21 und IT-Offensive wollen ja Kompetenzen fördern. Endlich trägt solches Ansinnen auch Früchte. Schülerinnen und Schüler lernen, „Stellwerk“ in gleichem Masse zu bescheissen, wie sie selber von „Stellwerk“ beschissen werden.
2314
Melden
Zum Kommentar
90
Wie die «Weltwoche» die Weltkriegs-Angst schürt – und ein NATO-General perfekt kontert
Wenn Putin-Fan Roger Köppel mit seinem liebsten Militärexperten über den Ukraine-Krieg spricht, bleibt die Wahrheit auf der Strecke. Das will Erhard Bühler nicht hinnehmen.

Erhard Bühler bleibt sich treu. Woche für Woche zerlegt der ehemalige NATO-General in den Medien herumgeisternde Propaganda und Desinformation.

Zur Story