Schülerinnen und Schüler einer Oberstufenklasse in Buttikon (SZ) haben den Stellwerktest «überlistet» und so bessere Resultate erzielt. Dies teilte die St.Galler Staatskanzlei am Montag mit und bestätigte einen Bericht von «20 Minuten».
Peinlich für die Plattform-Betreiber: Offenbar war es möglich, die Antworten auf die Online-Testfragen durch einen einfachen Trick im entsprechenden Browserfenster einzusehen. Hier sind die wichtigsten Fragen und Antworten.
Jugendliche aus dem Kanton Schwyz haben bei einem weit verbreiteten schulischen Online-Test geschummelt – und sind dabei aufgeflogen. Peinlich ist die von «20 Minuten» publik gemachte Schummelei vor allem für die Betreiber der Online-Plattform stellwerk.ch. Denn offensichtlich wies der Test eine gravierende Schwachstelle auf, die es ermöglichte, ohne viel Aufwand zu betrügen.
Das Ausmass des Stellwerk-Hacks ist nicht bekannt. Im Kanton Schwyz gab es gemäss den Verantwortlichen beim St.Galler Lehrmittelverband keine weiteren Vorkommnisse.
Allerdings bestand die Schwachstelle – ein Programmierfehler – schon eine ganze Weile. Es hätten also auch noch andere Schülerinnen und Schüler darauf kommen können, wie man beim Stellwerk-Test das System überlistet.
Warum die Schwachstelle in der Software nicht schon früher durch Fachleute entdeckt wurde, ist nicht bekannt.
Die St.Galler Staatskanzlei schreibt:
Die Verantwortlichen versuchen zu beschwichtigen:
Christian Grob, Geschäftsführer des Lehrmittelverlages St.Gallen, erklärt gegenüber watson, dass es sich bei den Stellwerktest-Hackern um «IT-affine junge Leute» handle. Diese hätten zunächst anhand eines Übungs-Systems herausgefunden, wie das Ganze technisch abläuft. So seien sie auf einen Code-Schnipsel gestossen, den es für das Anzeigen der Lösungen brauche. Und diesen Code-Schnipsel konnten sie «im scharfen System», während des Online-Tests, im Browser-Fenster einfügen und erhielten die Antworten.
Diesem Hack liege ein Programmierfehler zugrunde, der wahrscheinlich schon länger – allenfalls Jahre – vorhanden gewesen sei. Nachdem die Schwyzer Schüler aufgeflogen waren, sei die Stellwerk-Schwachstelle innert eines Tag behoben worden. Ob der Fehler auch von anderen ausgenutzt wurde, sei ihm nicht bekannt. Es gebe dafür keine Hinweise.
Der Lehrmittelverlagsleiter spricht von einer kreativen Vorgehensweise der Schwyzer Jugendlichen. «Wir haben zahlreiche Gespräche geführt und die Schülerinnen und Schüler befragt, um den Fehler reproduzieren zu können.»
Der Stellwerk-Test dient der Standortbestimmung der Schülerinnen und Schüler, die sich in der Oberstufe mit der Berufswahl auseinandersetzen, er wird aber auch von grossen Unternehmen wie der Migros bei der Personal-Rekrutierung respektive der Lehrstellen-Vergabe genutzt.
Der Online-Test ist in mehreren Deutschschweizer Kantonen für Oberstufenschülerinnen und -schüler obligatorisch. Am Computerbildschirm müssen sie Fragen zum Schulstoff beantworten und daraus erstellt die Software ein persönliches Profil, das die schulischen Stärken und Schwächen aufzeigt. Und zwar für die wichtigsten Fächer.
Die St.Galler Staatskanzlei schreibt:
Das Ausmass des Online-Test-Betrugs ist nicht bekannt.
Die St.Galler Staatskanzlei schreibt:
Sicher ist: Die betroffene Schulklasse muss den Test wiederholen. Zudem sind die Lehrpersonen im Kanton St.Gallen dazu aufgerufen worden, verdächtige Testresultate dem Amt für Volksschule zu melden (siehe unten).
Ob weitere Kantone diesem Beispiel folgen und die Pädagoginnen und Pädagogen an den Oberstufenschulen ebenfalls aufrufen, Testresultate zu hinterfragen, ist offen.
Die Bildungsdirektion des Kantons Zürich, wo die Durchführung von Stellwerk-Tests für Schülerinnen und Schüler der zweiten Sekundarklasse obligatorisch ist, wollte keine Detailfragen beantworten, sondern liess watson eine allgemeine Stellungnahme zum Vorfall zukommen und verwies auf den St.Galler Lehrmittelverlag, der zuständig sei.
Weiter teilte die Zürcher Bildungsdirektion mit, die Online-Tests müssten jeweils zwischen Anfang Februar und Ende April in Deutsch, Mathematik, Französisch und Englisch durchgeführt werden. Innerhalb dieses Testzeitfensters seien die Schulen bei der Festlegung der Daten für die einzelnen Stellwerktests frei. Der Stellwerktest diene dabei als Standortbestimmung «und in diesem Sinne auch als Momentaufnahme für die Schülerinnen und Schüler, damit sie die 3. Sekundarschulklasse optimal nutzen können».
Das ist nicht bekannt.
Der Leiter des St.Galler Lehrmittelverlags betont, dass sich der an der Schule im Kanton Schwyz entdeckte Stellwerk-Hack nicht über Social Media viral verbreitet habe.
Der St.Galler Lehrmittelverlag ist Lizenznehmer der Applikation und betreut diese auch für andere Kantone.
Die Verantwortlichen schreiben, von einer flächendeckenden Wiederholung der Online-Tests werde «derzeit abgesehen». Begründung:
Aber:
Das kommt auf die Definition an. Wenn man darunter das Eindringen in ein fremdes IT-System versteht, dann ist das Schummeln beim Stellwerk-Test kein Hacking. Es wurde jedenfalls nicht in ein geschütztes System eingedrungen, wie auch die St. Galler Staatskanzlei bestätigt.
Den unbekannten Schülerinnen und/oder Schülern, die den Trick ursprünglich über die Browser-Funktion «Seitenquelltext anzeigen» herausgefunden haben, kann attestiert werden, dass sie echtes Gespür für IT-Sicherheit besitzen.
Wer weiss, vielleicht können sie ihre Hartnäckigkeit beim Aufspüren von Schwachstellen später in einem entsprechenden ICT-Beruf sinnvoll einsetzen.
Sicher ist auf jeden Fall, dass alle Beteiligten viel aus dem Vorfall gelernt haben. Der Leiter des St.Galler Lehrmittelverlags, Christin Grob betont, es brauche auch bei Computer-Tests weiterhin eine menschliche Prüfungsaufsicht.
Hätten doch dieselben Programmierer die Watson-Website entwickelt. Dann hätte ich wenigstens eine Chance gegen den Huber 😉
Security by Obscurity war noch nie eine gute Idee.