Liessen sich bei der Lern­plattform Moodle Schul­noten manipulieren?

9. April 2021, 14:50
image

Die weit verbreitete freie Software wies eine schwere Schwachstelle auf. Schweizer Hochschulen erklären uns, wie sie reagiert haben.

Das 2002 als freie Lernplattform und Kursmanagementsystem gestartete Projekt Moodle ist weltweit sehr verbreitet. 179'000 Websites mit 242 Millionen Usern benutzen die Plattform, in der Schweiz listet Moodle 1553 registrierte Websites auf. Darunter befinden sich zahlreiche öffentliche und private Bildungseinrichtungen wie Hoch- und Handelsschulen, Gymnasien, die Sprachschule Bénédict und die Lernplattform ICT Berufsbildung. Die ETH Zürich stellt in diesem Jahr mit Thomas Korner auch den Chairman der globalen Moodle Users Association.
Im Oktober 2020 entdeckte der IT-Sicherheitsexperte Ata Hakcil von Wizcase eine gravierende Schwachstelle bei Moodle. Diese habe durch einen Programmierfehler bereits seit November 2014 (Moodle Version 2.8) bestanden und sei bis zum Release 3.10 (November 2020) vorhanden gewesen.

Accounts kapern, Prüfungen kopieren

Durch die Schwachstelle hätten sich Programmbefehle über den in Moodle integrierten Textchat versenden und auf den Rechnern der Empfänger ausführen lassen. Dadurch wäre es möglich gewesen, Accounts von Schülern, Lehrern und Administratoren zu kapern. Weiter hätten Nachrichten manipuliert, Aufgaben und Prüfungen kopiert, vorab eingesehen und Schulnoten geändert werden können.
Hakcil veröffentlichte jetzt in einem Blogbeitrag Details zur Schwachstelle und den Manipulationsmöglichkeiten. Er hatte die Sicherheitslücke im letzten Jahr nach der Entdeckung umgehend an Moodle gemeldet. Die Open-Source-Organisation veröffentlichte darauf Anfang Dezember einen Patch und am 25. Januar 2021 auch eine gepatchte neue Version. Ob die Lücke zuvor tatsächlich für Manipulationen ausgenutzt worden war, ist bisher nicht bekannt.
Wizcase erklärt die Lücke. Video: Youtube
Auf Anfrage von inside-it.ch erklären sowohl die ETH wie auch die Zürcher Hochschule für angewandte Wissenschaften (ZHAW), ihnen seien keine Vorfälle bekannt. Die ZHAW benutzt Moodle im Bereich E-Learning und für Online-Prüfungen. Noten würden aber nicht in Moodle, sondern im System Evento festgehalten.

"Innert Stunden reagiert"

Die ETH Zürich betreibe zwei Moodle-Instanzen, erklärt die Medienstelle: eine für den Kursbetrieb und eine speziell für den Prüfungsbetrieb optimierte. "Auf Letzterer wird keine Benotung durchgeführt, sondern es werden lediglich Resultate erzeugt. Die verantwortlichen Examinatorinnen und Examinatoren transformieren diese in nachfolgenden Prozessschritten ausserhalb von Moodle in Noten, welche in weitere notenverarbeitende IT-Systeme übergeben werden."
Beide Hochschulen erklären, sie hätten nach der Bekanntgabe der Lücke durch Moodle sofort reagiert, Patches eingespielt und auf die neuste Version gewechselt. An der ETH würden klar definierte Prozesse entlang dem ITIL-Referenzwerk existieren, schreibt die Medienstelle. "Unsere Experten und Expertinnen beurteilen alle Security Fixes sehr genau und entscheiden über weitere Schritte. In diesem Fall wurde innert Stunden reagiert und ein sogenannter Emergency-Update-Prozess gestartet. Beide Moodle-Instanzen wurden bereits weit vor Semesterstart entsprechend aktualisiert."

Die Zufriedenheit mit Moodle ist hoch

Durch die Corona-Pandemie ist die Benutzung von Moodle stark angestiegen. Was teilweise zu Überlastungen entsprechender Websites führte. Aus Deutschland wurden auch DDoS-Attacken auf Moodle gemeldet. Es habe in letzter Zeit aber keine Probleme mit der Plattform gegeben, heisst es von der ZHAW. "Die generelle Zufriedenheit ist nach unserem Wissensstand hoch."
Moodle sei weltweit führend unter den Learning-Management-Systemen im Open-Source-Bereich, betont die ETH. "Wie bei jeder Software kann es auch hier Fehler und Sicherheitslücken geben, die in aller Regel aber zügig repariert werden. Gerade für den Sicherheitsbereich wurden schon vor mehreren Jahren die offiziellen 'Moodle Security Procedures' eingerichtet, die sich sehr bewährt haben." Die ETH bringe sich auch aktiv in die weltweite Moodle-Community mit ihrem Know-how ein.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Eh, eh, eh... EPD, E-Impfbüechli und E-ID

Ein neuer Anlauf mit dem digitalen Impfbüechli steht bevor. Und auch beim EPD solls endlich vorwärtsgehen. Aber kommt das gut? Darüber reden wir in der aktuellen Podcast-Folge und sagen, was das alles mit der E-ID zu tun hat.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

UK-Behörde untersucht Cloud-Dienste von Microsoft, Amazon und Google

Die britische Medienaufsichtsbehörde Ofcom will die Marktposition der US-Hyperscaler untersuchen und herausfinden, ob es wettbewerbsrechtliche Bedenken gibt.

publiziert am 22.9.2022