So einfach haben Schüler den "Stellwerk"-Test gehackt – und das sind die Konsequenzen

Schülerinnen und Schüler einer Oberstufenklasse in Buttikon (SZ) haben den Stellwerktest "überlistet" und so bessere Resultate erzielt. Dies teilte die St.Galler Staatskanzlei am Montag mit und bestätigte einen Bericht von "20 Minuten".

Peinlich für die Plattform-Betreiber: Offenbar war es möglich, die Antworten auf die Online-Testfragen durch einen einfachen Trick im entsprechenden Browserfenster einzusehen. Hier sind die wichtigsten Fragen und Antworten.

Was ist passiert?

Jugendliche aus dem Kanton Schwyz haben bei einem weit verbreiteten schulischen Online-Test geschummelt – und sind dabei aufgeflogen. Peinlich ist die von "20 Minuten" publik gemachte Schummelei vor allem für die Betreiber der Online-Plattform stellwerk.ch. Denn offensichtlich wies der Test eine gravierende Schwachstelle auf, die es ermöglichte, ohne viel Aufwand zu betrügen.

Das Ausmass des Stellwerk-Hacks ist nicht bekannt. Im Kanton Schwyz gab es gemäss den Verantwortlichen beim St.Galler Lehrmittelverband keine weiteren Vorkommnisse.

Allerdings bestand die Schwachstelle – ein Programmierfehler – schon eine ganze Weile. Es hätten also auch noch andere Schülerinnen und Schüler darauf kommen können, wie man beim Stellwerk-Test das System überlistet.

Wie war das möglich?

Warum die Schwachstelle in der Software nicht schon früher durch Fachleute entdeckt wurde, ist nicht bekannt.

Die St.Galler Staatskanzlei schreibt:

"Nachdem in einer Oberstufenklasse in Buttikon (SZ) einzelne Schülerinnen und Schüler bei einem Stellwerktest auffällig hohe Punktzahlen erzielten, räumten sie ein, mittels Tastenkombination den Quellcode bearbeitet zu haben. Die Schülerinnen und Schüler haben den Quelltext in der Browsersitzung aktiv verändert und eine Lücke genutzt. Somit konnten sie die Prüfungslösungen aufrufen und eingeben."

Die Verantwortlichen versuchen zu beschwichtigen:

"Dass der Quelltext im Browser der Webseite angezeigt werden kann, um Seitenbestandteile zu untersuchen, ist in der Webentwicklung ein gängiges Tool."

Wie funktionierte der Trick?

Christian Grob, Geschäftsführer des Lehrmittelverlages St.Gallen, erklärt gegenüber watson, dass es sich bei den Stellwerktest-Hackern um "IT-affine junge Leute" handle. Diese hätten zunächst anhand eines Übungs-Systems herausgefunden, wie das Ganze technisch abläuft. So seien sie auf einen Code-Schnipsel gestossen, den es für das Anzeigen der Lösungen brauche. Und diesen Code-Schnipsel konnten sie "im scharfen System", während des Online-Tests, im Browser-Fenster einfügen und erhielten die Antworten.

Diesem Hack liege ein Programmierfehler zugrunde, der wahrscheinlich schon länger – allenfalls Jahre – vorhanden gewesen sei. Nachdem die Schwyzer Schüler aufgeflogen waren, sei die Stellwerk-Schwachstelle innert eines Tag behoben worden. Ob der Fehler auch von anderen ausgenutzt wurde, sei ihm nicht bekannt. Es gebe dafür keine Hinweise.

Der Lehrmittelverlagsleiter spricht von einer kreativen Vorgehensweise der Schwyzer Jugendlichen. "Wir haben zahlreiche Gespräche geführt und die Schülerinnen und Schüler befragt, um den Fehler reproduzieren zu können."

Warum ist das wichtig?

Der Stellwerk-Test dient der Standortbestimmung der Schülerinnen und Schüler, die sich in der Oberstufe mit der Berufswahl auseinandersetzen, er wird aber auch von grossen Unternehmen wie der Migros bei der Personal-Rekrutierung respektive der Lehrstellen-Vergabe genutzt.

Der Online-Test ist in mehreren Deutschschweizer Kantonen für Oberstufenschülerinnen und -schüler obligatorisch. Am Computerbildschirm müssen sie Fragen zum Schulstoff beantworten und daraus erstellt die Software ein persönliches Profil, das die schulischen Stärken und Schwächen aufzeigt. Und zwar für die wichtigsten Fächer.

Die St.Galler Staatskanzlei schreibt:

"Das online-basierte, standardisierte Testsystem macht es möglich, schulische Kernkompetenzen in den Fächern Mathematik, Deutsch, Natur und Technik, Französisch und Englisch miteinander zu vergleichen. Das individuelle Testergebnis wird auf einer normierten Skala von 200 bis 800 Punkten abgebildet."

Was sind die Folgen?

Das Ausmass des Online-Test-Betrugs ist nicht bekannt.

Die St.Galler Staatskanzlei schreibt:

"Der St.Galler Lehrmittelverlag hat als Testanbieter in Zusammenarbeit mit dem Applikationsprovider Arcadix unverzüglich reagiert, die Schwachstelle lokalisiert und sie behoben. Die Analysen zeigen, dass die Schülerinnen und Schüler das System nicht aktiv gehackt, sondern eine Schwachstelle in der Applikation ausgenutzt haben. Personendaten waren zu keinem Zeitpunkt gefährdet."

Sicher ist: Die betroffene Schulklasse muss den Test wiederholen. Zudem sind die Lehrpersonen im Kanton St.Gallen dazu aufgerufen worden, verdächtige Testresultate dem Amt für Volksschule zu melden (siehe unten).

Ob weitere Kantone diesem Beispiel folgen und die Pädagoginnen und Pädagogen an den Oberstufenschulen ebenfalls aufrufen, Testresultate zu hinterfragen, ist offen.

Die Bildungsdirektion des Kantons Zürich, wo die Durchführung von Stellwerk-Tests für Schülerinnen und Schüler der zweiten Sekundarklasse obligatorisch ist, wollte keine Detailfragen beantworten, sondern liess watson eine allgemeine Stellungnahme zum Vorfall zukommen und verwies auf den St.Galler Lehrmittelverlag, der zuständig sei.

Weiter teilte die Zürcher Bildungsdirektion mit, die Online-Tests müssten jeweils zwischen Anfang Februar und Ende April in Deutsch, Mathematik, Französisch und Englisch durchgeführt werden. Innerhalb dieses Testzeitfensters seien die Schulen bei der Festlegung der Daten für die einzelnen Stellwerktests frei. Der Stellwerktest diene dabei als Standortbestimmung "und in diesem Sinne auch als Momentaufnahme für die Schülerinnen und Schüler, damit sie die 3. Sekundarschulklasse optimal nutzen können".

"Damit dient der Stellwerktest in erster Linie den Schülerinnen und Schülern; je ‹ehrlicher› sie ihn ausfüllen, desto besser erkennen sie, wo sie stehen. Für die Lehrstellensuche sind die Resultate hingegen nur begrenzt aussagekräftig, weshalb den Schülerinnen und Schülern, welche den Test ohne Tricks ausfüllen, keine Nachteile erwachsen."

Wie viele erschummelte Testresultate gibt es in der Schweiz?

Das ist nicht bekannt.

Der Leiter des St.Galler Lehrmittelverlags betont, dass sich der an der Schule im Kanton Schwyz entdeckte Stellwerk-Hack nicht über Social Media viral verbreitet habe.

Der St.Galler Lehrmittelverlag ist Lizenznehmer der Applikation und betreut diese auch für andere Kantone.

Die Verantwortlichen schreiben, von einer flächendeckenden Wiederholung der Online-Tests werde "derzeit abgesehen". Begründung:

"Die Standortbestimmungen generieren Resultate, die über das gesamte Schuljahr gesammelt werden und sich verifizieren lassen. Ausreisser können dadurch erkannt werden."

Aber:

"Die Lehrpersonen wurden dazu aufgerufen, verdächtige Testresultate dem Amt für Volksschule zu melden. Stellt sich heraus, dass die Schülerin oder der Schüler den Trick angewendet hat, muss der Test wiederholt werden."

Ist das überhaupt Hacking?

Das kommt auf die Definition an. Wenn man darunter das Eindringen in ein fremdes IT-System versteht, dann ist das Schummeln beim Stellwerk-Test kein Hacking. Es wurde jedenfalls nicht in ein geschütztes System eingedrungen, wie auch die St. Galler Staatskanzlei bestätigt.

Den unbekannten Schülerinnen und/oder Schülern, die den Trick ursprünglich über die Browser-Funktion "Seitenquelltext anzeigen" herausgefunden haben, kann attestiert werden, dass sie echtes Gespür für IT-Sicherheit besitzen.

Wer weiss, vielleicht können sie ihre Hartnäckigkeit beim Aufspüren von Schwachstellen später in einem entsprechenden ICT-Beruf sinnvoll einsetzen.

Sicher ist auf jeden Fall, dass alle Beteiligten viel aus dem Vorfall gelernt haben. Der Leiter des St.Galler Lehrmittelverlags, Christin Grob betont, es brauche auch bei Computer-Tests weiterhin eine menschliche Prüfungsaufsicht.

Dieser Artikel erschien zuerst bei watson.