Man soll sich die Bildungs-ID oder auch Schüler-ID so vorstellen wie eine Steuer-ID, sagt der Grünenpolitiker Cem Özdemir. Die Idee hinter der ID ist simpel: Daten von den Bildungsverläufen der Schüler*innen sollen zentral erfasst werden, zum Beispiel Noten oder auch, wo jemand zur Schule gegangen ist. Özdemirs zentrales Argument für die neue Datenbank ist, dass man mit der Bildungs-ID Schulabbrecher vom Schulabbrechen abbringen könnte. Wie das gehen soll, bleibt allerdings unklar.

„Warum ist es allgemein akzeptiert, dass wir mit einer ID sämtliche Steuerdaten einer Person erfassen, aber bei der Bildungsbiografie fehlt ein systematischer Überblick?“ Das Kultusministerium in Baden-Württemberg habe bereits an der Arbeit einer solchen ID begonnen. Und auch das niedersächsische Kultusministerium will IDs für Schüler*innen bis 2027 einführen.

Was Özdemir nicht erwähnt: Die Bundesregierung hat in ihrem Koalitionsvertrag von 2025 längst angekündigt, die Länder darin zu unterstützen, Schüler-IDs einzuführen. Der Plan sieht ein bundesweites sogenanntes Bildungsverlaufsregister vor. Demnach sollen Schulverwaltungen und andere berechtigte Stellen Daten zu den Bildungsbiografie der Schüler*innen zentral abrufen können.

Mit einer ID gegen die Bildungsmisere?

Die Schüler-ID ist schon lange Thema. Zum ersten Mal diskutierte die Kultusministerkonferenz im Jahr 2003 darüber. Zuletzt stand sie bei der Bildungsministerkonferenz im März auf der Tagesordnung. Die Bildungsministerinnen Theresa Schopper (Grüne) aus Baden-Württemberg, Stefanie Hubig (SPD) aus Rheinland-Pfalz und Karin Prien (CDU) aus Schleswig-Holstein stellten dort ihr Konzeptpapier „Bessere Bildung 2035“ vor.

Hubig und Prien sind inzwischen Teil der Bundesregierung. Hubig hat das Bundesministerium für Justiz übernommen, Prien das Bundesministerium für Bildung.

Darin sprechen sie sich für eine Bildungs-ID nach kanadischem Vorbild aus. Die könne nicht nur beim Problem der Abbrecherquote helfen, sondern auch dabei die Leistungen von Schüler*innen zu steigern. Auch ein Schulwechsel soll damit leichter werden.

Sorge um Privatsphäre von Schüler*innen

Bislang ist zwar nicht klar, welche Daten der Schüler*innen genau gespeichert werden sollen. Aber die Sorge um einen zu tiefen Eingriff in die Privatsphäre der Kinder und Jugendlichen besteht. So kritisiert die Gewerkschaft Erziehung und Wissenschaft (GEW) gegenüber netzpolitik.org die Pläne der Bundesregierung.

Die GEW sieht solche Datenbanken kritisch und „lehnt eine bundesweite Speicherung in Form eines zentralen Bildungsregisters ab“, so ein Beschluss der Gewerkschaft von 2022. Zwar könne man den Bildungsbereich anhand von Daten besser monitoren. Doch dürften die erhobenen Daten nicht zum Zweck der Leistungs- oder Verhaltenskontrolle genutzt werden, so die GEW auf Anfrage.

Auch der Thüringer Landesdatenschutzbeauftragte Tino Melzer sieht die Einführung der ID kritisch:  Eine „Identifikationsnummer ist ein eindeutiges Personenkennzeichen“, erklärt er auf Anfrage. Unter diesem Kennzeichen können Daten zu einer Person zusammengeführt werden, es kann eindeutig und dauerhaft einer Person zugeordnet werden. Das berge hohe Risiken für die betroffene Person.

Ein Risiko ist, dass dadurch Persönlichkeitsprofile möglich werden, von Personen bereits in sehr jungen Jahren. Auch aus datenschutzrechtlicher Sicht hätten die Befürworter der Schüler-ID noch nicht gezeigt, warum diese ID erforderlich sein soll, so Melzer. Daher bestünden im Moment datenschutzrechtliche Bedenken dagegen, die Schüler-ID einzuführen.

Datenschützer*innen warnen

Schon jetzt gibt es in den Bundesländern Schüler*innendatenbanken. Hessen etwa unterhält die Lehrer- und Schülerdatenbank, LUSD.

Im Datenschutzrecht gelten Minderjährige als besonders schutzwürdige Personengruppe, so der Pressesprecher der Bundesdatenschutzbeauftragten, Philipp Wilhelmstrop. Zwar sei eine bundeseinheitliche Schüler-ID nicht in jedem Fall datenschutzrechtlich unzulässig. Doch das hänge wesentlich von der Ausgestaltung ab: Welchen Zwecken soll eine solche Schüler-ID dienen? Welche Daten werden zu einer Schüler-ID gespeichert? Wo wird eine solche ID geführt und welche Stellen haben Zugriff auf diese ID?

Klar sei nur eines: „Je mehr Daten erfasst werden, je sensibler diese Daten sind, je länger diese Daten gespeichert werden und je umfassender sie zu einer Profilbildung beitragen, desto größer ist der damit verbundene Grundrechtseingriff“ und desto höhere Anforderungen gelten für die Rechtfertigung eines solchen Eingriffs.

Wenn persönliche Informationen zum Verhängnis werden

Dass die Bundesregierung, wie im Koalitionsvertrag angekündigt, Schule, Jugend- und Eingliederungshilfe immer mehr verzahnen will, könnte laut GEW noch zu einem anderen Problem führen. Wenn zuständige Personen individuelle Bildungsbiografien einsehen könnten, könnte das ihre Einstellung gegenüber bestimmten Kindern und Jugendlichen beeinflussen. Das befeuert die Gefahr von „Stigmatisierung und Diskriminierung aufgrund sozialer Lage“ und „Migrationsgeschichte“. Auch ein Schul- oder Klassenwechsel zum Neustart könnte erschwert werden, wenn die neue Schule zu viele Daten über Schüler*innen bekommt.

Die könne sich zusätzlich verschärfen, wenn die Bundesregierung die Schüler-ID mit der Bürger-ID verknüpft, wie sie es im Koalitionsvertrag angekündigt hat. Diese Verknüpfung lehnt die GEW entschieden ab.

Nutzen fraglich

Indes fragen Wissenschaftler*innen: Wozu braucht es diese Verknüpfung? „Gerade in der aktuellen datenbasierten Gesellschaft sollten wir vorsichtig sein, welche Daten wir miteinander verknüpfen, gerade weil es mannigfaltige und schnelle Auswertungsmethoden gibt.“ Mandy Schiefner-Rohs, Professorin für Pädagogik an der Technischen Universität Rheinland-Pfalz, Sandra Hofhues, Professorin für Mediendidaktik an der FernUni Hagen, und Andreas Breiter, Professor für Angewandte Informatik an der Universität Bremen stellen aber insgesamt infrage, ob eine ID den versprochenen Nutzen bringen kann.

Gegenüber netzpolitik.org erklären sie, Daten aus der Schule lägen vielfach schon vor, zum Beispiel aus Schulleistungstests. Doch zuständige Stellen würden sie nicht oder nicht umfänglich auswerten. Die Frage also: Warum sollte sich das mit einer Bildungs-ID ändern?

Daten machen noch keine Bildungsgerechtigkeit

„Gleichzeitig wissen wir aus der empirischen Bildungsforschung, dass die einzelne Messung und Erhebung nicht automatisch zu Bildungsgerechtigkeit oder gutem Unterricht führt“, so Schiefner-Rohs, Hofhues und Breiter. Es ist daher unklar, was sich durch die Schüler*innen-ID pädagogisch-didaktisch verändern würde.

Die Wissenschaftler*innen warnen zudem vor „nicht-intendierten Nebenwirkungen“: Mit einer ID würden Schüler*innen immer mehr zu Datenpunkten. „Ihr Verhalten kann dann natürlich genau verfolgt und vermessen werden.“

OpenAI, der Hersteller von ChatGPT hat in einem Blogpost angekündigt, seinen Chatbot sicherer machen zu wollen. Gleichzeitig hat das Unternehmen bekannt gegeben, dass es die Chats, die mit seinem Bot geführt werden, automatisch nach bestimmten Themen scannt. Manche Inhalte würden dann menschlichen Moderator*innen zur Prüfung vorgelegt.

In Fällen, in denen die Moderator*innen Dritte in Gefahr sehen, könnten die Chats auch an die Polizei weitergegeben werden, schreibt OpenAI. In Fällen von Selbstgefährdung würde die Polizei allerdings außen vor gelassen, aus Respekt vor der Privatsphäre der Betroffenen. Grund sei die „einzigartig private Natur“ der Interaktionen mit ChatGPT.

Tatsächlich vertrauen Nutzer*innen dem Chatbot intimste Details an – vermutlich ohne zu ahnen, dass Menschen diese Unterhaltungen einsehen können. „ChatGPT kennt alle meine Schwächen, Sorgen und Geheimnisse“, bekennt eine Autorin des Guardian. Das Sprachmodell wird zunehmend von Menschen wie eine befreundete Person behandelt oder für Dating-Tipps benutzt. Der Hersteller versuchte in der Vergangenheit bereits zu verhindern, dass ChatGPT als Freund*in oder Therapeut*in benutzt wird.

Der Ankündigung von OpenAI, seinen Chatbot sicherer machen zu wollen, war der Selbstmord eines kalifornischen Teenagers vorausgegangen. Dessen Eltern verklagen nun OpenAI. Der Chatbot habe dem Jugendlichen Methoden zur Selbsttötung empfohlen und angeboten, einen Abschiedsbrief für ihn zu verfassen.

Beide Verhaltensweisen von ChatGPT konnten in einer Studie reproduziert werden. Eine weitere Studie hat ebenfalls herausgefunden, dass es nicht schwer ist, von ChatGPT Anleitungen zur Selbstverletzung zu erhalten. Gleichzeitig vermeide der Chatbot es, direkt auf Fragen zu antworten, die sich mit der Suche nach therapeutischer Hilfe beschäftige, heißt es dort.

Der Fall des Kaliforniers ist nicht der erste Selbstmord, der in Zusammenhang mit ChatGPT gebracht wird. Zudem können die Chatbots wohl psychotische Gedanken fördern.

Neben der Durchsuchung der Chats und deren eventueller Weiterleitung, die laut OpenAI bereits praktiziert wird, plant das Unternehmen weitere Sicherheitsmaßnahmen. So arbeite es beispielsweise daran, dass der Chatbot auch in längeren Unterhaltungen sein Sicherheitstraining nicht vergisst.

Neben der potenziellen Selbstverletzung sollen vom Chatbot auch weitere psychische Belastungen besonders behandelt werden, so zum Beispiel der Glaube, ohne Pause Autofahren zu können. Menschen in psychischen Notlagen soll professionelle Hilfe vermittelt oder die Kontaktaufnahme mit Angehörigen nahegelegt werden. Und Eltern sollen mehr Kontrolle über die Chatbot-Nutzung ihrer Kinder erhalten können. Wann diese Maßnahmen umgesetzt werden sollen, gab das Unternehmen allerdings nicht bekannt.

Angreifer attackieren derzeit das freie GUI FreePBX für Telefonie- und VoIP-Umgebungen auf Asterisk-Basis. Ein Sicherheitspatch ist angekündigt, aber bisher nicht verfügbar. Bis dahin sollten Admins ihre Systeme mit einer Übergangslösung schützen.

Noch vieles unbekannt

Aus einem Beitrag eines Teammitglieds im FreePBX-Forum geht hervor, dass der Sicherheitspatch zeitnah erscheinen soll. Instanzen seien aber nur verwundbar, wenn das Admin-Panel über das Internet erreichbar ist. Außerdem klingt es so, als müsse das Endpoint-Modul installiert sein.

In so einem Fall setzen Angreifer am Interface an. Wie das konkret abläuft, ist bislang unklar. Derzeit gibt es auch keine weiterführenden Informationen zur Sicherheitslücke und welche Auswirkungen erfolgreiche Attacken haben. Auch eine CVE-Nummer und eine Einstufung des Schweregrads der Schwachstelle stehen noch aus.

Jetzt handeln!

Um den Ansatzpunkt für Angreifer zu beseitigen, beschreiben die FreePBX-Entwickler einen Workaround, den Admins ihnen zufolge umgehend ausführen sollten. Bis zum Erscheinen des Sicherheitsupdates müssen Admins prüfen, ob das Interface öffentlich erreichbar ist. Ist das gegeben, müssen sie über das FreePBX-Firewall-Modul den Zugriff auf alleinig ihre IP-Adresse reglementieren. Überdies muss sichergestellt sein, dass das aktuelle Endpoint-Modul installiert ist.

Weiterführende Informationen, wie Admins bereits attackierte Instanzen erkennen und wiederherstellen können, listen die Entwickler im Forumsbeitrag auf. Im Zuge dessen müssen Admins unter anderem Passwörter für ihre Systeme ändern und Backups einspielen.

Im Forum melden sich auch Betroffene. Ein Nutzer berichtet von kompromittierten Servern und rund 3000 attackierten SIP-Telefonen.

(des)