Lehrmeister LogoLehrmeister

Datenschutz und IT-Sicherheit

Das Grundprinzip von Lehrmeister ist es, Datenschutz und Benutzerfreundlichkeit zu verbinden. Gerade bei der Verarbeitung von personenbezogenen Daten sollten die höchsten Sicherheitskriterien erfüllt werden. Auf Basis deiner Login-Daten wird deshalb ein privater Schlüssel generiert. Alle Daten die du in der App einträgst werden mit diesem verschlüsselt. Diese Ende-zu-Ende Verschlüsselung macht den Zugriff für Dritte (inklusive dem Lehrmeister-Team) unmöglich. Die folgende Illustration zeigt einen vereinfachten und beispielhaften Ablauf:

Apple Store
Play Store
Browser

Im folgenden wird ausführlich erläutert, wie Lehrmeister das Thema Datenschutz und Datensicherheit behandelt. Die verschiedenen Fragen werden so beantwortet, dass keine besonderen IT-Kenntnisse erforderlich sind, beinhalten aber auch Fachbegriffe für Experten. Du kannst diese Erlärungen auch als PDF downloaden, um beispielsweise die Verwendung von Lehrmeister mit dem Datenschutzbeauftragten deiner Schule zu besprechen.

Wieso muss ich mich bei Lehrmeister registrieren?

Ohne eine Registrierung kann die Gefahr eines Datenverlusts nicht ausgeschlossen werden. Nur durch ein Lehrmeister Benutzerkonto können wir eine Kopie deiner verschlüsselten Daten auf unseren Servern sichern und diese vor dem Verlust bewahren. Ohne Konto sind deine Daten nur lokal auf deinem Gerät gespeichert. Wenn du dein Gerät verlierst, es dir gestohlen wird oder du einfach nur versehentlich den App- bzw. Browser-Cache löschst, sind alle Daten unwiderruflich verloren. Für dein Benutzerkonto werden auch nur die nötigsten Informationen gespeichert: lediglich eine E-Mail Adresse von dir, die nicht zwingend deinen Namen enthalten muss. Wenn du dein Benutzerkonto löschst, werden direkt alle Daten vollständig entfernt.

Wie funktioniert die Datenverschlüsselung bei Lehrmeister?

Alle deine Daten werden bei Lehrmeister Ende-zu-Ende verschlüsselt. Das bedeutet, dass sie direkt auf deinem Gerät verschlüsselt und erst danach zum Server übertragen werden. Die Datenübertragung zum Server ist zusätzlich durch den sichersten Standard (TLS 1.3) verschlüsselt und durch die Zertifizierungsstelle Let’s Encrypt verifiziert.

Wenn Daten verschlüsselt werden, entsteht beispielsweise aus dem Text “Klasse 10b” ein lange Kombination aus Zeichen, die weder für Menschen noch Maschinen Sinn ergeben. Es gibt verschiedene mathematische Verschlüsselungsverfahren. Lehrmeister verwendet hierfür den weltweit etablierten Standard, die symmetrische AES-Verschlüsselung (mit einer Schlüssellänge von 256bit, die z.B. das Bundesamt für Informationstechnik BSI empfiehlt). Nur mit dem passenden Schlüssel entsteht aus den mit AES verschlüsselten Daten wieder der Text “Klasse 10b”. Um deine Daten zu verschlüsseln wird also ein sicherer Schlüssel benötigt, der auch durch millionenfaches Ausprobieren nicht erraten werden kann. Wenn du dich bei Lehrmeister registrierst, werden deshalb aus dem von dir gewählten Passwort zwei Varianten erstellt:

Zunächst wird aus deinem Passwort durch eine sogenannte kryptographische Hash-Funktion eine lange Kombination aus Zeichen erstellt, sozusagen dein Passwort-Hash. Aus dem Passwort entsteht durch die Hash-Funktion immer wieder der gleiche Passwort-Hash. Allerdings kann umgekehrt von dem Passwort-Hash nicht auf das ursprüngliche Passwort geschlossen werden. Nur dieser Hash, niemals dein Passwort, wird bei der Registrierung zu unserem Server gesendet und dort zusammen mit deiner E-Mail-Adresse gespeichert. Wenn du dich anschließend mit deiner E-Mail-Adresse und deinem Passwort anmeldest, wird dein eingegebenes Passwort durch die gleiche Hash-Funktion verarbeitet, der Passwort-Hash zum Server gesendet und dort mit der Datenbank verglichen. Nur bei identischem Passwort sind auch die Hashes identisch und du kannst dich anmelden.

Neben dem Hash zur Authentifizierung wird aus deinem Passwort auch ein Schlüssel für die Datenverschlüsselung generiert. Dieser Schlüssel wird nur auf deinem Gerät gespeichert und nicht an den Server übertragen. Hierfür verwendet Lehrmeister ebenfalls einen weltweiten Standard (PBKDF2), der u.a. vom National Institute of Standards and Technology (NIST) empfohlen wird. Anschließend werden mit diesem Schlüssel alle Daten die du eingibst vor dem Speichern verschlüsselt und beim Auslesen entschlüsselt. Dadurch ist sichergestellt, dass deine Daten niemals im Klartext gespeichert werden, sondern ausschließlich verschlüsselt.

Was passiert, wenn ich mein Passwort vergesse?

Wenn du dein Passwort vergisst, kann niemand deine Daten entschlüsseln. Dein Passwort und dein Schlüssel sind nie zu unserem Server übertragen worden. Alles, was gespeichert wurde, ist der Hash-Wert deines Passworts. Selbst wenn wir deinen Account durch die erneute Verifizierung deiner Email-Adresse zurücksetzen, sind alle Daten, die du in die App eingetragen hast, unlesbar. Aber keine Angst, im Internet findest du viele Tipps, wie du dir ein Passwort merken oder zusätzlich sichern kannst. Wir empfehlen hierfür Passwort-Manager Anwendungen, wie beispielsweise KeePass.

Wenn du dein Passwort trotzdem sichern möchtest, bieten wir dir dafür eine Option bei der Registrierung. Dann wird der aus deinem Passwort erstellte Schlüssel auf unserem Server gespeichert. Zudem kannst du unter Einstellungen in der App jederzeit deinen Schlüssel sichern oder das Backup wieder löschen lassen. Wenn dein Benutzerkonto über ein Schlüssel-Backup verfügt, kannst du auch dein Passwort zurücksetzen lassen.

Wer sagt mir, dass das alles so stimmt?

Vertrauen ist gut - Kontrolle ist besser. IT-Sicherheit darf nicht auf Vertrauen basieren, sondern muss immer nachvollziehbar und durch ein sicheres Verfahren gewährleistet werden. Lehrmeister wendet das sogenannte Zero-Knowledge-Prinzip an. Deine Daten sind sicher, da wir diese, selbst wenn wir wollten, niemals entschlüsseln könnten. Aufgrund des beschriebenen Verschlüsselungsverfahrens kann nur mit dem richtigen Passwort der Datensalat zu sinnvollen und lesbaren Information werden.

Mit etwas IT-Wissen kann das sogar überprüft werden. Beispielsweise kannst du die Browserversion von Lehrmeister in Google Chrome starten und über die “Chrome Dev Tools” nachsehen, welche Daten übertragen werden und was in der lokalen Datenbank auf deinem Gerät gespeichert ist. Jeder, der sich mit Web/-Softwareentwicklung und IT-Security auskennt, kann also problemlos überprüfen, dass alles so, wie in diesem Dokument beschrieben, abläuft.

Ist Lehrmeister DSGVO konform?

Ja. Wir erfüllen alle Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO). Wir nehmen das Prinzip Datensparsamkeit sehr ernst und speichern nur die nötigsten Informationen, die Lehrmeister zum Betrieb benötigt (z.B. deine Email-Adresse). Dies beinhaltet auch, dass wir keine Third-Party Webseiten (z.B. Google Analytics, Google Fonts) einbinden. Wenn du dein Benutzerkonto löscht, werden sofort alle deine Daten auf unserem Server gelöscht.

Wie ist Lehrmeister vor Sicherheitslücken geschützt?

Es gibt keine Möglichkeit zu beweisen, dass eine Software sicher ist. Auch wenn die aktuellsten Sicherheitsstandards eingehalten werden, gibt es keine Garantie, dass nicht in Zukunft eine Sicherheitslücke gefunden wird. Es gibt aber Möglichkeiten dieses Risiko zu minimieren. Neben dem Einsatz von empfohlenen Standards und Verfahren, verwendet Lehrmeister für sicherheitskritische Bestandteile deshalb Open-Source-Software Bibliotheken. Diese werden von Millionen anderen Softwareprojekten genutzt und unterliegen der ständigen Kontrolle einer Vielzahl an Entwicklern und IT-Security Spezialisten. Konkret verwendet Lehrmeister beispielsweise Let’s Encrypt für die TLS-Zertifizierung und das populärste Open-Source-Paket node-forge für AES und PBKDF2.

Wo sind meine Daten online gespeichert?

Alle Server von Lehrmeister stehen in Deutschland und unterliegen somit dem deutschen bzw. europäischen Datenschutzrecht. Zudem werden die Server von dem deutschen Unternehmen myLoc managed IT AG betrieben und nicht von amerikanischen Unternehmen wie beispielsweise Amazon AWS, Google Cloud Platform oder Microsoft Azure. Die Server von myLoc stehen in Düsseldorf und sind zudem nach dem internationalen ISO/IEC 27001 Sicherheitsstandard zertifiziert.

Was ist das Geschäftsmodell von Lehrmeister?

Entwicklung, Support und Server kosten Geld. Wieso ist Lehrmeister dann kostenlos? Lehrmeister ist von fünf Studierenden an der Hochschule der Medien in Stuttgart gestartet und über den Abschluss hinaus weiterentwickelt worden. Wir haben selbst viele Freunde und Verwandte, die die App im Schulalltag einsetzen und das positive Feedback unserer Nutzer motiviert uns zusätzlich Lehrmeister fortzuführen. Die Tatsache, tausende LehrerInnen bei der Arbeit zu unterstützen, freut uns und erscheint uns im Vergleich zu vielen Projekten in der IT-Branche als äußerst sinnvoll.

Sollte der finanzielle Aufwand durch Serverkosten und das zeitliche Engagement durch Support und Weiterentwicklung in Zukunft eine kritische Schwelle übersteigen, haben wir mehrere Ansätze das Projekt zu finanzieren. Beispielsweise über Spenden oder exklusive Features für zahlende Nutzer. Der aktuelle Funktionsumfang wird aber in jedem Fall kostenlos bleiben und auch nicht nachträglich eingeschränkt. Eine Finanzierung durch Werbung ist für uns auch im Bezug auf unser Sicherheits- und Datenschutzkonzept keine Option.