Drücken Sie „Enter“, um den Inhalte zu überspringen

Datenschutz-GAU: Freie Universität Berlin gab Studierenden vollen Zugriff auf alle Prüfungsdaten [Update]

Screenshot Datenpanne FU Berlin

Gestern bekamen alle Studierenden der Freien Universität Berlin eine Mail mit dem Hinweis, dass das Campus Management nach längerer Wartung mit neuen Services in der Nacht wieder online geht. Ein ungewolltes Feature ging mit online: Eine Panne versetzte einfache Studi-Accounts in den „God-Mode“, stattete sie mit Zugriffs- und Schreibrechten von Prüfungsämtern aus. Auch der Autor hat sich heute mit seinem Studi-Account bei der FU eingeloggt und fand an einigen Stellen einen verlockenden „Bearbeiten“-Button vor.

Offenbar konnten heute bis etwa 16:00 Uhr zumindest einige Studierende die Prüfungsdaten aller aktuellen und ehemaligen Studierenden und Promovierenden an der FU Berlin seit 2005 einsehen. Die Startseite des Campus Management zeigte nach dem Log-In ein Suchfeld, über das mit dem Namen von aktuellen oder ehemaligen Studierenden die Daten aufgerufen werden konnten. In einer Übersicht ließ sich der gesamte Verlauf des Studiums nachvollziehen, samt aller Prüfungsversuche und Noten.

Außerdem gab es eine Suchmaske für Dozierende. Über die Namen der Lehrenden konnten Studierende ihre Lehrveranstaltungen aufrufen und Noten eintragen. Außerdem konnten die Vordrucke für Teilnahmelisten mit allen Namen heruntergeladen werden.

Unbefugter Zugriff bleibt für eine Stunde bestehen

In welchem Umfang Studierende die Datenpanne ausgenutzt haben und eigene oder fremde Prüfungsdaten gesichert oder verändert haben, ist noch unklar. Klar ist allerdings, dass die Abteilung, die das Campus Management betreut, nicht sofort gehandelt hat. Anstatt den Stecker zu ziehen, bzw. das System zurück in den Wartungsmodus zu schicken, blieb die gesamte Datenbank für mehrere Stunden abrufbar [siehe Update].

Von der Hotline des Campus Management hieß es am Nachmittag, dass der Fehler schon bekannt sei, weil sich einige Studierende deswegen schon gemeldet hätten. An einer Lösung werde gearbeitet. Zum Zeitpunkt des Gesprächs war es aber immer noch möglich, fremde Daten abzurufen. Erst kurz nach einer Anfrage von netzpolitik.org bei der FU-Pressestelle, war der Zugriff auf Prüfungsdaten nach unseren Erkenntnissen nicht mehr möglich. Von dort heißt es am Abend gegenüber netzpolitik.org, dass der Fehler behoben und kein unberechtigter Zugriff mehr möglich sei. Weitere Hintergründe des Vorfalls werden analysiert.

Auch ein interessanter Artikel:  Chanukka in Berlin: Ja, Jens Spahn hat die Corona-Regeln eingehalten

Update 21:30 Uhr: Die Freie Universität hat mittlerweile mit weiteren Details antworten können: „Durch einen Konfigurationsfehler waren für einen kurzen Zeitraum am Dienstag, 12. Januar 2021, die Zugriffsrechte im Campus-Management-System der Freien Universität Berlin falsch eingestellt, insbesondere konnten Studierende die Daten anderer Studierender einsehen. Der Fehler wurde nach Bekanntwerden zügig behoben. Derzeit wird geprüft, ob es zu unzulässigen Veränderungen an den Daten gekommen ist.“ Gegen 21:00 Uhr ergab sich „noch eine weitere Information zu den Zugriffsrechten: Sie waren von 14.33 Uhr und 15.43 Uhr falsch eingestellt, wie aus den Systemdaten hervorgeht.“

Nach dem Berliner Datenschutzgesetz muss die FU Berlin den Vorfall innerhalb von 72 Stunden an die Datenschutzbeauftrage von Berlin Maja Smoltczyk melden, wenn der Vorfall eine „Gefahr für die Rechtsgüter“ der ehemaligen und aktuellen Studierenden darstellt. Sollte die juristische Prüfung des Vorfalls zu dem Ergebnis kommen, dass sich aus dem unbefugten Zugriff eine „erhebliche Gefahr für die Rechtsgüter“ von FU-Studierenden und Alumni seit 2005 ergibt, muss die Universität alle Betroffenen benachrichtigen.

Seit 2005 setzt die FU Berlin eine SAP-Software in der Prüfungsverwaltung ein. Mit den Wartungsarbeiten wurden neue Funktionen der Studierendenverwaltung, etwa die Rückmeldung, in das Tool integriert.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Hier weiter lesen...