Datenschutz-GAUFreie Universität Berlin gab Studierenden vollen Zugriff auf alle Prüfungsdaten [Update]

Eine technische Panne im Campus Management System der FU Berlin machte heute Studierende zu Prüfungsämtern. Im „God-Mode“ konnten sie Noten und Teilnahmelisten der gesamten Uni seit 2005 einsehen und teils verändern. Den Studierenden wurden die Sonderrechte erst nach einer Anfrage von netzpolitik.org an die FU-Pressestelle entzogen.

Screenshot Datenpanne FU Berlin
Zum Bearbeiten hier klicken: Studis hatten heute Zugriff auf alle Prüfungsdaten der FU Berlin. – Alle Rechte vorbehalten Screenshot Campus Management FU Berlin

Gestern bekamen alle Studierenden der Freien Universität Berlin eine Mail mit dem Hinweis, dass das Campus Management nach längerer Wartung mit neuen Services in der Nacht wieder online geht. Ein ungewolltes Feature ging mit online: Eine Panne versetzte einfache Studi-Accounts in den „God-Mode“, stattete sie mit Zugriffs- und Schreibrechten von Prüfungsämtern aus. Auch der Autor hat sich heute mit seinem Studi-Account bei der FU eingeloggt und fand an einigen Stellen einen verlockenden „Bearbeiten“-Button vor.

Offenbar konnten heute bis etwa 16:00 Uhr zumindest einige Studierende die Prüfungsdaten aller aktuellen und ehemaligen Studierenden und Promovierenden an der FU Berlin seit 2005 einsehen. Die Startseite des Campus Management zeigte nach dem Log-In ein Suchfeld, über das mit dem Namen von aktuellen oder ehemaligen Studierenden die Daten aufgerufen werden konnten. In einer Übersicht ließ sich der gesamte Verlauf des Studiums nachvollziehen, samt aller Prüfungsversuche und Noten.

Außerdem gab es eine Suchmaske für Dozierende. Über die Namen der Lehrenden konnten Studierende ihre Lehrveranstaltungen aufrufen und Noten eintragen. Außerdem konnten die Vordrucke für Teilnahmelisten mit allen Namen heruntergeladen werden.

Unbefugter Zugriff bleibt für eine Stunde bestehen

In welchem Umfang Studierende die Datenpanne ausgenutzt haben und eigene oder fremde Prüfungsdaten gesichert oder verändert haben, ist noch unklar. Klar ist allerdings, dass die Abteilung, die das Campus Management betreut, nicht sofort gehandelt hat. Anstatt den Stecker zu ziehen, bzw. das System zurück in den Wartungsmodus zu schicken, blieb die gesamte Datenbank für mehrere Stunden abrufbar [siehe Update].

Von der Hotline des Campus Management hieß es am Nachmittag, dass der Fehler schon bekannt sei, weil sich einige Studierende deswegen schon gemeldet hätten. An einer Lösung werde gearbeitet. Zum Zeitpunkt des Gesprächs war es aber immer noch möglich, fremde Daten abzurufen. Erst kurz nach einer Anfrage von netzpolitik.org bei der FU-Pressestelle, war der Zugriff auf Prüfungsdaten nach unseren Erkenntnissen nicht mehr möglich. Von dort heißt es am Abend gegenüber netzpolitik.org, dass der Fehler behoben und kein unberechtigter Zugriff mehr möglich sei. Weitere Hintergründe des Vorfalls werden analysiert.

Update 21:30 Uhr: Die Freie Universität hat mittlerweile mit weiteren Details antworten können: „Durch einen Konfigurationsfehler waren für einen kurzen Zeitraum am Dienstag, 12. Januar 2021, die Zugriffsrechte im Campus-Management-System der Freien Universität Berlin falsch eingestellt, insbesondere konnten Studierende die Daten anderer Studierender einsehen. Der Fehler wurde nach Bekanntwerden zügig behoben. Derzeit wird geprüft, ob es zu unzulässigen Veränderungen an den Daten gekommen ist.“ Gegen 21:00 Uhr ergab sich „noch eine weitere Information zu den Zugriffsrechten: Sie waren von 14.33 Uhr und 15.43 Uhr falsch eingestellt, wie aus den Systemdaten hervorgeht.“

Nach dem Berliner Datenschutzgesetz muss die FU Berlin den Vorfall innerhalb von 72 Stunden an die Datenschutzbeauftrage von Berlin Maja Smoltczyk melden, wenn der Vorfall eine „Gefahr für die Rechtsgüter“ der ehemaligen und aktuellen Studierenden darstellt. Sollte die juristische Prüfung des Vorfalls zu dem Ergebnis kommen, dass sich aus dem unbefugten Zugriff eine „erhebliche Gefahr für die Rechtsgüter“ von FU-Studierenden und Alumni seit 2005 ergibt, muss die Universität alle Betroffenen benachrichtigen.

Seit 2005 setzt die FU Berlin eine SAP-Software in der Prüfungsverwaltung ein. Mit den Wartungsarbeiten wurden neue Funktionen der Studierendenverwaltung, etwa die Rückmeldung, in das Tool integriert.

8 Ergänzungen

    1. Ich vermute mal um ggf. auf Antrag für Alumni neue Zeugnisse und Nachweise ausstellen zu können. Außerdem ist es nicht auszuschließen, dass einzelne Student*innen schlichtweg seit 2005 noch eingeschrieben sind.

    2. Die Hochschule muss noch 30 Jahre lang nachvollziehen können, wer welche Noten wann in welche Fächer erhalten haben. Es gibt schon Leute, die ein Studium unterbrechen und dann Jahre später weiterstudieren wollen. Es ist nur die Frage, ob das nicht in eine Art „Digital-Archiv“ verschoben werden kann und nicht im Operativsystem mitgeschleppt wird. Aber wer ein Warenwirtschaftssystem umdefiniert zum Hochschulverwaltungssystem hat da sicherlich ganz andere Probleme.

      1. Es wäre schön, wenn solche Systeme ein schnelles Hot-Swap ins Archiv und wieder raus bieten würden, das ist aufgrund der Komplexität und Abhängigkeiten aber eher nicht der Fall. Wenn man auf die Details verzichten kann reicht natürlich eine Ablage der relevanten Dokumente und – falls wie Du sagst weiter studiert wird – muss man dann eben händisch aktiv werden.

        Und ehrlich gesagt ist das Datenmodell von SAP vermutlich meist sauberer und schöner erweiterbar als das, was man sich in anderen Systemen so dazudengeln muss, sofern überhaupt möglich. Das „Warenwirtschaftssystem“ hat aber vor allem auch den Vorteil, das verzahnte Bereiche aus Bereichen wie Finanzen, Personal, Bestellungen, Dienstleistungen u.Ä. besser integrierbar sind als bei Lösungen die damit traditionell wenig am Hut haben.

  1. > Sollte die juristische Prüfung des Vorfalls zu dem Ergebnis kommen, dass sich aus dem unbefugten Zugriff eine „erhebliche Gefahr für die Rechtsgüter“ von FU-Studierenden und Alumni seit 2005 ergibt, muss die Universität alle Betroffenen benachrichtigen.

    Das ist falsch. Korrekt wäre:

    Sollte die juristische Prüfung des Vorfalls zu dem Ergebnis kommen, dass sich aus dem unbefugten Zugriff eine „erhebliche Gefahr für die Rechtsgüter“ von FU-Studierenden und Alumni seit 2005 ergeben hat, hätte die Universität alle Betroffenen unverzüglich benachrichtigen müssen.
    Sollte sie dieser Pflicht nicht nachgekommen sein, ergäbe sich eine Nachholpflicht sowie ein Bußgeld.

  2. ‚Seit 2005 setzt die FU Berlin eine SAP-Software in der Prüfungsverwaltung ein. ‚ Stimmt nicht ganz. Mindestens Gesch/Kult war lange nicht im SAP System, was erst an einer anderen Uni entwickelt wurde, sondern noch mit Eigenentwicklung im Betrieb .

  3. Betroffenen Auskunft nach Artikel 15 DSVGO gestellt. Wenn die Daten angezeigt wurden, können Sie auch abgefloßen und veröffentlicht sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.