Erneute Datenschutzpanne an der "Otto-von-Guericke" Universität Magdeburg Nach dem Datenskandal im Jahre 2008, bei dem versehentlich ca. 45 000 Datensätze von Studenten der Universität Magdeburg im Internet veröffentlicht wurden, ist nun eine weitere Lücke im Datenschutz der Universität entdeckt worden.
Diese existiert laut Aussage der Leiters des URZ Magdeburg, Dr. Knocke, bereits seit 6! Jahren und ermöglicht das Abrufen und Speichern personenbezogener Daten von von ca. 13 000 Studenten der Universität.
Gerade erst 16 Monate ist es her, dass die "Otto-von-Guericke" Universität Magdeburg bundesweit Negativschlagzeilen in Sachen Datenschutz machte. Ein Mitarbeiter stellte damals versehentlich ca. 45 000 Datensätze von Studenten & Mitarbeitern für jedermann öffentlich zugänglich ins Internet. Dieser Faux-pas brachte der Universität sogar eine Meldung für den Datenschutz-Negativpreis "Big Brother Award" des FoeBuD e.V. sowie eine Nennung durch den CCC (Chaos Computer Club) zum Thema Datenpannen 2008 in Gesellschaft in datenschutzrechtlicher Hinsicht so prominenter Namen wie LIDL oder TELEKOM ein [1].
Ausserdem wurde als Konsequenz der veröffentlichten Matrikelnummern der Studenten die Einführung von Prüfungsnummern notwendig. [2] Man sollte meinen, dass die Verantwortlichen aus Fehlern gelernt haben, und nach besagten Vorfall dem Datenschutz im Sinne der Studenten eine gesteigerte Aufmerksamkeit und Wertschätzung zuteil werden lassen. Doch weit gefehlt, bereits im Sommer diesen Jahres gab es eine weitere Panne. Die personenbezogenen Daten aus dem Anmeldesystem des Technologie Transfer Zentrums (TTZ), wie z.B. Vor- & Zuname, E-Mailadresse, Studiengang und auch die Telefon- bzw. Handynummern der eingetragenen Personen waren im temporären Speicher (Cache) von Google für jeden Nutzer im Internet einzusehen. Dies betraf vergangene und zukünftige Exkursionen, welche bis zu diesem Zeitpunkt im System des TTZ eingetragen waren.
Nach einer Information an Herrn Kauert vom TTZ wurden diese Daten zwar entfernt, dies allerdings erst ganze 6 Tage nach dem Hinweis. Die neue Datenschutzbeauftragte der Universität, Frau Freudenberg, wurde über den Fall informiert und wertet diesen zur Zeit aus. [3] Nach dem Hinweis eines Studenten und entsprechender Recherche haben Vertreter der Piratenpartei Sachsen-Anhalt der Universität nun schriftlich mitteilen müssen, dass es über den sogenannten LDAP Server [4] der Universität möglich ist, aus dem Benutzernamen im Universitätsrechenzentrum (URZ) sehr einfach umfangreiche Daten zum Nutzer selbst auszulesen. Dazu gehören der vollständige Name, das Freischaltungsdatum des Zuganges, die Emailadresse an der Universität, der Rang an der Universität (Student, Student der Informatik, Mitarbeiter an der Universität inkl. Institut), sowie die Gruppen- bzw. BenutzerID. Weiterhin ist es möglich, im URZ alle Benutzernamen der Universität auszulesen, so dass innerhalb weniger Minuten die aktuellen Informationen ALLER Universitätsmitglieder abruf- und speicherbar sind.
Insgesamt handelt es sich dabei um ca. 17 500 Datensätze. Laut Aussage von Dr. Knocke, dem Leiter des URZ, existiere diese Lücke bereits seit ca. 6 Jahren! Dazu Rena Tangens vom FoeBuD e.V.: "Es ist schon erstaunlich, dass die genannten Umstände der Universität seit mehreren Jahren bekannt sind, in dieser Zeit allerdings nichts unternommen wurde, um die daraus resultierende Missbrauchsgefahr zu beseitigen. Da die Daten der Universitätsmitarbeiter, wie z.B. die Emailadressen, im Hinblick auf schnelle Erreichbarkeit generell frei zugänglich sind, liegt das eigentliche Problem explizit bei den Daten der Studenten. Zwar ist es nur von einem Rechner der Universität selbst möglich, sich diese anzueignen, allerdings gestaltet es sich sicherlich als nicht besonders schwierig, bei Bedarf an einen solchen Rechnerzugang zu gelangen. Immerhin haben einen solchen in jedem Fall die aktuell 13000 Studenten der Universität, dahingehend auf das Vertrauensprinzip zu setzen, halten wir in datenschutzrechtlicher Hinsicht für mehr als naiv."
Ein Missbrauch der auf so einfache Weise beschaffbaren persönlichen Daten ist auf vielfältige Art und Weise möglich, angefangen damit, dass Versendern von SPAM-Emails durch einfach zugängliche Emailadressen die "Arbeit" erleichtert wird. Die Daten können dabei sowohl für den Versand als auch Empfang von SPAM genutzt werden, dasselbe gilt für für Schadsoftware und Viren (Trojaner), wodurch der Versender unter Umständen an weitere, sensible Daten gelangt. Weiterhin besteht die Gefahr, dass die gewonnenen Daten (Mailadressen) verkauft werden.
Da eine komplette Abschaltung des LDAP-Servers laut Dr. Knocke aus technischen Gründen nicht möglich ist, wäre ein Lösungsansatz, zumindest das Auslesen der Benutzernamen im URZ zu verhindern und gleichzeitig die LDAP-Suche nach Benutzernamen abzuschalten, um diese Sicherheitslücke zu schliessen. "Zwar würden damit Benutzernamen bzw. Emailadressen beim Eintippen nicht mehr automatisch vervollständigt," erläutert René Emcke, Landesvorsitzender der Piratenpartei Sachsen-Anhalt, "es wäre jedoch fatal, dem Datenschutz aus Gründen der Bequemlichkeit nicht im erforderlichen Maße Rechnung zu tragen."
Es muss ebenfalls bemängelt werden, dass es nach dem Weggang von Eric Wilhelm Steinhauer fast anderthalb Monate lang gar keinen Datenschutzbeauftragten an der Otto-von-Guericke" Universität gab. Laut Gesetz ist dieses jedoch immer dann Pflicht, sobald mehr als 9 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Sollte es in diesem Fall keinen Datenschutzbeauftragten geben, so muss alternativ eine entsprechende Meldung an den Landesdatenschutzbeauftragten erfolgen. Ob dieses seitens der Universität erfolgt ist, oder ob gesetzliche Bestimmungen verletzt worden sind, ist dabei aktuell unklar. Inzwischen ist die Möglichkeit, sich personenbezogene Daten über das Netzwerk der Universität anzueignen, von den Verantwortlichen der Universität zumindest eingeschränkt worden.
In einem ersten Gespräch zwischen Dr. Knocke, der Datenschutzbeauftragten Frau Freudenberg und Vertretern der Piratenpartei wurde die Thematik erörtert und es wurden Möglichkeiten diskutiert, wie der Datenschutz an der Universität verbessert und entsprechende gesetzliche Richtlinien umgesetzt werden können. Dazu gehört zunächst einmal eine Überarbeitung der aus dem Jahre 1993 stammenden Nutzungsbedingungen des URZ. Weiterhin sollen die Studenten bei Erhalt Ihres Zuganges darüber aufgeklärt werden, inwieweit Ihre Daten im Netzwerk der Universität zugänglich sind, ebenso ist eine Möglichkeit des Widerspruchs einzuräumen (Opt-Out-Verfahren).
Dies betrifft vor allem auch die Fakultät für Informatik, da hier die Studenten untereinander auch auf ihre sogenannten Home-Verzeichnisse zugreifen können, auf denen ein Unwissender unter Umständen auch sehr persönliches Material speichert. "Wir haben außerdem eine Wiederbelebung des aus Studenten bestehenden Arbeitskreises Datenschutz angeregt. Dieser wurde als Konsequenz der schweren Datenpanne im Jahre 2008 ins Leben gerufen, ist aber aktuell nicht mehr existent. Die Universität verfügt mit der Fakultät für Informatik über umfassendes studentisches Know-How im Bereich IT & Datenschutz, es wäre nur sinnvoll, dieses auch zu nutzen.
Vor allem in Anbetracht der Tatsache, dass die neue Datenschutzbeauftragte Frau Freudenberg erst relativ neu in dieser Position ist, und sich die dafür notwendigen Kompetenzen erst im Rahmen entsprechender Schulungsmaßnahmen aneignen muss." so René Emcke weiter. "Wir sind natürlich gerne bereit, der Universität Magdeburg in allen Fragen des Datenschutzes hilfreich zur Seite zu stehen. Mittelfristig schlagen wir eine Umsetzung des Opt-In-Prinzips vor, bei der die Studenten per Unterschrift zustimmen müssen, dass ihre Daten zum Beispiel über das LDAP System zugänglich sind.
Dies wäre die einzig konsequente Umsetzung des Grundrechtes auf informationelle Selbstbestimmung, welches gerade beim aktuellen Wandel zur Informationsgesellschaft als immens wichtig einzustufen ist." Schlussendlich stellen die unter anderem auch vom Studentenwerk der Universität Magdeburg verwendeten Mensakarten ein weiteres Sicherheitsrisiko dar. Diese sind mit dem Mifare Classic Chip verschlüsselt und können mit geringem Aufwand "geknackt" werden, wodurch auch hier ein Missbrauch der gespeicherten Daten möglich ist. Diese Tatsache ist dem Studentenwerk seit Frühjahr 2008 bekannt, ein "Softwareupdate" in Planung.
Wann dieses passiert, bzw. ob und wann die unsicheren Karten ausgetauscht werden, ist bisher unklar, und vor allem auch eine Frage der Finanzierung. Hier ist die Politik gefragt, die statt immer neuer Forderungen nach Streichungen den Universitäten eher einen größeren finanziellen Spielraum einräumen sollte. Das wäre in vielerlei Hinsicht eine sinnvolle Investition in unser aller Zukunft, welche im Hinblick auf Personal und Technik sicherlich auch für einen effizienteren Datenschutz an den betreffenden Einrichtungen sorgen würde.
Womblog Niederelbert, 24. September 2009
Original: http://womblog.de/2009/09/24/piraten-sachsen-anhalt-erneute-datenschutzpanne-an-der-otto-von-guericke-universitt-magdeburg/