Datenleck an der Uni Göttingen
Mitte letzter Woche wurde bekannt, daß 26.000 Datensätze von Studenten der Göttinger Universität bereits monatelang frei im Internet zugänglich waren.1 Die Daten stammen von einem ungeschützten
LDAP-Server der Uni Göttingen, der vom StudIT (ITService für Studierende)2, der ehemaligen Internet-Hotline, verwaltet wird.
Laut Aussage der Veröffentlicher besteht das Leck schon seit einem halben Jahr. Obwohl die StudIT schon vor einem Monat informiert worden sei, ist nichts unternommen worden, um den Fehler zu beheben. Aus diesem Grund wurde das Problem an die Öffentlichkeit getragen. Die Datensätze enthalten: Vor- und Nachnamen des jeweiligen Studenten, den Namen des Accounts (sowohl der älteren s-Accounts, als
auch der neuen Accounts) und die dazugehörige Emailaddresse.
Ferner sollen auch zeitweilig die Passwörter für das Prüfungsverwaltungssystem Flex-Now erhältlich gewesen sein.
Hintergrundinformationen: GÖNET heißt das Übertragungsnetz, das die Göttinger Institute ubntereinander und mit dem Internet verbindet. Zu ihm gehört u.A. auch Goemobile, das WLAN-netz über das sich Studierende mit ihrem Accounts ins Internet einloggen können.18 Weiterführend ist auch der Reader der Informatik Fachschaft TU Darmstadt zu empfehlen:
http://www.fachschaft.informatik.tu-darmstadt.de/chipkarte/Readerneu.pdf
GÖNET wird durch die GWDG, die Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen der Uni Göttingen und der Max-Planck Gesellschaft, betreut. Die StudIT ist die Internet-Hotline, die für die Austeilung der Internetaccounts für Studierende und zuständig ist. Noch im letzten Semester wurde ein von der gesamten Opposition unterstützter StuPa-Antrag der JuSos, der die Verteilung der Internetaccounts durch die StudIT betraf, von der ADF-Mehrheit im StuPa abgelehnt worden. Kritisiert worden war, daß die studentischen Internetaccounts und emailadressen () zu transparent eingerichtet sind wer den namen eines Mittudierenden hat, kann problemlos den Accountnamen und die Emailadresse konstruieren.
Wie es um das Datenschutzbewußtsein des AStAs, der ja auch die studentischen Datenschutzbeauftragten
stellt, steht, wird dadurch gezeigt, daß sie zur gleichen Zeit den Studienanfängern empfahl, sich auf der privaten Kontaktwebsite «StudiVZ» des Holtzbrinckverlages in eine Erstsemestergruppe einzutragen. Darüber, daß das StudiVZ bereits seit längerer Zeit von Datenschützern kritisiert wird, informierte
der AStA selbstverständlich nicht. So ist das StudiVZ höchst problematisch, da hier persönliche Angaben von Adressen, über Hobbies, Beziehungen etc. gesammelt und gespeichert werden. Auch private Bilder, die zu Hauf hier hochgeladen werden, dürfen zentral verwaltet und ausgewertet werden. Die gesammelten Nutzerinformationen sollen dazu dienen personalisierte Werbung zu erstellen, welche die Haupteinnahmequelle von StudiVZ ist.
Aber dienen nicht nur der Werbeindustrie, auch die Personalberater größerer Firmen pflegen
schon jetzt im Internet nach Privatinformationen von Bewerbern zu recherchieren. Auch staatliche Behörden können interessieren sich durchaus für leicht verfügbare Informationen. So freute sich der Geschäftsführer von StudiVZ Markus Riecke Anfang des Jahres im Spiegelinterview, daß StudiVZ bei Ermittlungsverfahren (bspw. wegen Drogenbesitzes) gespeicherte userdaten herausgeben darf.3
1) Quelle: http://netzpolitik.org/2008/datenleck-mit-26000-studentischen-datensaetzen-bei-bei-der-uni-goettingen/
2) IT steht für Informationstechnologie.
3) vgl. http://www.spiegel.de/netzwelt/web/0,1518,537622,00.html