Datenleck an der Uni Göttingen

Mitte letzter Woche wurde bekannt, daß 26.000 Datensätze von Studenten der Göttinger Universität bereits monatelang frei im Internet zugänglich waren.¹

Die Daten stammen von einem ungeschützten LDAP-Server der Uni Göttingen, der vom StudIT (ITService für Studierende)², der ehemaligen Internet-Hotline, verwaltet wird.

Laut Aussage der Veröffentlicher besteht das Leck schon seit einem halben Jahr.

Obwohl die StudIT schon vor einem Monat informiert worden sei, ist nichts unternommen worden, um den Fehler zu beheben.

Aus diesem Grund wurde das Problem an die Öffentlichkeit getragen.

Die Datensätze enthalten: Vor- und Nachnamen des jeweiligen Studenten, den Namen des Accounts (sowohl der älteren s-Accounts, als auch der neuen Accounts) und die dazugehörige Emailaddresse.

Ferner sollen auch zeitweilig die Passwörter für das Prüfungsverwaltungssystem FlexNow erhältlich gewesen sein.

Hintergrundinformationen: GÖNET heißt das Übertragungsnetz, das die Göttinger Institute untereinander und mit dem Internet verbindet. Zu ihm gehört u.A. auch Goemobile, das WLAN-Netz, über das sich Studierende mit ihren Accounts ins Internet einloggen können. GÖNET wird durch die GWDG, die Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen der Uni Göttingen und der Max-Planck Gesellschaft, betreut. Die über Studiengebühren finanzierte StudIT ist die Internet-Hotline, die für die Austeilung der Internetaccounts für Studierende zuständig ist.

In einer ersten Stellungnahme der «Datenverarbeitung der Uni Göttingen»³ heißt es: «Am 2. Oktober um 1.30 Uhr wurde das Sicherheitsloch bereits wieder durch die Serveradministration geschlossen.» Tatsächlich war es noch am darauffolgenden Tag möglich, die Daten von innerhalb des GÖNETs (d.h. universitätsintern) abzurufen. Diese Lücke wurde erst am Nachmittag des 3. Oktober geschlossen.

Ferner ist erklärt worden: «Zu keiner Zeit abfragbar waren Passwörter (die grundsätzlich verschlüsselt sind).» In einer späteren Pressemitteilung⁴

Obwohl dadurch klar wird, daß die zentrale Datenspeicherung und -verwaltung höchst anfällig für Mißbrauch und Manipulation ist, scheinen die vom AStA gestellten studentischen Datenschutzbeauftragten diese Problematik zu ignorieren.

Noch im letzten Semester ist ein von der gesamten Opposition unterstützter StuPa-Antrag der JuSos, der die Verteilung der Internetaccounts durch die StudIT betraf, von der ADF-Mehrheit im StuPa abgelehnt worden.

Kritisiert worden war, daß die studentischen Internetaccounts und Emailadressen () zu transparent eingerichtet sind. Wer den Namen eines Mitstudierenden hat, kann problemlos den Accountnamen und die Emailadresse konstruieren.

Wie es um das Datenschutzbewußtsein des AStAs steht, wird dadurch deutlich, daß er zur gleichen Zeit den diesjährigen Studienanfängern empfiehlt, sich auf der privaten Kontaktwebsite «StudiVZ» des Holtzbrinckverlages in eine Erstsemestergruppe einzutragen.

Darüber, daß das StudiVZ bereits seit längerer Zeit von Datenschützern kritisiert wird, informierte der AStA selbstverständlich nicht.

So ist das StudiVZ höchst problematisch, da hier persönliche Angaben von Adressen, über Hobbies, Beziehungen etc. gesammelt und gespeichert werden.

Auch private Bilder, die zuhauf hochgeladen werden, dürfen zentral verwaltet und gespeichert werden.

Die gesammelten Nutzerinformationen sollen dazu dienen, personalisierte Werbung zu erstellen, welche die Haupteinnahmequelle von StudiVZ ist.

Aber die Daten dienen nicht nur der Werbeindustrie, auch die Personalberater größerer Firmen pflegen schon jetzt im Internet nach Privatinformationen von Bewerbern zu recherchieren.

Auch staatliche Behörden interessieren sich durchaus für leicht verfügbare Informationen. So freute sich der Geschäftsführer von StudiVZ Markus Riecke Anfang des Jahres im Spiegelinterview, daß StudiVZ bei Ermittlungsverfahren (bspw. wegen Drogenbesitzes) gespeicherte Nutzerdaten herausgeben darf.⁵

¹) Quelle: http://netzpolitik.org/2008/datenleck-mit-26000-studentischen-datensaetzen-bei-bei-der-uni-goettingen/

²) IT steht für Informationstechnologie.

³) ebd.

⁴) http://www.uni-goettingen.de/de/94441.html mußte die StudIT jedoch zugeben, daß bis Juli 2008 «die verwendeten Passwörter im System von FlexNow im Klartext gespeichert» worden sind.

Dieser Vorfall ist kein Einzelfall. Im Mai erst gab es an der Uni Magdeburg eine größere Panne, bei der Studierendendaten wie Matrikelnummer, Studienfach und Semesterzahl übers Internet zugänglich waren.http://www.heise.de/security/Daten-von-tausenden-Studenten-der-Uni-Magdeburg-im-Netz--/news/meldung/108545

⁵) vgl. http://www.spiegel.de/netzwelt/web/0,1518,537622,00.html