Zum Corona-Überblick: Alle Zahlen zu SARS-CoV-2 in Deutschland
Die Freie Universität. Foto: Thilo Rückeis
© Thilo Rückeis

Update Massive Datenpanne an der FU Berlin Studierende hatten vollen Zugriff auf alle Prüfungsdaten

Clara Meyer-Horn

Datenpanne an der Freien Universität: Studierende konnten kurzzeitig ihre Noten und die ihrer Kommilitonen einsehen und auf Wunsch verändern.

Am Dienstag bekamen alle Studierenden der Freien Universität (FU) Berlin eine Meldung: das Campus-Management-System ist nach langer Wartungspause wieder online, mit neuen Services. Als sie sich einloggten, sah die Maske ganz anders aus als sonst. Ein ungewolltes Feature war mit online gegangen. Plötzlich verfügten Studierende über dieselben Lese- und Schreibrechte wie Dozierende.

Die Semesternote mal eben verändern, ohne jeglichen Mehraufwand, war auf einmal ganz einfach. Man musste, rein theoretisch, nur auf den praktischen neuen „bearbeiten“-Knopf klicken. Und schon wäre die unglückliche Vier – wie durch Zauberhand – zu einer Zwei geworden.

Außerdem hatten Studierende die Möglichkeit, über die Namen ihrer Lehrenden alle Lehrveranstaltungen aufzurufen und Vordrucke für Teilnahmelisten mit allen Namen auf Wunsch herunterladen. Über den Vorfall berichtete als erstes netzpolitik.org.

In dem durch die Datenpanne für alle zugängliche „God Mode“ konnten Studierende zudem die Prüfungsdaten aller aktuellen und ehemaligen Studierenden und Promovierenden an der FU seit 2005 durchkämmen.

Die Ursache hinter der Fehleinstellung der Zugriffsrechte sei ein „Konfigurationsfehler“ gewesen, erklärte Carsten Wette, Leiter der Pressestelle der FU. Ihm zufolge wurde dieser Fehler nach Bekanntwerden allerdings „zügig“ behoben.

Unbefugter Zugriff war über eine Stunde möglich

Tatsächlich blieb der unbefugte Zugriff knapp über eine Stunde bestehen, von 14 Uhr 33 bis 15 Uhr 43. Auf die Nachfrage des Tagesspiegels, warum die Abteilung, die das Campus-Management-System betreut, es nicht sofort zurück in den Wartungsmodus geschickt hat, kam keine Antwort.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Derzeit sei auch noch nicht bekannt, in welchem Umfang Studierende die Datenpanne tatsächlich zu ihren Gunsten ausgenutzt haben. Es werde noch geprüft, ob oder inwiefern es zu unzulässigen Veränderungen an den Daten gekommen ist, erklärte der FU-Sprecher.

"Es ist eine Datenschutzkatastrophe", sagt Janik Besendorf vom Allgemeinen Studierendenausschuss (AStA) der FU. "Über eine Funktion auf der Fehlerhafen Seite konnten Unbefugte unter anderem Einblicke in sehr sensible Daten erlangen, wie etwa die Geburtsdaten und Geburtsorte der Studierenden." Es sei nicht auszuschließen, dass jemand diese Daten heruntergeladen hat.

Die Linke verlangt Aufklärung

Für Sebastian Schlüsselberg, Sprecher für Rechtspolitik und Datenschutz der Linken im Berliner Abgeordnetenhaus, ist der Vorfall noch lange nicht abgeschlossen. „Diese Verletzung des Datenschutzes ist nicht hinnehmbar“, twitterte Schlüsselberg am Mittwochmorgen.

Er erwarte von der FU eine „schnelle und lückenlose Aufklärung. Und eine ebenso schnelle Erklärung gegenüber dem Parlament und der Datenschutzbeauftragten. Sollte es sich herausstellen, dass der Vorfall eine Gefahr für die Rechtsgüter der aktuellen oder ehemaligen Studierenden darstellt, hat die FU laut Vorgabe des Berliner Datenschutzgesetzes noch bis Freitag Zeit, den Vorfall der Datenschutzbeauftragten von Berlin, Maja Smoltczyk, zu melden.

Die AStA habe sich schon an den Datenschutzbeauftragten der FU gewendet, sagt Studierendenvertreter Janik Besendorf. Noch gäbe es allerdings keine Rückmeldung. Fest stehe jedoch: bei Verletzungen des Schutzes personenbezogener Daten werde die Universität alle Betroffenen benachrichtigen müssen. Momentan prüfe der AStA zudem, stellvertretend für alle Studierenden, ob Schadenersatzansprüche gegenüber der Universität durchgesetzt werden könnten.

Es sei durchaus möglich, dass die Aufsichtsbehörde für die FU ein Bußgeld verhängen wird, sagt Besendorf. "Das wäre nur richtig, denn der Datenschutz an der FU war auch in der Vergangenheit schon wirklich mangelhaft." Am 20. Januar ist der nächste Sitzungstermin des Akademischen Rats der Universität. "Da wird die ganze Sache auf jeden Fall nochmal thematisiert. Das darf auf keinen Fall noch einmal passieren."

Zur Startseite