Springe direkt zu Inhalt

Fragen und Antworten zu unzulässigen Zugriffsrechten im Campus Management-System

Im Campus-Management-System der Freien Universität sind am 12. Januar 2021 nach einer umfangreichen technischen Umstellung durch weitere Updates des Systems für eine kurze Zeit die Zugriffsrechte falsch eingestellt worden. Dadurch konnten Studierende vorübergehend unter anderem die Daten anderer Studierender einsehen. Den im System angemeldeten Studierenden war es unter anderem theoretisch möglich, durch Auswahl einer beliebigen Matrikelnummer oder Auswahl eines Namens die Daten einer oder eines anderen Studierenden einzusehen.

Die Datenpanne entstand durch eine Fehlkonfiguration im Campus-Management-System der Freien Universität Berlin.

Am Dienstag, 12. Januar 2021 waren zwischen 14.33 Uhr und 15.43 Uhr die Zugriffsrechte im Campus-Management-System falsch eingestellt, insbesondere konnten Studierende die Daten anderer Studierender einsehen und auf diese zugreifen.

Durch eine Änderung an den Berechtigungsrollen wurde versehentlich den Studierenden eine erweiterte Berechtigungsgruppe zugeordnet.

Um 15.12 Uhr wurde die zuständige Stelle per E-Mail durch einen betroffenen Studierenden über den Fehler informiert. Es wurde sofort damit begonnen, den Fehler zu beheben. Um 15.43 Uhr konnte dieser bereinigt werden, also binnen einer halben Stunde.

Im Zeitraum von 14.33 Uhr bis 15.43 Uhr waren 673 Studierende im System angemeldet. Es lässt sich nicht nachvollziehen, wer auf welche Daten zugegriffen hat. Nach neuem Kenntnisstand hätten Studierende noch nicht abschließend freigegebene Noten von sich und anderen manipulieren können. Öffentlich zugänglich war das System jedoch zu keinem Zeitpunkt: Studierende konnten sich nur mit einem gültigen Benutzer-Account im Campus-Management-System anmelden.

Die gründliche Analyse aller Datenveränderungen im fraglichen Zeitraum hat ergeben, dass es in 23 Fällen zu Abmeldungen aus gebuchten Lehrmodulen gekommen ist, es wurden aber keine Noten oder Teilnahmeangaben verändert; insbesondere hat kein Studierender Daten anderer Studierender manipuliert. Bei abschließend freigegebenen Noten war eine solche Manipulation auch während der vorübergehend erweiterten Berechtigung zu jedem Zeitpunkt ausgeschlossen.

Das System hätte es vorübergehend zugelassen, für sich oder andere Personen Dokumente wie Modulbescheinigungen zu erzeugen oder Leistungsübersichten, beispielsweise Auszüge aus dem Noten- und Punktekonto der Studierenden. Ob davon Gebrauch gemacht wurde, lässt sich nicht feststellen.

Der Freigabeprozess für die Berechtigungen im System wird noch einmal ausführlich analysiert und überprüft. Es sollen Maßnahmen ergriffen werden, die einen solchen Fehler in Zukunft ausschließen. Der Vorfall ist der Berliner Beauftragten für Datenschutz und Informationsfreiheit nach § 33 DSGO gemeldet worden. Betroffene werden über den Vorfall informiert.