Zusammenfassung

Im Campus-Management-System der Freien Universität sind am 12. Januar 2021 nach einer umfangreichen technischen Umstellung durch weitere Updates des Systems für eine kurze Zeit die Zugriffsrechte falsch eingestellt worden. Dadurch konnten Studierende vorübergehend unter anderem die Daten anderer Studierender einsehen. Den im System angemeldeten Studierenden war es unter anderem theoretisch möglich, durch Auswahl einer beliebigen Matrikelnummer oder Auswahl eines Namens die Daten einer oder eines anderen Studierenden einzusehen.

Wie kam es zu dem Vorfall?

Die Datenpanne entstand durch eine Fehlkonfiguration im Campus-Management-System der Freien Universität Berlin.

Wann trat die Fehlkonfiguration auf?

Am Dienstag, 12. Januar 2021 waren zwischen 14.33 Uhr und 15.43 Uhr die Zugriffsrechte im Campus-Management-System falsch eingestellt, insbesondere konnten Studierende die Daten anderer Studierender einsehen und auf diese zugreifen.

Wie kam es technisch dazu?

Durch eine Änderung an den Berechtigungsrollen wurde versehentlich den Studierenden eine erweiterte Berechtigungsgruppe zugeordnet.

Wann erhielt die Freie Universität Kenntnis und wie schnell wurde der Fehler behoben?

Um 15.12 Uhr wurde die zuständige Stelle per E-Mail durch einen betroffenen Studierenden über den Fehler informiert. Es wurde sofort damit begonnen, den Fehler zu beheben. Um 15.43 Uhr konnte dieser bereinigt werden, also binnen einer halben Stunde.

Lässt sich etwas sagen zur Zahl der Nutzerinnen und Nutzer, die in dem Zeitraum der Datenpanne im System waren und Zugriff auf die Daten gehabt hätten?

Im Zeitraum von 14.33 Uhr bis 15.43 Uhr waren 673 Studierende im System angemeldet. Es lässt sich nicht nachvollziehen, wer auf welche Daten zugegriffen hat. Nach neuem Kenntnisstand hätten Studierende im Fehlerzeitraum noch nicht freigegebene Noten und Teilnahmebestätigungen von sich und anderen manipulieren können. Öffentlich zugänglich war das System jedoch zu keinem Zeitpunkt: Studierende konnten sich nur mit einem gültigen Benutzer-Account im Campus-Management-System anmelden.

Hat es unberechtigte Veränderungen an den Daten gegeben?

Die gründliche Analyse aller Datenveränderungen im fraglichen Zeitraum hat ergeben, dass es in 23 Fällen zu Abmeldungen aus gebuchten Lehrmodulen gekommen ist.
Es wurden aber keine Noten oder Teilnahmeangaben verändert; insbesondere hat kein Studierender Daten anderer Studierender manipuliert.
Bei endgültig freigegebenen Noten (z.B. in Vorsemestern) war eine solche Manipulation auch während der vorübergehend erweiterten Berechtigung ohnehin zu keinem Zeitpunkt möglich.

Gab es weitere Auswirkungen?

Das System hätte es vorübergehend zugelassen, für sich oder andere Personen Dokumente wie Modulbescheinigungen oder Leistungsübersichten oder beispielsweise Auszüge aus dem Noten- und Punktekonto der Studierenden zu erzeugen. Ob davon Gebrauch gemacht wurde, lässt sich nicht feststellen.

Welche weiteren Schritte werden unternommen?

Der Freigabeprozess für die Berechtigungen im Campus Management wird noch einmal ausführlich analysiert und überprüft. Es sollen Maßnahmen ergriffen werden, die einen solchen Fehler in Zukunft ausschließen. Der Vorfall ist der Berliner Beauftragten für Datenschutz und Informationsfreiheit nach § 33 DSGO gemeldet worden. Betroffene werden über den Vorfall informiert.