Nachdem wir gestern über den versehentlichen Versand von über 500 E-Mail-Adressen berichtet hatten, wurde heute bereits die nächste Datenpanne mit Bezug auf die E-Mail-Adressen aller Studierenden bekannt. Sebastian Jabbusch machte uns auf eine Funktion auf der Uni-Homepage aufmerksam, mit deren Hilfe es möglich war, die E-Mail-Adressen sämtlicher Uni-Angehöriger abzufragen. Dabei war es sowohl möglich, den Nutzernamen (bestehend aus den Initialen, den letzten beiden Ziffern des Jahres der Immatrikulation und vier weiteren Ziffern) einem echten Namen zuzuordnen als auch umgekehrt den Namen eine Adresse. Das Verzeichnis enthielt offenbar sämtliche E-Mail-Adressen, die unter “uni-greifswald.de” registriert sind.
So sah die Seite vor ihrer Abschaltung aus.
Nachdem Sebastian Jabbusch einige Greifswalder Blogger und auch die Pressestelle der Universität auf diesen Sachverhalt hingewiesen hatte, dauerte es nicht mal eine Stunde, bis die Funktion vom Netz ging. Zuvor hatten wir sie aber ausführlich getestet und zumindest zahlreiche Mitarbeiter aus der webMoritz-Redaktion in den Daten gefunden. Sebastian Jabbusch weist zudem darauf hin, dass es auch möglich war, eine Abfrage über den bloßen Vornamen zu machen. So habe etwa die Suche nach “Katja”, “Martin” und “Anne” jeweils über 100 E-Mail-Adressen zu Tage gefördert.
Piraten: War der Vorfall “symptomatisch”?
Sebastian Jabbusch, der zugleich auch Landesvorsitzender der Piratenpartei ist, teilte weiter mit:
“Als Senator und Vorsitzender der Piratenpartei MV bin ich entsetzt, dass diese Funktion immer noch online ist: Die Funktion öffnet Mail-Adressen-Verkäufern und Spam-Kriminellen eine offene Einladung. Aber auch die ganz persönliche Privatsphäre ist so angegriffen. Stalker könnten so MitstudentInnen belästigen. Dies ist besonders schlimm, da die Universität bis heute keine Möglichkeit bietet, die E-Mail Adresse zu ändern.”
Auch Jabbuschs Parteifreund Tristan Varbelow, der bei den StuPa-Wahlen das zweitbeste Ergebnis einfuhr, zeigte sich gegenüber dem webMoritz verwundert: “Ich finde es bedenklich, wie da mit den studentischen Daten umgegangen wird.” Zudem stelle sich die Frage, ob der Vorfall symptomatisch für die Sensibilität der Uni zu dem Thema sei. Varbelow bemerkte, dass es immerhin positiv sei, wie schnell seitens der Uni reagiert worden sei.
Der Pressesprecher der Uni, Jan Meßerschmidt, bestätigte uns auf Nachfrage lediglich, dass er die vorerst vorübergehende Abschaltung der Funktion erwirkt habe. Er lasse nun prüfen, ob die Datenabfrage rechtswidrig gewesen sei und ob und wie man sie in Zukunft realisieren könne. Die Abschaltung sei zunächst aber nur eine Sicherheitsmaßnahme aufgrund der gegen die Uni erhobenen “bösartigen Vorwürfe”.
Datenschutzbeauftragter: “Werden ganze Website prüfen.”
Der Datenschutzbeauftragte der Uni-Verwaltung, Mike Naujok, wurde erst durch uns auf den Vorfall aufmerksam und wollte sich daher nicht dazu äußern, ob die Datenbank-Abfrage rechtswidrig gewesen sei. Spontan stelle sich ihm allerdings die Frage, ob die Uni einfach so die E-Mail-Adressen der Kommilitonen veröffentlichen könne. Er wisse nicht, ob es dafür eine Rechtsgrundlage gebe. Ihm sei diese lediglich für die Veröffentlichung der Adressen von Mitarbeiter geläufig.
Naujok äußerte im Licht des heutigen und des gestern bekannt gewordenen Datenschutz-Problems die Vermutung, dass in diesem Punkt in den kommenden Monaten “noch einiges getan werden muss”. Er kündigte an, die gesamte Uni-Homepage datenschutzrechtlich unter die Lupe zu nehmen. Insgesamt gelte es, die Mitarbeiter mehr für das Thema zu sensibilisieren. Auch der Versand der gestrigen E-Mail dürfe sich nicht wiederholen. Dass der webMoritz dem Datenschutzbeauftragten dabei erstmal erklären musste, worin der Unterschied der “Cc-” und der “Bcc”-Versandmethode bei E-Mails besteht, wirft allerdings nicht gerade ein gutes Licht auf dieses Ansinnen.
Bilder: Screenshot, Motivbild Startseite: “Bleicher” via flickr
Deine Bedenken kann ich nachvollziehen, es gibt jedoch einige fundamentale Unterschiede:
1.) Telefonbücher sind freiwillig. Ich stimme der Veröffentlichung aktiv zu und kann der Veröffentlichung auch widersprechen, bzw. sie widerrufen. Beides geht / ging bei der Uni nicht.
2.) Wer seine Mailadresse irgendwo veröffentlicht, tut dies meist für eine bestimmte Zielgruppe, z.B. für seine Freunde bei Studi-VZ. Wenn sie aber "jedem" zugänglich ist, ist dies nicht im Sinne des Erfinders.
3.) Das weitere Kernprobleme ist die massenhafte Abrufbarkeit der Daten gewesen. Unter dem Suchbegriff "Kristin" habe ich 104 E-Mail Adressen gefunden, unter "Martin" 102. Mit diesen und etlichen weiteren Namen hätte ich binnen weniger Stunden, die komplette E-Mail Datenbank der Universität gehabt. Ich schätze einmal 15.000 Kontakte.
Für Werbe-Versender, gerade hier aus der Region, wäre das eine sehr lukrative Basis. Da hätte der Pizza-Laden für seine Pizzas, der TV-Club seine nächste Party oder ich für http://www.Beamer-Verleih.de Werbung machen können…
15.000 E-Mail Adressen sind auch auf dem Deutschen Adress-Handels-Markt (legal!!) gut zu verkaufen… Gerade da es sich hier nicht um "irgendwelche" E-Mail Adressen handeln, sondern ausschließlich um Akademiker (also keine Streuung im sozialen Milieu) und dann noch genau von einer Uni…
fazit:
wenn man einstellen kann, ob die mailadresse gefunden wird, ist alles ok. (besonders, wenn es per default disabled ist)
auch denkbar: abfrage nur im uninetz (dann kriegt man raus, wer da grad 12000 mailadressen abgegriffen hat ^^) .
Als konkrete Lösungen hatte ich vorgeschlagen:
– Das Rechenzentrum der Uni Greifswald muss sofort die Abfrage offline nehmen. (ist passiert)
– Das Rechenzentrum muss sämtliche E-Mail Adressen von Studenten entfernen. Hier wäre höchstens ein "Opt-In-Verfahren" denkbar (Also Veröffentlichung nur nach ausdrücklicher Zustimmung)
– Das Rechenzentrum könnte später die Anfrage so verändern, dass z.B. maximal 5 E-Mail Adressen auf einmal als Ergebnis angezeigt werden.
– Die Sinnhaftigkeit einer Abfrage nach Vornamen sollte kritisch hinterfragt werden.
Ich glaube aber, dass diese Abrage – wie im Artikel erwähnt – symtomatisch ist für eine gewissen Unsensibilität. Wir alle sollten lernen die Gefahren der Digitalisierung ernst zu nehmen.
Wer seine E-Mail Adresse da dem Spamkäufern preisgeben will, kann das sicherlich bald wieder tun. Solange "ich" nicht gezwungen bin, da mitzumachen, ist mir das egal. (Genauso wie Trunkenheitsbilder bei Studi-Vz.) Ich halte persönlich würde trotzdem jeden davon abraten, da ich es für extrem unvorsichtig hilte.
Henning: Dort würde ich [Statt des Opt-In] ein "Opt-Out" System Vorschlagen, bei der Immatrikulation ein Kästchen auf den Bogen: "Ich untersage die Abfrage meiner studentische Emailadresse im Universitätsnetz [_]"
Genau richtig. Nur das IST ein Opt-In-Verfahren 😉
(Opt-Out wäre, wenn Du z.B. in Deinen Einstellungen im Nachhinein diese Funktion erst deaktivieren kannst)
das das praktisch ist, glaube ich. Polemisch aber nicht böse gemeint: Die Statsi war für die DDR sicher auch praktisch 😉
Ich denke, dass man trotzdem dem Arbeitsalltag hinkriegen wird. Übrigens kann meines Wissens der Arbeitgeber "Universität Greifswald" durchaus seine Mitarbeiter dazu "zwingen" die Veröffenlichung von "Unternehmens- und Geschäftsadressen" zu erdulden.
Das Problem waren ja hier primär die 12400 Studenten sowie die Massenabrufbarkeit von Adressen über Vornahmen…
Ich denke man wird das System nach Einbau einiger Sicherheitsstandards in veränderter Form wieder online stellen.
Ich finde die öffentlich zugängliche Datenabfrage auch bedenklich bzw. typisch für die Amateurliga in der unsere Uni in Bezug auf Datensicherheit spielt. Dies wird um so deutlicher wenn man sich einmal die Informationen anschaut die auf der Website der Uni (und mit dieser Verknüpften Seiten) über uns Studenten zu finden sind. Ich hatte im Rahmen meiner Staatsexamensarbeit mal ein Crawler und ein Spider über die Seite laufen lassen und konnte schon binnen 5 Minuten zahlreiche private Daten (die öffentlich zugänlich waren) von Studenten (keine Mitarbeiter Kontaktdaten) wie Matrikel, Vorname, Nachname und Telefonnummer mit einer E-Mail-Adresse Verknüpfen, sogar meine eigenen Daten, die ich selbst nie zu diesem Zweck angegeben habe, fand ich (auf einer externen Seite eines Dozenten). Die Uni sollte ihre Mitarbeiter unbedingt in Sachen Datenschutz schulen bzw. sensibilisieren. Ich hab nämlich keinen Bock mehr, dass obwohl ich persönlich sehr viel Wert auf den Schutz meiner Daten lege, die Uni diese veröffentlicht.
Und auch E-Mail-Adressen gehören zu privaten Daten und deren Schutz ist im Bundesdatenschutzgesetz und im Telemediengesetz (TMG) verankert!!! Vieleicht sollten sie sich dies Herr Naujok und Co mal anschauen (http://www.gesetze-im-internet.de/bdsg_1990/ http://www.gesetze-im-internet.de/tmg/).
Falls Du mir die entsprechenden Auszüge aus Deiner Staatsexamensarbeit mal zukommen lassen könntest, wäre das interessant: sebastian [at] jabbusch . de.
Ich werde entsprechende Passagen bzw. weitere neue Untersuchung (mit Rücksicht auf den Datenschutz) demnächst im Netz (wohlmöglich unter datenimweb.de) öffentlich zugänglich machen (kann aber noch einen Monat dauern, bin grade noch in den Prüfungen).