Hochschule Luzern veröffentlichte Noten aller Studierenden im Internet

Insgesamt 2’541 Seiten detaillierte Bewertungen von tausenden Studenten hat die Hochschule Luzern in ihrem öffentlich zugänglichen Download-Ordner im Internet veröffentlicht – in einem einzigen PDF-Dokument. Damit verstösst die Hochschule laut der Piratenpartei Zentralschweiz gegen den Datenschutz. Ein Student, der anonym bleiben will, hat der Piratenpartei am Donnerstag den Link zum Dokument zugespielt. Die Hochschule habe den Studenten zuvor mitgeteilt, dass sie ihre Bewertungen auf dem PDF-Dokument nachschauen können. Normalerweise veröffentlichen andere Universitäten ihre Bewertungen ausschliesslich in einem Bereich, der durch ein persönliches Login geschützt ist. Und dabei sieht man nur seine eigenen Zeugnisse – und nicht diejenigen aller anderen Mitstudenten.

Zwar werden die Namen der Studenten nicht genannt, aber auf jeder Zeugnis-Seite stehen ihre jeweiligen Matrikelnummern. Jeder Student erhält diese Nummer bei Antritt des Studiums, sie ist schweizweit eindeutig zugeteilt und steht auf der Legi-Karte der Studenten. Sie wird unter anderem zum Anmelden für verschiedene Onlinedienste verwendet und steht teilweise auch in E-Mail-Adressen. «Eine stichprobenweise Suche nach einigen Matrikelnummern ergab mehrere Treffer, womit die im Dokument enthaltenen Zeugnisse eindeutig Personen zugeordnet werden können», schreibt Florian Mauchle, Präsident der Piratenpartei Zentralschweiz, in einer Mitteilung. «Bewirbt sich ein Student um eine Stelle wird der mögliche Arbeitgeber wohl ebenfalls mit Suchmaschinen über ihn recherchieren – und erhält mit wenig Mühe den kompletten akademischen Werdegang eines Studenten.»

Die Piratenpartei hat den Verstoss der Hochschule deshalb beim Datenschutzbeauftragten des Kantons Luzern gemeldet. Sie zeigte sich «entsetzt über den eklatanten Verstoss gegen den Datenschutz.» Die Hochschule Luzern klärt den Vorfall derzeit intern ab. Sie will heute Nachmittag zu den Vorwürfen der Piratenpartei offiziell Stellung nehmen. Mittlerweile ist die Datei mit den Noten aus diesem Semester wieder gelöscht worden.

Hochsensibles Thema Datensicherheit

Datensicherheit im Internet ist das Thema dieses Sommers: Im grossen Stil überwachen amerikanische und britische Geheimdienste seit Jahren die weltweite Kommunikation insbesondere im Internet  –  automatisiert und ohne begründeten Verdacht. US-Whistleblower Edward Snowden erschütterte mit seinen Enthüllungen die Weltöffentlichkeit. In den Medien war der Aufschrei gross, die Berichterstattung ebbt auch Monate nach Bekanntwerden des Skandals nicht ab.

Für Zentralschweizer Behörden hingegen war dies keine grosse Neuigkeit: «Snowdens Enthüllungen bestätigten eigentlich nur, was man schon lange vermutete», sagt Reto Fanger, Datenschutzbeauftragter des Kantons Luzern. Einzig das Ausmass der Überwachung in Europa sei nicht bekannt gewesen. Doch über die Methoden des amerikanischen Geheimdienstes NSA («National Security Agency») sei in Fachkreisen schon länger spekuliert worden. In Datenschutzfachzeitschriften sei seit Jahren immer wieder darüber geschrieben worden. «Datensicherheit ist auch bei den Behörden seit langem ein Thema.» Wohl deshalb seien keine direkten Reaktionen bei ihm eingegangen, nachdem der NSA-Skandal bekannt wurde.

Auch Zentralschweizer Behörden können NSA-Bespitzelung kaum etwas entgegensetzen

«In der IT-Branche sind wir betreffend der NSA-Enthüllungen nicht überrascht, sagt auch René Loepfe, Leiter des Amts für Informatik und Organisation (AIO) Zug. «Wir wissen seit Jahren, dass gewisse Staaten ein hohes Informationsbedürfnis haben», sagt er. Viele dieser Abhöreinrichtungen gehen auf die Zeit des Kalten Krieges zurück. Doch vor allem nach den Anschlägen des 11. Septembers 2001 auf das World Trade Center in New York hätten nicht nur die USA mutmasslich «aufgerüstet».

Wer heute beispielsweise E-Mails mit GMail verschickt oder über Skype telefoniert, muss damit rechnen, vom NSA-Spähprogramm PRISM erfasst zu werden. Denn die grössten US-Internetkonzerne kooperieren mit dem Geheimdienst, darunter Microsoft, Google, Facebook, Yahoo und Apple. Das Spähprogramm PRISM speichert die Unmengen an Daten auf Vorrat. In diesem Daten-Berg können die Geheimdienste offenbar mit speziellen Suchmaschinen gezielt die Internetkommunikation einzelner Personen isolieren und ausspähen.

Für René Loepfe ist klar: Wenn Staaten den Internet- und Telefonverkehr überwachen wollen, dann können sie es auch. «Sie verfügen über die technischen Mittel.» Auch die Schweiz sei theoretisch dazu in der Lage – allerdings benötigt der Schweizer Geheimdienst dafür Gerichtsbeschlüsse. Im Falle der NSA könne man kaum gänzlich verhindern, dass der Datenverkehr analysiert und ausgewertet wird. Denn ohne US-amerikanische Produkte gehe in der IT-Welt kaum etwas. 

Strikte Vorschriften für die Datensicherheit in Zug und Luzern

Tatsächlich benutzen auch die Zuger und Luzerner Behörden für den Mailverkehr Microsoft-Programme wie Outlook Exchange. Allerdings sind sie dabei an strikte Regelungen und Vorschriften gebunden wie dem «Verwaltungsrechtspflegegesetz» und der »Datensicherheitsverordnung». In Zug sind laut des AIO ausser des  «geprüften Standards» Microsoft Office weder GMail noch weitere Mailprogramme «für die geschäftliche Nutzung gestattet», intern wie extern. Sowieso dürfen keine datenschutzrelevanten Informationen über das Internet versendet werden: «Das Internet gilt per se als unsicher», sagt René Loepfe. Vertrauliche oder personenbezogene Informationen werden stets verschlüsselt, im Obergericht etwa durch den Verschlüsselungsdienst «IncaMail» der Schweizerischen Post. Und bei Entscheiden und Eingaben kommuniziert die kantonale Verwaltung immer per Briefverkehr.

Sogenannte Cloud-Speicherdienste wie Dropbox oder iCloud von Apple, bei denen Daten auf fremden Servern im Ausland gespeichert werden, sind für die Zuger Verwaltung absolut tabu: Sie erfüllen die grundlegenden Anforderungen an die Datensicherheit nicht und hätten ausserdem bereits in gravierendem Masse Daten bekannt gegeben. Facebook darf nur im «geschäftlich notwendigen Rahmen» benutzt werden, etwa für die offizielle Facebook-Seite des Kantons. Dafür gibt es sogar eigene Social Media Vorgaben. Zudem dürfen Angestellte der kantonalen Verwaltung nur auf einem absoluten Minimum private Emails verschicken oder im Internet surfen. Allerdings würden hier die Grenzen zwischen Beruf und Privatleben immer mehr verwischen.

Auch der Kanton Luzern verwendet in seiner Verwaltung hauptsächlich Microsoft-Produkte und verschlüsselt seine E-Mails bei besonders schützenswerten Daten. Die Angestellten dürfen nur sehr beschränkt privat surfen oder E-Mails verschicken – und nur ausserhalb der Arbeitszeiten. Allerdings können sie sowohl GMail als auch Facebook innerhalb der Behörden nutzen. Derzeit laufe jedoch «ein entsprechendes Monitoring mit welchem die Verwendung technisch kantonsweit unterbunden werden kann», sagt Fritz Zanzerl, Leiter der Dienststelle Informatik Luzern. Zwar nutzt auch die Luzerner Verwaltung keine Cloud-Dienste, doch prüfe man, ob künftig mit einer internen Cloud Daten verschlüsselt ausgetauscht werden können.

Ist Verschlüsselung im Internet noch sicher?

Wie jedoch am Freitag bekannt wurde, ist die NSA sogar in der Lage, sogar bisher sicher geglaubte Verschlüsselungstechniken im Internet zu knacken. So kann der Geheimdienst offenbar auch Datenübermittlungen mitlesen, bei denen Sicherheitsprotokolle wie SSL, HTTPS und Voice-over-IP verwendet werden. Wie weit die Möglichkeit der NSA geht, andere Verschlüsselungstechniken zu dekodieren, ist noch unklar – das Vertrauen in die Sicherheitsindustrie und in US-amerikanische Software-Produkte dürfte nach den neusten Enthüllungen aber stark leiden. Die New York Times, der britische Guardian und das Online-Portal ProPublica berichteten in einer gemeinsamen Aktion über die neuen Geheim-Dokumente, die sie von Edward Snowden erhielten.

Um die Sicherheit der IT-Infrastruktur der kantonalen Verwaltung zu überprüfen, überwachen die Verwaltungen sämtliche Internetzugriffe und der gesamte E-Mailverkehr ihrer Angestellten. Für sechs Monate werden Daten darüber gespeichert, wer auf welchen Webseiten wann und wie lange surft, welche E-Mails an wen geschickt wurden, ebenso die Betreffzeile. Der Inhalt der Mails darf nur mit Zustimmung der Betroffenen gelesen werden. Sowieso erfolgt die Auswertung der Protokolle anonymisiert – ausser, wenn Sicherheitsstörungen festgestellt werden. Das käme allerdings äusserst selten vor.

Zwar sind Vorschriften wie etwa die «Verordnung über die Informatiksicherheit», die solche Kontrollen vorschreiben, das eine. Ob sich die Verwaltungen auch entsprechend daran halten, lässt sich nur nach schweren Vorfällen feststellen. Dies zeigt sich im Moment beim Nachrichtendienst des Bundes (NDB): Die Geschäftsprüfungsdelegation untersuchte den Diebstahl einer grossen Menge geheimer Daten durch einen NDB-Mitarbeiter von 2012. Im abschliessenden Bericht vom Donnerstag stellte sie fest, dass die Informatiksicherheit in gravierender Weise vernachlässigt worden war. So hatten Informatiker uneingeschränkte Zugriffsrechte, wobei die Zugriffe nicht persönlich zugeordnet werden konnten. Im Kurzbericht heisst es: «Die Inspektion hat gezeigt, dass es der Führung des NDB an einem ausreichenden Verständnis für die Frage mangelte, welche Vorschriften der Dienst einzuhalten hatte.»

Behörden bereiten Cyberkriminelle mehr Sorgen

Bisher habe noch niemand versucht, die Verwaltungen von Luzern und Zug zu hacken, sagen beide Kantone. Dennoch bereitet die zunehmende Cyberkriminalität den Kantonen mehr Sorgen als etwaige NSA-Schnüffeleien. «Bedrohungen durch Cyberkriminelle sind auch für die öffentlichen Verwaltungen nicht zu unterschätzen», sagt René Loepfe vom AIO Zug. «Und mit der ständigen Weiterentwicklung der Bedrohungen Schritt zu halten und die zur Abwehr nötige Technik bereitzustellen, ist teuer.» Auch die IT-Abteilung der Luzerner Behörden versuche ständig, auf dem aktuellen Stand der Technik zu bleiben, bestätigt Reto Fanger. Weil sich diese rasant weiterentwickelt, sei das «ein Wettlauf gegen die Zeit».