Dies ist eine wörtliche Abschrift der Tischvorlage für die 748. Sitzung des Akademischen Senats am 3. Juni 2015. Der Bericht wurde durch den Leiter des IT-Service-Center (tubIT) der TU Berlin vorgetragen.

Hervorhebungen und Hyperlinks wurden nachträglich hinzugefügt.

Vorbericht zum Datenschutzvorfall am 29.05.15 (fehlerhafte Versendung der Rückmeldeaufforderung)

Inhaltsverzeichnis

  1. Aufgabenstellung
  2. Allgemeine Darstellung des Datenschutz-relevanten Vorfalls
  3. Reaktion nach Feststellung des Fehlers und Umfang der Datenschutzvorfalls
  4. Einschätzung der Situation
  5. Technischer Hintergrund für den Datenschutzvorfall am 29.05.15.
  6. Anhang (nichtoffiziell)

Aufgabenstellung

Zur Erhöhung der Zuverlässigkeit bei der Benachrichtigung der Studierenden über die anstehenden Rückmeldegebühren hatte das IT-Service-Center der TU Berlin (tubIT) angeboten, ein neues Verfahren zu implementieren, da die aktuell im Einsatz befindlichen HIS-Systeme nicht gewährleisten können. Nach dieser Zwischenlösung soll der Versand von Rückmeldeaufforderung in Zukunft (vermutlich 2 Jahre) von dem dann eingeführten SAP-System für Student Lifecycle Management übernommen.

Das erstmalig implementierte Verfahren setzt sich grob aus vier Teilen zusammen:

  1. Zusammentragen der Daten aus der Studierendenverwaltung gemäß der Vorgaben der zuständigen Fachabteilung Studierendenservice
  2. Generieren eines persönlichen Anschreibens nach der Vorgabe der zuständigen Fachabteilung
  3. Versenden der E-Mail an die bei der TU registrierte TU-Berlin-E-Mail-Adresse. Die E-Mail wird dabei mittels eines DFN-Zertifikates signiert um Phishing Angriffe zu erschweren.
  4. Automatisieren Analyse der Rückläufer (nicht zustellbare E-Mail) um die davon betroffenen Studierenden gesondert per Post zu benachrichtigen

Der Vorgang wurde nach vermeintlich erfolgreichen Tests am Freitag nachmittag, dem 29.5.2015, gestartet.

Allgemeine Darstellung des Datenschutz-relevanten Vorfalls

Das Rechenzentrum der TU Berlin tubIT hat an die TU-Studierenden eine E-Mail mit der Aufforderung versandt, sich zurückzumelden. Der Sendevorgang war fehlerhaft, da jedem angeschriebenen Studierenden die Briefe der vor ihm angeschriebenen Studierenden ebenfalls zugesendet wurden. Der erste Studierende bekam nur sein Anschreiben, der zweite Studierende bekam neben seinem Anschreiben auch das des ersten Studierenden und so weiter. Alle Anschreiben enthielten den Namen des Studierenden und die postalische Adresse (1838 Briefe). Zusätzlich wurden in den Briefen noch Unterlagen erwähnt, welche bei der Rückmeldung einzureichen sind. Es handelt sich um folgende Erwähnungen (in Klammern die Anzahl der Briefe, in denen der Satz vorkam):

Der Vorgang wurde nach der Entdeckung des Fehlers nach 1838 Briefen (von 31677 zu versendenden Briefen) abgebrochen. Damit sind 1837 Personen betroffen. Das Ausmaß variiert von der Sendenummer der Betroffenen. Der erste Brief war korrekt, der zweite Empfänger bekam die Daten des ersten Empfängers, im schlimmsten Fall (Brief 1838) wurden die Daten von 1837 anderen Studierenden einer unberechtigten Person zugänglich gemacht. Eine besondere Charakterisierung der Personen ist nicht bekannt, da alle Studierenden angeschrieben werden sollten, die Datensätze wurden sequentiell bearbeitet.

Reaktion nach Feststellung des Fehlers und Umfang der Datenschutzvorfalls

Nachdem der Fehler dem Rechenzentrum gemeldet wurde, wurde der Prozess sofort gestoppt. Da beim Massenversand im Rechenzentrum, nicht zuletzt um den Schaden bei solchen Vorfällen zu begrenzen, grundsätzlich nur mit einer zeitlichen Verzögerung voneinander getrennte Teilpakete versendet werden, waren zu diesem Zeitpunkt erst ca. 5,8% der geplanten Benachrichtigungen (1838 von knapp 31677) versandt. Nach Abbruch des Prozesses wurden umgehend die Datenschutzbeauftragte der TU Berlin, der Leiter des Referats IA (Immatrikulation und Zulassung) sowie die tubIT-Leitung über den Vorfall informiert. Vorhandene Informationen über die Menge der bereits informierten Studierenden wurden gesichert und über die eigenen Kanäle (Webseiten TU Berlin, Webseite Rechenzentrum TU Berlin, twitter-Kanal der TU Berlin) sowie über die Presse zugänglich gemacht. Intern gab es (Stand Dienstag, 2.6.2015 13:00 Uhr) lediglich eine Anfrage eines Studierenden, ob er auch selbst betroffen sei. Sonst haben die Studierenden eher gelassen reagiert und zurückgeschrieben,dass sie die Daten gelöscht hätten.

Einschätzung der Situation

Es handelt sich zweifelsohne um eine selbstverursachten, auf fehlerhafter Programmierung und mangelnden Test zurückzuführenden Fehler, der zu Preisgabe von Datenschutz-relevanten Informationen geführt hat. Die Schwere de Datenschutz-Vorfalls festzustellen ist komplex und wird von den Datenschutzbeauftragten durchgeführt. Dies wird auch entscheidend, um arbeitsrechtliche Maßnahmen einzuleiten bzw. die Art dieser Maßnahmen zu bestimmen. Insbesondere geht es darum, ob es um Namen und Postanschrift um eine öffentlich verfügbare Information handelt, die man auch z.B. dasörtliche.de bekommt (natürlich viel mühseliger und keinesfalls vollständig). Die zusätzlich angeforderten Unterlagen sagen zum großen Teil nichts aus, allerdings sind Angaben wie Exmatrikulation, endgültig nicht bestanden (13 Personen) oder Fahrberechtigung SchbwG (1 Person) hoch-sensibel.

Die internen Abläufe wurden bereits angepasst. Es ist deutlich geworden, dass kein systemischer Fehler vorlagt, sondern ein Versagen einzelner Personen.

Für das Ansehen des Rechenzentrums und der Tu Berlin ist der Vorfall sehr schwerwiegend, da implizit mangelhafter Datenschutz unterstellt wird. In einer solchen Situation sind die Kanäle für eine objektive Bewertung der einwandfreien Leistung der vergangenen 10 Jahre nicht vorhanden, so dass derzeit lediglich an der Schadenbegrenzung gearbeitet wird.

Besonders gefährlich ist dabei die Vermischung von mehreren voneinander vollkommen unabhängigen Tatbeständen. So wird oft das noch einzuführende System SLM (System Lifecycle Management) erwähnt. Dieses System hat allerdings nichts mit dem aktuellen Vorfall zu tun, da

Technischer Hintergrund für den Datenschutzvorfall am 29.05.15.

Zur Realisierung der einzelnen Teilaufgaben wurde teilweise auf bereits existierende Verfahren und Programmteile zurückgegriffen. Auch das Versenden von individuellen Nachrichten an mehrere unterschiedliche Personen wurde ausführlich getestet und bereits in mehreren Prozessen des Rechenzentrums (u.a. Provisionierung, De-Provisionierung, Warnung bei bevorstehender Kontolöschung etc.) seit längerer Zeit erfolgreich eingesetzt Da diese Prozesse auch als Vorlage für das Rückmeldeinforamtionssystem gedient haben, wurde der Schwerpunkt der Testszenerien auf die neuen Teilaufgaben gelegt.

Insbesondere bei Punkt 1 und 2 wurden mehrere Testdurchläufe gestartet, deren Ergebnisse mit der zuständigen Fachabteilung zwecks möglichem Änderungsbedarf zurück gekoppelt wurden.

Anschließend wurde der Prozess als Ganzes zusammengeführt und getestet. Es hat sich nun herausgestellt, dass zwar Testszenarien mit unterschiedlichen Empfängern durchgespielt wurden, dabei aber immer nur eine E-Mail gleichzeitig verschickt wurde mit dem Ziel sicher zu gehen, dass eine Mail die korrekten Inhalte und gewünschten Formatierungen enthält. Da die Prozesse zum Massenversand grundsätzlich als funktionierend betrachtet wurden, wurde versäumt ein im Rahmen der Anpassungen nicht zurückgesetzter Zwischenspeicher (Variable) nicht entdeckt, der dazu führte, dass am Ende nicht nur die je Durchlauf individuell generierte E-Mail versendet wurde, sondern auch die Inhalte der zuvor versendeten Mails. Die hatte zur Folge, dass der erste Studierende lediglich den für ihn bestimmten Brief erhalten hat, während der letzte Studierende zusätzlich alle zuvor versendeten Briefe erhalten hat. Alle Studierenden dazwischen haben eine entsprechende Teilmenge der Daten erhalten.

Fester Bestandteil der Vorlage des Studierendenservice waren Vor- und Nachname sowie Postanschrift der zu informierenden Studierenden. Daher musste zu diesem Zeitpunkt davon ausgegangen werden, dass diese Information an bis zu 1838 unberechtigte Personen weitergegeben wurden. Neben diesem festen Bestandteilen enthält das Anschreiben zudem zwei optionale Felder, die bei der Generierung der E-Mail durch entsprechende Felder aus den Daten des Studierendenservice gefüllt werden. Laut Textvorlage handelt es sich dabei um für eine erfolgreiche Rückmeldung einzureichende Dokumente. Die Untersuchung der betroffenen Menge an Studierenden hat gezeigt, dass in 207 Fällen diese optionalen Felder gefüllt waren. Während bei 154 Studierenden die Vorlage des Bachelorabschlusses an der TU erbeten wurde, musste festgestellt werden, dass in 13 Fällen als vorzulegendes Dokument "Exm, endg. n. bestanden". angegeben war. Nach der Studierendenverwaltung erhalten diese Personen eine Rückmeldeinformation, da sie die Möglichkeit besitzen sich in einem anderen Studiengang einzuschreiben oder bereits in einem zweiten Studiengang eingeschrieben sind.

Zur weiteren Überprüfung und Durchspielen erweiterter Testszenerien wurde das Verfahren bisher nicht wieder in Betrieb genommen.

Nach Analyse des Programmcodes wurde der Fehler schnell gefunden und noch am Freitagabend behoben. zudem wurden die existierenden Testszenarien um den Test mit Beispielnachrichten an mehrere Empfänger innerhalb eines Tests erweitert.

Das neue Testszenario muss nun bei jedem Prozess, bei dem gleichzeitig mehrere E-Mails automatisch generiert und an unterschiedliche Personen gesendet werden, durchlaufen werden. Unabhängig, ob dabei auf bereist erfolgreich getestete Verfahren zurückgegriffen wird oder nicht. Hiermit soll verhindert werden, dass sich ein solcher Vorfall wiederholt.

Nachdem der Massenversand der Nachricht ausführlich getestet werden konnte, wird das Verfahren nach Rücksprache mit der Studierendenverwaltung im Laufe der Woche wieder aktiviert.