Veröffentlicht am

Warnung vor Eingabe geschützter Daten in Studiums-Apps (z.B. „UniNow“) von Drittanbietern

Warnung vor Eingabe geschützter Daten in Studiums-Apps (z.B. „UniNow“) von Drittanbietern

In letzter Zeit tauchen vermehrt Apps für mobile Geräte auf, die die Benutzungsrichtlinien für Informationsverarbeitungssysteme der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) verletzen und potentiell eine Gefahr für die Sicherheit personenbezogener Daten, der Infrastruktur, der Geräte und der Dienste darstellen. Ein Beispiel dafür ist die App „UniNow“, die für mobile Geräte mit Android oder iOS in den jeweiligen App-Stores angeboten wird und eine einfachere Organisation des Studiums und des Studienalltags verspricht.

Datensicherheit und Datenschutz

Diese und ähnliche Apps sind hinsichtlich Datensicherheit und Datenschutz als höchst bedenklich einzustufen, da die gesamte Kommunikation über gehostete Server des App-Anbieters (z.B. „UniNow GmbH“) erfolgt. Der App-Anbieter verarbeitet Zugangsdaten zu Diensten der Universität Erlangen-Nürnberg auf seinen eigenen Servern im Klartext, die damit wiederum Daten von den Servern der Universität Erlangen-Nürnberg (sog. Webscraping) abrufen können.

Bei diesem Datenabruf werden u.a. folgende personenbezogene Daten übermittelt:

  • Name der Hochschule
  • Name, Vorname
  • Immatrikulationsnummer
  • Studienfächer
  • Vorlesungen
  • Prüfungen und Noten
  • Zugangsdaten der Nutzerin oder des Nutzers für die Onlineservices der Hochschule, Bibliotheken und E-Mail-Versand/Empfang

Mit diesen Daten ist nicht nur der Zugriff auf Noten und weitere persönliche Informationen möglich. Vielmehr können im Namen der betroffenen Studierenden auch Adressänderungen und  Prüfungsanmeldungen bzw. -abmeldungen vorgenommen werden sowie alle weiteren Dienste genutzt werden, auf die mit den Zugangsdaten zugegriffen werden kann. Laut den App-eigenen Datenschutzbestimmungen willigt der Nutzer ausdrücklich in den Datenabruf bei seiner Hochschule bereits mit der Registrierung, spätestens aber mit Beginn der App-Nutzung ein.  Auch wenn wir den App-Anbietern selbst keine unlauteren Absichten unterstellen – die FAU kann nicht beurteilen, wie sicher die Handhabung der kritischen Daten beim App-Anbieter tatsächlich erfolgt. Damit besteht die Gefahr, dass die Daten bei einem Angriff auf die Server des App-Anbieters in unkontrollierbare Kanäle geraten und damit letzlich auch schwerwiegender Missbrauch getrieben werden kann. Für die betroffenen Studierenden und für die FAU kann in solch einem Fall unabsehbarer Schaden entstehen.

Weitergabe von Zugangsdaten an Dritte unzulässig

Nicht zuletzt aus diesen Gründen ist die Weitergabe von Zugangsdaten (IdM-Kennung, Passwort) an Dritte gemäß den IT-Benutzungsrichtlinien der FAU explizit verboten. Das Regionale Rechenzentrum Erlangen (RRZE), der IT-Dienstleister der FAU, behält sich in solch einem Fall die Sperrung weitergegebener Zugangsdaten (IdM-Kennung, Passwort) für Server der Universität vor.

So lange nicht eine unkritische Implementierung des Zugangs mit UniNow existiert und die Nutzung explizit durch die FAU freigeben wird, dürfen UniNow-Dienste, für die der Zugang über IdM-Kennung und Passwort erforderlich ist, nicht genutzt werden. Nutzer, die diese App verwenden oder verwendet haben, werden daher aufgefordert, ihre Zugangsdaten an der FAU umgehend zu ändern und diese App nicht mehr zu verwenden.

Kontakt

Dipl.-Inf. Marcel Ritter, Leiter Abt. Zentrale Systeme
marcel.ritter@fau.de