Seminare von der Couch aus, Professoren als Youtuber – das Sommersemester 2020 scheint der Traum aller Studenten zu sein. Eine Schattenseite wird oft übersehen: Wie steht es mit der Sicherheit und der Transparenz von Videokonferenz-Programmen wie “Zoom”?
***
Die Diskussion über verschiedene Videokonferenzdienste lief in den letzten Wochen an den Universitäten im Zeitraffer ab. Nicht immer wurde und wird Studenten und Professoren dabei die Entscheidung für oder gegen ein Programm verständlich kommuniziert, obwohl es vieles zu beachten gilt: Das Programm muss seine Aufgaben fehlerfrei erfüllen, einfach zu bedienen sein und der Datenfluss immer nachvollziehbar bleiben. Letzteres ist nicht nur für Wissenschaftler wichtig, welche sich sorgen, dass ihre Forschung von einem Zwischenmann abgefangen werden könnte. Auch Studenten haben ein Interesse daran, da sie von der Universität abhängig sind: Setzt diese für die Teilnahme an einer Pflichtvorlesung die Installation eines Programms voraus, welches die Studenten überwachen könnte, so müssten sie sich dem beugen. Zudem muss eine Universität von externen Firmen unabhängig bleiben: Kontrolliert eine Firma oder eine Gruppe von Firmen kritische Teile der Infrastruktur, so kann sie dies mithilfe von teuren Lizenzen ausnutzen; bei Zeitschriftverlagen ist dies bereits Realität. Des Weiteren muss das Programm auch noch günstig sein und auf allen gängigen Betriebssystemen laufen. Doch kann ein Programm alle diese Ansprüche erfüllen?
Zwischen Transparenz und Professionalität
In der Praxis müssen die Universitäten zwischen zwei unterschiedlichen Konzeptionen eines Programms entscheiden: Bei quelloffenen Programmen (Open Source) ist der Programmcode für jeden einsehbar ist. Dies hat den Vorteil, dass jeder den Code herunterladen und seinen eigenen Bedürfnissen anpassen kann. Werden die Anpassungen der Öffentlichkeit zugänglich gemacht, so wird es für alle weiterentwickelt. Ein Nachteil ist jedoch, dass wenige fest angestellte Programmierer das Programm professionell weiterentwickeln; auch der Support erfolgt meistens auf Basis von Freiwilligenarbeit. Unter den Videokonferenzdiensten ist Jitsi-Meet ein solches Programm. Dieses kann kostenlos direkt in einem Browser wie zum Beispiel Firefox verwendet und sowohl über öffentlich zugängige Server als auch eigene Server betrieben werden. Die Jitsi-Community berichtet, dass Videokonferenzen mit bis zu 35 Teilnehmen möglich waren, dass aber auch technische Schwierigkeiten auftraten.
Demgegenüber stehen proprietäre Programme, deren Code nicht einsehbar ist. Hier müssen die Nutzer darauf vertrauen, dass die Betreiber verantwortungsvoll mit den Daten umgehen, ohne dies jedoch nachprüfen zu können, was oft zu Problemen führt. Außerdem müssen sie den Aussagen der Programmierer darüber glauben, was diese Programme auf den Computern genau tun. Dadurch, dass die Programme meist gegen Bezahlung angeboten werden, sind sie sehr einfach zu bedienen und bei Schwierigkeiten steht den Nutzern ein technischer Support zur Seite. Besonders nachgefragt ist aufgrund der einfachen Bedienung und hohen Leistungsstärke das Programm des amerikanischen Unternehmens Zoom, das die Möglichkeit bietet, Videokonferenzen mit bis zu 1000 Teilnehmern abzuhalten. Doch der Dienst steht auch in der Kritik, etwa wegen der Übermittlung von Daten an Facebook bei Nutzung der iOS App, der genutzten Verschlüsselung oder dem sog. Zoombombing, der Einwahl in Sitzungen durch Unberechtigte.
Das Unternehmen reagierte mit Stellungnahmen und Updates, in denen umstrittene Funktionen nicht mehr verfügbar waren. Inzwischen reichte ein Aktionär im amerikanischen Bundesstaat Kalifornia eine Sammelklage gegen Zoom ein, in welcher die Informationspolitik des Unternehmens im Fokus steht. Das Handelsblatt berichtet außerdem, dass das Auswärtige Amt die Nutzung von Zoom auf dienstlichen Geräten untersagt. Zudem gab es in der vergangenen Woche weitere Berichte über Sicherheitslücken.
Risiko wird auf Studenten verlagert
Wie gehen die Universitäten damit um, dass es auf der einen Seite ein Programm gibt, welches die Wissenschaftsfreiheit unterstützt und die Daten schützt, auf der anderen Seite aber eines, dass besser funktioniert? Die Antwort lautet: Sehr unterschiedlich. Die Universität Tübingen beispielsweise lässt keine klare Linie erkennen und verweist gleich auf fünf verschiedene Dienste, ohne deren Vor- und Nachteile zu erklären, was zu Verwirrung bei Studenten und Angestellten führt. Außerdem lassen sich nirgendwo, trotz der aktuell anhaltenden Debatte, Bedenken oder Überlegungen in Hinsicht auf Sicherheit und Datenschutz finden.
Auch die Universität Bonn und die RWTH Aachen, die beide hauptsächlich Zoom nutzen, äußern sich zwar zum Datenschutz, verweisen jedoch bei den Nutzungshinweisen des Programms durch den Datenschutzbeauftragten (Bonn) beziehungsweise der Anmeldung für eine Lizenz (Aachen) darauf, dass dies „ausschließlich auf freiwilliger Basis“ geschehe. Die RWTH Aachen schreibt sogar explizit, dass sie „keine Verantwortung für den vertraulichen Umgang Ihrer personenbezogenen Daten für fremde Dienste übernehm[e], da […] [sie] keinen Einfluss darauf hab[e], ob die Unternehmen die Datenschutzbestimmungen einhalten“. Einige Universitäten stellen ihren Studenten die Nutzung eines Dienstes also frei; diese werden jedoch durch das Lehrangebot ihrer Professoren faktisch zur Nutzung gezwungen.
Das sei ein unzulässiger Versuch, das Risiko des Datenmissbrauchs auf Studenten zu verlagern, erläutert der Landesdatenschutzbeauftragte von Baden-Württemberg Stefan Brink im Interview mit Radio Dreyeckland. Die Hochschulen müssten sicherstellen, dass der Datenschutz gewahrt bleibe. Den Professoren wird jedoch oft die Nutzung eines Videokonferenzdienstes von der Universität nahegelegt oder sie werden sogar dazu angewiesen. „Sollten […] Professoren der Meinung sein, dass eine Anweisung geltendem Recht widerspricht, haben sie zu remonstrieren, also sich an die jeweils unmittelbar vorgesetzten Person zu wenden und ihre Rechtsansicht zu schildern. Bleibt die Remonstration dort erfolglos, ist sie ggf. bei der nächsthöheren vorgesetzten Stelle fortzusetzen.“, erläutert die Pressestelle des Datenschutzbeauftragten Baden-Württembergs auf Anfrage. Ob Professoren dieser Verpflichtung in der Praxis nachkommen, ist aufgrund des hohen Aufwands und möglicher persönlicher Konsequenzen fraglich. Die Pressestelle des Bundesdatenschutzbeauftragen Ulrich Kelber rät: „(…) In Zweifelsfragen können sich Studierende [und Professoren] natürlich auch an den Datenschutzbeauftragten der Universität oder die zuständige Landesdatenschutzaufsichtsbehörde wenden.“
Auch die Formulierung der Universität Köln im Rahmen ihrer Datenschutzinformation zur Nutzung von Zoom stimmt nachdenklich: „Es sollten in der Regel keine Inhalte über Zoom ausgetauscht werden, die einen hohen Schutzbedarf haben oder streng vertraulich sind […]. Für den Austausch von schützenswerten Dateien zwischen Teilnehmenden sollten sichere Kanäle oder geschützte Fileserver genutzt werden.“ Diese und ähnliche Hinweise finden sich an zahlreichen Universitäten. Doch was gilt demnach als „schützenswert“? Nur Prüfungen oder „vertrauliche Abstimmungen“? Soll es den Studenten egal sein, wenn ihre „nicht schützenswerten“ Informationen eventuell von Fremden eingesehen werden können, da der Datenschutz durch Programme wie Zoom in der Vergangenheit nachweislich nicht eingehalten wurde und nicht garantiert werden kann?
Kein goldener Weg
Andere Universitäten zeigen jedoch: Auch wenn es keinen goldenen Weg gibt, so gibt es zumindest verschiedene silberne. Ein Beispiel ist die HU Berlin. Die von ihr angepasste Variante HU-Zoom ermöglicht es der Universität, „problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen“, so heißt es auf der Webseite. Dort wird außerdem auf die gesamte Diskussion um Sicherheitslücken bei Zoom eingegangen. Einen anderen Weg hat die Universität Heidelberg eingeschlagen, die auf ihrer Webseite klarstellt, dass primär asynchrone Lehre, wie beispielsweise die zeitversetzte Aufnahme und Ausstrahlung von Vorlesungen, stattfinden solle. Für Seminare oder kleinere Veranstaltungen stehe heiConf zur Verfügung: „Der Dienst wird an der Universität Heidelberg gehostet und betrieben, somit bleiben alle Daten in den Serverräumen der Universität.“ Eine klare Aussage in Anbetracht der aktuellen Diskussion.
Es gibt auch die Möglichkeit, beide Ansätze zu mischen. Die Universität Göttingen und die TU Dresden haben sich zum Beispiel dafür entschieden, sowohl Lizenzen für proprietäre Dienste zu kaufen als auch quelloffene Alternativen zu entwickeln, die auf eigenen Servern laufen.
Fazit
Obwohl das Internet aus den Universitäten heraus entstanden ist, drängt sich der Eindruck auf, dass diese mit den Entwicklungen der letzten zwanzig Jahre nicht mitgehalten haben. Die aktuelle Hektik, in der Lizenzen gekauft, Datenschutzinformationen hochgeladen und Programme getestet werden, ist dafür Beleg genug. Aber während einige erfreulicherweise das Beste aus der Sache machen, ist es beunruhigend zu sehen, wie sich andere nicht einmal an der Debatte beteiligen oder vollkommen überfordert sind. Nun stellen Programme wie Zoom auf kurze Sicht die beste Option dar. Dennoch hat die aktuelle Krise endgültig gezeigt: Die digitale Infrastruktur muss von den Universitäten entweder selbst entwickelt oder, wenn dies nicht möglich ist, die Unabhängigkeit und Freiheit der Forschenden, Lehrenden und Studierenden auf andere Art sichergestellt werden.