Blogseminar

Blogseminar

Diskutiert werden das Leben der Studierenden, aktuelle Fragen der Hochschulpolitik sowie die Zweiheit von Forschung und Lehre.

Auf eigenes Risiko?

| 9 Lesermeinungen

Seminare von der Couch aus, Professoren als Youtuber – das Sommersemester 2020 scheint der Traum aller Studenten zu sein. Eine Schattenseite wird oft übersehen: Wie steht es mit der Sicherheit und der Transparenz von Videokonferenz-Programmen wie „Zoom“?

***

Hat sich an vielen Hochschulen als Videokonferenz-Programm durchgesetzt: Zoom

Die Diskussion über verschiedene Videokonferenzdienste lief in den letzten Wochen an den Universitäten im Zeitraffer ab. Nicht immer wurde und wird Studenten und Professoren dabei die Entscheidung für oder gegen ein Programm verständlich kommuniziert, obwohl es vieles zu beachten gilt: Das Programm muss seine Aufgaben fehlerfrei erfüllen, einfach zu bedienen sein und der Datenfluss immer nachvollziehbar bleiben. Letzteres ist nicht nur für Wissenschaftler wichtig, welche sich sorgen, dass ihre Forschung von einem Zwischenmann abgefangen werden könnte. Auch Studenten haben ein Interesse daran, da sie von der Universität abhängig sind: Setzt diese für die Teilnahme an einer Pflichtvorlesung die Installation eines Programms voraus, welches die Studenten überwachen könnte, so müssten sie sich dem beugen. Zudem muss eine Universität von externen Firmen unabhängig bleiben: Kontrolliert eine Firma oder eine Gruppe von Firmen kritische Teile der Infrastruktur, so kann sie dies mithilfe von teuren Lizenzen ausnutzen; bei Zeitschriftverlagen ist dies bereits Realität. Des Weiteren muss das Programm auch noch günstig sein und auf allen gängigen Betriebssystemen laufen. Doch kann ein Programm alle diese Ansprüche erfüllen?

Zwischen Transparenz und Professionalität

In der Praxis müssen die Universitäten zwischen zwei unterschiedlichen Konzeptionen eines Programms entscheiden: Bei quelloffenen Programmen (Open Source) ist der Programmcode für jeden einsehbar ist. Dies hat den Vorteil, dass jeder den Code herunterladen und seinen eigenen Bedürfnissen anpassen kann. Werden die Anpassungen der Öffentlichkeit zugänglich gemacht, so wird es für alle weiterentwickelt. Ein Nachteil ist jedoch, dass wenige fest angestellte Programmierer das Programm professionell weiterentwickeln; auch der Support erfolgt meistens auf Basis von Freiwilligenarbeit. Unter den Videokonferenzdiensten ist Jitsi-Meet ein solches Programm. Dieses kann kostenlos direkt in einem Browser wie zum Beispiel Firefox verwendet und sowohl über öffentlich zugängige Server als auch eigene Server betrieben werden. Die Jitsi-Community berichtet, dass Videokonferenzen mit bis zu 35 Teilnehmen möglich waren, dass aber auch technische Schwierigkeiten auftraten.

Demgegenüber stehen proprietäre Programme, deren Code nicht einsehbar ist. Hier müssen die Nutzer darauf vertrauen, dass die Betreiber verantwortungsvoll mit den Daten umgehen, ohne dies jedoch nachprüfen zu können, was oft zu Problemen führt. Außerdem müssen sie den Aussagen der Programmierer darüber glauben, was diese Programme auf den Computern genau tun. Dadurch, dass die Programme meist gegen Bezahlung angeboten werden, sind sie sehr einfach zu bedienen und bei Schwierigkeiten steht den Nutzern ein technischer Support zur Seite. Besonders nachgefragt ist aufgrund der einfachen Bedienung und hohen Leistungsstärke das Programm des amerikanischen Unternehmens Zoom, das die Möglichkeit bietet, Videokonferenzen mit bis zu 1000 Teilnehmern abzuhalten. Doch der Dienst steht auch in der Kritik, etwa wegen der Übermittlung von Daten an Facebook bei Nutzung der iOS App, der genutzten Verschlüsselung oder dem sog. Zoombombing, der Einwahl in Sitzungen durch Unberechtigte.

Das Unternehmen reagierte mit Stellungnahmen und Updates, in denen umstrittene Funktionen nicht mehr verfügbar waren. Inzwischen reichte ein Aktionär im amerikanischen Bundesstaat Kalifornia eine Sammelklage gegen Zoom ein, in welcher die Informationspolitik des Unternehmens im Fokus steht. Das Handelsblatt berichtet außerdem, dass das Auswärtige Amt die Nutzung von Zoom auf dienstlichen Geräten untersagt. Zudem gab es in der vergangenen Woche weitere Berichte über Sicherheitslücken.

Risiko wird auf Studenten verlagert

Wie gehen die Universitäten damit um, dass es auf der einen Seite ein Programm gibt, welches die Wissenschaftsfreiheit unterstützt und die Daten schützt, auf der anderen Seite aber eines, dass besser funktioniert? Die Antwort lautet: Sehr unterschiedlich. Die Universität Tübingen beispielsweise lässt keine klare Linie erkennen und verweist gleich auf fünf verschiedene Dienste, ohne deren Vor- und Nachteile zu erklären, was zu Verwirrung bei Studenten und Angestellten führt. Außerdem lassen sich nirgendwo, trotz der aktuell anhaltenden Debatte, Bedenken oder Überlegungen in Hinsicht auf Sicherheit und Datenschutz finden. 

Auch die Universität Bonn und die RWTH Aachen, die beide hauptsächlich Zoom nutzen, äußern sich zwar zum Datenschutz, verweisen jedoch bei den Nutzungshinweisen des Programms durch den Datenschutzbeauftragten (Bonn) beziehungsweise der Anmeldung für eine Lizenz (Aachen) darauf, dass dies „ausschließlich auf freiwilliger Basis“ geschehe. Die RWTH Aachen schreibt sogar explizit, dass sie „keine Verantwortung für den vertraulichen Umgang Ihrer personenbezogenen Daten für fremde Dienste übernehm[e], da […] [sie] keinen Einfluss darauf hab[e], ob die Unternehmen die Datenschutzbestimmungen einhalten“. Einige Universitäten stellen ihren Studenten die Nutzung eines Dienstes also frei; diese werden jedoch durch das Lehrangebot ihrer Professoren faktisch zur Nutzung gezwungen.

Das sei ein unzulässiger Versuch, das Risiko des Datenmissbrauchs auf Studenten zu verlagern, erläutert der Landesdatenschutzbeauftragte von Baden-Württemberg Stefan Brink im Interview mit Radio Dreyeckland. Die Hochschulen müssten sicherstellen, dass der Datenschutz gewahrt bleibe. Den Professoren wird jedoch oft die Nutzung eines Videokonferenzdienstes von der Universität nahegelegt oder sie werden sogar dazu angewiesen. „Sollten […] Professoren der Meinung sein, dass eine Anweisung geltendem Recht widerspricht, haben sie zu remonstrieren, also sich an die jeweils unmittelbar vorgesetzten Person zu wenden und ihre Rechtsansicht zu schildern. Bleibt die Remonstration dort erfolglos, ist sie ggf. bei der nächsthöheren vorgesetzten Stelle fortzusetzen.“, erläutert die Pressestelle des Datenschutzbeauftragten Baden-Württembergs auf Anfrage. Ob Professoren dieser Verpflichtung in der Praxis nachkommen, ist aufgrund des hohen Aufwands und möglicher persönlicher Konsequenzen fraglich. Die Pressestelle des Bundesdatenschutzbeauftragen Ulrich Kelber rät: „(…) In Zweifelsfragen können sich Studierende [und Professoren] natürlich auch an den Datenschutzbeauftragten der Universität oder die zuständige Landesdatenschutzaufsichtsbehörde wenden.“

Auch die Formulierung der Universität Köln im Rahmen ihrer Datenschutzinformation zur Nutzung von Zoom stimmt nachdenklich: „Es sollten in der Regel keine Inhalte über Zoom ausgetauscht werden, die einen hohen Schutzbedarf haben oder streng vertraulich sind […]. Für den Austausch von schützenswerten Dateien zwischen Teilnehmenden sollten sichere Kanäle oder geschützte Fileserver genutzt werden.“ Diese und ähnliche Hinweise finden sich an zahlreichen Universitäten. Doch was gilt demnach als „schützenswert“? Nur Prüfungen oder „vertrauliche Abstimmungen“? Soll es den Studenten egal sein, wenn ihre „nicht schützenswerten“ Informationen eventuell von Fremden eingesehen werden können, da der Datenschutz durch Programme wie Zoom in der Vergangenheit nachweislich nicht eingehalten wurde und nicht garantiert werden kann? 

Kein goldener Weg

Andere Universitäten zeigen jedoch: Auch wenn es keinen goldenen Weg gibt, so gibt es zumindest verschiedene silberne. Ein Beispiel ist die HU Berlin. Die von ihr angepasste Variante HU-Zoom ermöglicht es der Universität, „problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen“, so heißt es auf der Webseite. Dort wird außerdem auf die gesamte Diskussion um Sicherheitslücken bei Zoom eingegangen. Einen anderen Weg hat die Universität Heidelberg eingeschlagen, die auf ihrer Webseite klarstellt, dass primär asynchrone Lehre, wie beispielsweise die zeitversetzte Aufnahme und Ausstrahlung von Vorlesungen, stattfinden solle. Für Seminare oder kleinere Veranstaltungen stehe heiConf zur Verfügung: „Der Dienst wird an der Universität Heidelberg gehostet und betrieben, somit bleiben alle Daten in den Serverräumen der Universität.“ Eine klare Aussage in Anbetracht der aktuellen Diskussion.

Es gibt auch die Möglichkeit, beide Ansätze zu mischen. Die Universität Göttingen und die TU Dresden haben sich zum Beispiel dafür entschieden, sowohl Lizenzen für proprietäre Dienste zu kaufen als auch quelloffene Alternativen zu entwickeln, die auf eigenen Servern laufen.

Fazit

Obwohl das Internet aus den Universitäten heraus entstanden ist, drängt sich der Eindruck auf, dass diese mit den Entwicklungen der letzten zwanzig Jahre nicht mitgehalten haben. Die aktuelle Hektik, in der Lizenzen gekauft, Datenschutzinformationen hochgeladen und Programme getestet werden, ist dafür Beleg genug. Aber während einige erfreulicherweise das Beste aus der Sache machen, ist es beunruhigend zu sehen, wie sich andere nicht einmal an der Debatte beteiligen oder vollkommen überfordert sind. Nun stellen Programme wie Zoom auf kurze Sicht die beste Option dar. Dennoch hat die aktuelle Krise endgültig gezeigt: Die digitale Infrastruktur muss von den Universitäten entweder selbst entwickelt oder, wenn dies nicht möglich ist, die Unabhängigkeit und Freiheit der Forschenden, Lehrenden und Studierenden auf andere Art sichergestellt werden.


9 Lesermeinungen

  1. deutsche Alternative
    Wie wäre es mit alfaview als deutsche Alternative? Leider nicht so bekannt

  2. Schützenswerte Inhalte
    Ich finde auch gut, dass man sich jetzt wegen des Erfolgs Zoom genauer anschaut — und die Firma die Kritikpunkte ja auch adressiert.

    Aber tatsächlich treffen die Argumente ja auf viele Hard- und Softwaresysteme zu. Selbst mein iPhone hat zur Zeit ein dickes Einfallsloch in der Mail-App! Man sollte einfach mal unterscheiden zwischen Vorlesungen, die zwar nicht öffentlich sind, aber in denen auch keine Geheimnisse weiter gegeben werden und deren Relevanz vom Datenschutz her doch eher gering sind.

    Natürlich sollten bei Prüfungen und vertrauliche Treffen nur extra abgesicherte Systeme, die auf den eigenen Servern laufen, benutzt werden. Leider sind die einfach weniger perfomant, d.h. sie schwächeln meist bei >10 Teilnehmern, sind für Vorlesungen also nicht brauchbar.

  3. Titel eingeben
    Natürlich schützt ein Tool, das es einem schwer macht, Daten zu übermitteln, die nicht übermittelnden Daten besonders gut. Es hilft aber nicht bei der Arbeit

  4. Online ist nicht immer ein Traum
    Ich bin selbst noch Student. Ich beführworte zwar ein digitales „Back-Up“ für die Lehre an Universitäten. Jedoch fehlen mir doch zu einem gewissen Mass die Präsenz-Veranstaltungen. Erschwerend kommt hinzu, dass die einzelnen Dozenten z.T. auf ganz unterschiedliche Video-lösungen setzen und dadurch für die Studirenden ein Flickenteppich von Lösungen entsteht.

  5. Risiko liegt auch bei den Dozenten
    Das Risiko wird nicht nur auf die Studenten, sondern besonders auch auf die freiberuflichen Dozenten verlagert. Diese nutzen im Gegensatz zu Angestellten der Universitäten ihre eigenen Computer und gehen damit auch Sicherheitsrisiken ein; im Schadensfall bleiben sie auf den Kosten sitzen.
    Warum wohl ist bei Unternehmen, die schon lange den Umgang mit schützenswerten und sicherheitskritischen Daten gewohnt sind, bereits der Zugang zur zoom-Homepage gesperrt und man nutzt andere Konferenzprogramme?

  6. Zoom unsicherer als?
    Also die genannten Kritikpunkte bezgl. Datenschutz gelten doch für so ziemlich alle Messenger oder Konferenz Dienste. Oder ist klar, dass WhatsApp, Skype, Messenger, Viber und Co. sicherer sind? Und vor allem wie ist Sicherheit definiert? Das Daten nicht über ausländische Server gehen? Das deren Quellcode nicht einsehbar ist? Grundsätzlich gilt doch, dass keine vertraulichen Daten in Systeme gehören, deren Datenstrom und Verschlüsselung man nicht selbst unter Kontrolle hat. Letztlich bleibt es immer eine eigenverantwortliche Abwägung von Risiko und Nutzen für den jeweiligen Zweck.

    • Sicherer als Zooom
      Nextcloud Talk – bei bis 4 Teilnehmern

      Jitsi Meet – bei Telinehmerzahlen bis 15pax

      Mumble – bei >15

      und als Wissensablage ein Etherpad.
      Fertig ist der Lack.

  7. IT Freelancer
    Die Medien-Hysterie in punkto Zoom zeugt nur von solider Uninformiertheit. Das Facebook Open-Graph API, das die Zoom-Entwickler ein bisschen unbedarft eingesetzt haben wird auf allen möglichen Web-Seiten eingebunden (z.B. Welt, Spiegel). Zoom geht gerade ein bisschen unfreiwillig durch den open source-typischen review und Härtungsprozess und ist gerade deswegen zu empfehlen!

    • Titel eingeben
      Und wie genau soll dieser „open-source typische review und härtungsprozess“ ablaufen, wo doch Zoom nicht open-source ist? Das ist nicht möglich!

Kommentare sind deaktiviert.