Zahlreiche Studierende bekamen in der Woche vor dem Sommersemester E-Mails von ihren DozentInnen. Statt Hinweisen zu ihrem Studium lasen sie darin: »Ihr seid Teil des Hack-UK-Online-Systems«. Unterzeichnet war die E-Mail mit »Aktionsgruppe Militanz«. Die »Aktionsgruppe« hatte sich Zugang zu den Accounts einiger DozentInnen verschafft und darüber die E-Mails versandt. UK-Online, das Datenverwaltungssystem der Kölner Universität, steht bereits seit längerem aufgrund von Sicherheitslücken in der Kritik (siehe philtrat nr. 66). »Die Aktion hat Mängel aufgedeckt«, sagt die Vorsitzende des Kölner AStA Kristina Klein. »Jetzt muss man sich nochmal mit dem System beschäftigen.«
Mit UK-Online erfassen und verwalten einige Fakultäten die Leistungen der Studierenden. Viele Vorlesungsverzeichnisse finden sich nur noch in UK-Online, und Studierende müssen das System nutzen, um sich für Seminare anzumelden. Der Universitätsverwaltung dient UK-Online zur Abrechnung der Studienkonten. Von der Aktion betroffen waren nach Aussagen der Universität die Accounts von zwei Professoren, die unsichere Passwörter verwendet hatten. Mehrere DozentInnen-Zugänge wurden nach missglückten Einloggversuchen automatisch gesperrt. Daraufhin stoppte die Universität das ganze System für einige Tage.
»Das wird überall passieren, wo jemand schlampig mit seinen Passwörtern umgeht«, sagt Horst Lohnstein, der Entwickler und Systemadministrator von UK-Online. »Ich halte das System nach wie vor für sicher und von außen nicht zu hacken.« Auch der Datenschutzbeauftragte der Kölner Universität, Alexander May, will das System nicht in Frage stellen. »Hier ist eine Sensibilisierung der Benutzer selbst geboten, das ist der beste Passwortschutz.«
Die BenutzerInnen konnten ihre Passwörter in UK-Online bisher frei wählen, ohne bestimmte Sicherheitsanforderungen erfüllen zu müssen. »Wir haben jetzt eingebaut, dass Passwörter eine gewisse Komplexität haben müssen«, sagt Lohnstein. Studierende und Hochschulgruppen hatten die Datensicherheit von UK-Online schon seit einiger Zeit als unzureichend bemängelt. So war es möglich, über das System Namen und Matrikelnummern einander zuzuordnen und über die Matrikelnummer anonymisierte Prüfungsergebnisse einzusehen.
In Bochum und Aachen sind ähnliche Systeme zur Datenverarbeitung im Einsatz. An der Bochumer Ruhr-Universität wird die Sicherheit des Systems durch eine Chipkarte mit PIN garantiert. »Sobald Noten darinstehen, ist ein höherer Sicherheitsaufwand nötig«, sagt der Sprecher der Enwicklerfirma CAS Jörn Eisenbiegle. Auch in UK-Online werden die Prüfungsergebnisse der Studierenden erfasst.