»Ab dem SS 2005 werden alle Studienleistungen nur noch in UK-Online erfasst und darüber verwaltet«, so heißt es auf der Internetseite des Englischen Seminars. Ihren bisherigen Studienverlauf sollten die StudentInnen eigentlich bis zum 1. März dieses Jahres nachgetragen haben. Bislang sind dieser Aufforderung nur rund vierzig Prozent der FachstudentInnen nachgekommen. »Kein Wunder. Bei den Fehlern, die im System und im Umgang damit bisher aufgetaucht sind, kann ich gut verstehen, wenn man seine Daten nicht eingeben will«, so Thomas Hemsley von der Fachschaft Anglistik.
Akuelles Beispiel: der Systemabsturz des Rechenzentrums im letzten Monat. Wenige Tage zuvor erstellte StudentInnenaccounts waren wieder nur über das Erstpasswort zugänglich, das bei uk-online aus dem Geburtsdatum besteht. Vergleichbare Systeme arbeiten stattdessen beispielsweise mit zufällig generierten Erstpasswörtern. Auch wurde niemand darüber informiert, dass eine mehrere Tage alte Version des Back-up nach dem Absturz wieder aufgespielt wurde. Möglicherweise glauben StudentInnen, immer noch für Blockseminare eingetragen zu sein, in denen sie inzwischen aber nicht mehr registriert sind.
Auch für eine neue Art der »Datenspionage« war das System bislang anfällig - die so genannten SQL-Injections. Dabei werden absichtlich Fehlermeldungen durch falsche Eingaben provoziert. Die Fehlermeldungen enthalten dann Bestandteile der Datenbankstruktur, mit deren Hilfe man sich problemlos in das System einschleichen und Daten verändern kann. »Ich glaube nicht, dass man wirklich etwas im System hätte ändern können. Das Problem ist aber inzwischen behoben«, so Horst Lohnstein, Erwickler und Administrator von uk-online.
Jedoch ist es immer noch für jedeN möglich eine Verbindung zwischen Namen und Matrikelnummer herzustellen. Denn die Matrikelnummer steht in der Form »matrikel=nnnnnnn« in der Adresszeile des Browsers. Auch bei den Suchergebnissen wird die Matrikelnummer in eckigen Klammern angezeigt. Dieses Problem ist dem Dekanat seit Januar bekannt. Hat man dann die Matrikelnummer, kann man über Google zum Beispiel entsprechende Prüfungsergebnisse auf den Webseiten der Kölner Universität nachschlagen. Und nach wie vor können StudentInnen, die eine Homepage einrichten, in den Accountfenstern nicht erkennen, welche Daten letztendlich auf der Seite auftauchen.
Welche Sicherheitslücken das System sonst noch aufweist, lässt nun auch Horst Lohnstein von professioneller Seite prüfen »Ich habe den Chaos Computer Club in Hamburg beauftragt, uk-online abzuklopfen«. In den vergangenen Jahren »spionierte« Lohnstein das System hauptsächlich mit Unterstützung anderer DozentInnen aus. Eine dieser Personen ist Professor Norbert Finzsch, dessen Kollegin Antonia Negri seine eigene Erfindung ist. »Frau Negri hat ein einziges Proseminar angemeldet. Und da sich einmal registrierte DozentInnen nicht wieder löschen lassen, weist ihr Lehrdeputat jetzt ein beachtliches Defizit auf«, so Finzsch.
In der Anglistik gab es noch keine Beschwerden über Datenschutzverstöße von StudentInnen. Ein mögliches Problemfeld hat man dort aber gekonnt umschifft, in dem man die StudentInnen ihren Studienverlauf selbst aktualisieren lässt. Die Einholung einer weiteren Einwilligung ist damit hinfällig. Sind die Daten erst mal eingetragen und vom Seminar überprüft, werden sie gesperrt und können nur vom Geschäftszimmer geändert werden. Da die Anmeldung zu Lehrveranstaltungen nur noch über uk-online möglich ist, hat man gleich alle für die Abrechnung von Studienkonten nötigen Daten zusammen.
Wie man vor diesem Hintergrund mit StudentInnen verfahren will, die an diesem System nicht teilnehmen wollen, ist unklar. »Wir versuchen das pragmatisch anzugehen. Bei Leuten, die vergleichsweise nah an der Prüfung stehen, ist das noch relativ unproblematisch. Schwieriger wird es bei Studenten, die in der neuen Lehrerprüfungsordnung eingeschrieben sind, weil da die Modulbescheinigungen über das System erstellt werden«, so Esther Fritsch vom Englischen Seminar. Inzwischen ist eine studentische Hilfskraft damit beschäftigt, die Daten derjenigen, die dem Aufruf des Seminars nicht nachgekommen sind, von der alten Kartei in uk-online zu übertragen.