Ich studiere seit einiger Zeit an der Hochschule Karlsruhe für Technik und Wirtschaft (Achtung, hierbei handelt es sich nicht um das KIT). Heute musste ich mich das erste Mal für meine Hochschule schämen. Wie es dazu kam?

Am 4. April 2014 findet an der Hochschule die Lange Nacht der Mathematik statt. Dort soll unter anderem auch über Kryptographie gesprochen werden. Dazu wurde auch Constanze Kurz eingeladen, die einen spannenden Vortrag “Kryptographie nach Snowden” halten wollte. Viele haben sich auf den Vortrag gefreut: Constanze Kurz ist Sprecherin des Chaos Computer Clubs und unglaublich engagiert für den Datenschutz und auch im Rahmen des Überwachungsskandals.

Jetzt wurde Constanze Kurz offiziell wieder ausgeladen. Warum?

Am 29. Dezember 2013 wurde vom 30. Chaos Communication Congress (das große jährliche Treffen des CCC) eine Sicherheitslücke im Mailserver der Hochschule ausgenutzt. Auf Grund von fehlendem SMTP-AUTH wurden Liebesbotschaften von falschen Absendern versendet. Die Details sind in diesem Blogpost aber schon sehr schön zusammengefasst. Der fehlende SMTP-AUTH ist der Hochschule schon lange vorher bekannt gewesen. Es wurde aber nie etwas unternommen.

Viele an der Hochschule waren sehr aufgebracht über die falschen Liebesbotschaften. Viele haben sie für echt gehalten und entsprechend geantwortet. Viele sahen sich mit Liebesbotschaften von Professoren konfrontiert. Hier muss man sagen: Absolut verständlich, dass hier irgendwann der Spaß aufhört.

Schonender wäre gewesen entweder eine “neutrale” Mail an alle zu senden oder sich direkt an die Hochschule zu wenden. Nicht beantworten können wir die Frage, ob das gereicht hätte die Hochschule davon zu überzeugen dieses Mal wirklich etwas zu tun, um dieses Problem mit dem Mailserver zu lösen.

Die Welle der Beschwerden auf Grund der Liebesbotschaften war nun jedenfalls groß genug, um die Hochschule davon zu überzeugen ein neues Mailsystem in Angriff zu nehmen. Wohl haben nun auch einige der Mailempfänger gelernt, dass man nicht jeder Mail trauen sollte, die im eigenen Postfach landet.

Statt nun an der Hochschule eine gesonderte Veranstaltung zur Sicherheit von Mailservern und zum Umgang mit Sicherheitslücken für Studierende zu organisieren, wurde gegen den unbekannten Täter Stafanzeige erstattet und Constanze Kurz ausgeladen (Schreiben der Hochschule an Constanze Kurz).

Begründung für die Ausladung:

Vorträge von Vertretern des Chaos Computer Clubs könnten von der Hochschulöffentlichkeit als unpassend empfunden werden

Zudem stellt man fest:

Uns wurde von der Polizei mitgeteilt, dass der CCC nicht in der Lage oder nicht imstande ist, die Identität des Täters zu nennen, obwohl das Netzwerk von ihm bereitgestellt worden war.

Der CCC tritt auf dem Congress für viele tausend Besucher als Internet Provider auf. Internet Provider sind nicht dafür verantwortlich, was Nutzer im Netz treiben, so lange sie nicht explizit über eine Abuse-Meldung darauf hingewiesen wurden. Daher loggt der CCC auf dem Congress keine Verbindungen und agiert nur im konkreten Beschwerdefall. Dafür ist es nun aber zu spät.

Natürlich hätte sich der CCC dafür entschuldigen können, dass von seinem Netz aus diese Mails versendet wurden. Allerdings glaube ich kaum, dass es möglich ist bei knapp 10.000 Besuchern noch den Überblick zu behalten.

Warum ist das schade?

Constanze Kurz spielt eine wichtige Rolle im Kampf gegen den Überwachungsskandal und könnte den Studierenden in ihrem Vortrag viel vermitteln.

Viele Studierende haben mit der Sicherheitslücke im Mailserver und mit dem CCC nichts zu tun und müssen nun trotzdem darunter leiden, dass Constanze Kurz ausgeladen wurde.

In diesem Zusammenhang möchte ich gerne noch auf den offenen Brief von Tim Roes verweisen, der sich direkt an die Hochschule wendet:

Sehr geehrtes Rektorat und sehr geehrte Kanzlerin,

seit ca. einem Jahr habe ich nun mein Studium an der Hochschule mit einem Master im Fachbereich Informatik beendet. Ich habe mich während meines Studiums immer stark für die Hochschule eingesetzt (in Form von einer Studiums langen Fachschaftsarbeit, mehrfaches Mitglied im Fakultätsrat, u.ä.). Daraus ist auch nach meinem Studium eine Loyalität und Verbundenheit zur Hochschule geblieben, dass ich immer gerne Studiensuchenden die Hochschule als idealen Studienort vorstelle, Kontakte zur aktuellen Fachschaft pflege und gerne an Veranstaltungen der Hochschule weiter teilnehme.

Eine dieser Veranstaltungen, die bisher immer sehr interessant war, ist die Lange Nacht der Mathematik. Um so mehr erfreute es mich zu sehen, dass für die diesjährige Veranstaltung mit Frau Constanze Kurz eine sowohl sehr passende und populäre als auch (wie jeder der schon mal einen Vortrag von ihr genießen konnte, bestätigen wird) großartige Rednerin gewonnen werden konnte - einen richtigen “Gast-Star” also.

Umso schockierender war es, als ich heute aus meinen immer noch starken Kontakten zur Hochschule, erfahren habe, dass Frau Constanze Kurz nun angeblich auf Grund eines Senatsbeschlusses und Wunsch des Rektorates (so meine Informationen) ausgeladen wurden. Sollten diese Gründe falsch sein, ist der Slot im Programmplan jedoch nun leer, was die Ausladung zu bestätigen scheint.

Vermutlich - so wird sich zumindest erzählt - liegen die Gründe dafür in der “Liebesmail”-Affäre von Dezember. Ich bin über die Situation dieser Affäre bezüglich weitestgehend informiert, da u.a. ich einer der Initiatoren des sieben seitigen Kritikschreibens an das IZ vor einigen Jahren gewesen bin, in welchem die entsprechende “Softwarelücke” bereits angeprangert wurde - mit der Reaktion des IZ, es bitte nicht an die große Glocke zu hängen. Ich bin mir nicht sicher, ob Frau Kurz über diesen Vorfall überhaupt Bescheid weiß. Eine Person auszuladen, welche sich auf einer gleichen Veranstaltung befand, von der aus eine “Sicherheitslücke” (auch wenn ich bei derart grundlegender und wissentlichen Konfigurationen das Wort “Sicherheitslücke” als nicht angemessen finde) der Hochschulinfrastruktur ausgenutzt wurde, nur mit dem Begriff Sippenhaft zu beschreiben ist. Ebenso könnte man alle dort anwesenden Studenten (was aus meiner Erfahrung nach nicht nur eine handvoll sind) von der Hochschule exmatrikulieren.

Ebenso habe ich Argumente gehört, dass polizeiliche Ermittlungen dahingehen, dass die CCC-Infrastruktur dafür genutzt wurde, so ist sie dennoch kein zwingender Bestandteil gewesen, da jede andere Verbindung hierfür ebenso genügt hätte.

Eine solche “Star-Gastrednerin” wegen einer bekannten Lücke (über die ich auch bereits mehrfach Gespräche mit unterschiedlichen IZ-Leitern hatte) auszuladen, obwohl sie augenscheinlich keine direkte Verbindung dazu hat, verändert mein Bild der Hochschule doch in einer Art und Weise, dass ich in Zukunft sehr viel bedachter mit Empfehlungen und Lob zu selbiger umgehen werde, da ich persönlich kein Freund vom erneuten Aufleben antiquierter Rechtsprechung bin.

Mit freundlichen Grüßen Tim Roes

// ehemaliger Informatik-Student der Hochschule 2008 bis 2013

// ehemaliges Fachschaftsmitglied der Fachschaft Informatik (2008 bis 2013)

// ehemaliges Fakultätsratsmitglied (2010 bis 2012)

Update 15 Uhr:

Wer sich wundert, warum das Schreiben an Constanze Kurz auf Montag den 17.02.2014 datiert ist: Das Schreiben wurde der Fachschaft als Antwort auf den offenen Brief von Tim Roes so übermittelt. Ob das Schreiben schon an Constanze Kurz versendet wurde, lässt sich nicht ermitteln. Aus dem Programm wurde sie jedenfalls schon ersatzlos gestrichen (siehe 20 Uhr Slot). Im Google Cache lässt sich ihr Vortrag noch finden.

Update 17.02. 10 Uhr:

Auch Golem berichtet und fasst den Vorfall schön zusammen.

Zudem habe ich oben einen Hinweis hinzugefügt, dass es sich nicht um das KIT handelt, da das wohl einige missverstanden haben.

Update 5.3.

Die Lange Nacht der Mathematik wurde abgesagt.

Außerdem:

Update 6.3.

Weitere Artikel