Corona hat auch den Bildungsbereich fest im Griff. Während Schulen mit aller Kraft geöffnet bleiben sollen, setzen Hochschulen zunehmend auf Fernlehre. Das allerdings stellt sie vor große Herausforderungen, zum Beispiel bei den Klausuren. Wie kann deren ordnungsgemäße Verlauf sichergestellt werden?
Für eine ganze Reihe Hochschulen heißt die Lösung: Online mit Aufpasser. Sie setzen spezielle Systeme ein, die die Studierenden bei der Klausur überwachen. Erlaubt ist das explizit in Nordrhein-Westfalen und Bayern per Verordnung. Auch Berlin bereitet eine entsprechende Anweisung des Senates vor. Die Studierenden müssen sich also eine Überwachungssoftware auf Ihren Computer installieren, deren Konformität mit dem Datenschutz und Grundregeln der IT-Sicherheit auf jeden Fall zu hinterfragen ist.
Verschieden Möglichkeiten der Online-Überwachung
Manfred Kloiber: Jan Rähm, ist denn eigentlich die fernüberwachte Online-Klausur die einzige Möglichkeit für eine Internet-gestützte Prüfung?
Jan Rähm: Natürlich nicht, sie könnten ja eine sogenannte "Open Book"-Prüfung durchführen, bei der dürfe sie als Studierender jegliche Materialien benutzen, inklusive der Online-Suche. Sie müssen eben zeigen, dass sie das Thema verstanden haben. Oder sie führen die Klausur ganz ohne Überwachung durch – dann zeigen sie volles Vertrauen in ihre Studierenden, was aber eher die Ausnahme sein dürfte.
Es gibt die Möglichkeit, das ganze einfach überwacht durchzuführen, zum Beispiel über eine Onlinekonferenz-Software, wo dann Ton und Video einfach nur dem Aufpasser gezeigt wird, oder voll überwacht über ganz spezielle Lösungen - und die haben es in sich. Denn nach uns vorliegenden Informationen nutzen diese Lösungen weitreichende Überwachung, zum Beispiel per Browser-Plugin. Gesammelt wird: das Kamerabild, der Ton, offene Browser-Tabs und Fenster, andere Anwendungen, Bildschirminhalt, Zwischenablage, Standort, laufende Prozesse und einiges mehr.
Wobei wir nach Lektüre der Browser-Schnittstellenbeschreibung nicht ganz sicher bin, ob denn wirklich all diese Informationen auf die Weise erhoben werden können. Sicher ist jedoch: Es wird umfassend überwacht. Zumindest einigen Studierenden und Universitätsmitarbeitern missfällt das massiv. Zudem ist eine solche Überwachung unter Aspekten der Systemintegrität, des Datenschutzes sowie der Privatsphäre zumindest diskussionswürdig.
Überwachung wird als unangenehm empfunden
Kloiber: Deshalb haben wir betroffene und Datenschützer dazu befragt, wie es bei solchen Lösungen um den Datenschutz steht und ob sie mit der EU-Datenschutzgrundverordnung vereinbar sind?
"Man ist in den virtuellen Raum gekommen. Und dann ist man gebeten worden, seinen Personalausweis bereitzuhalten und ihn einmal in die Webcam zu halten. Dann wurden fünf Aufnahmen von einem selber mit dem Personalausweis aufgenommen. Dann musste man noch einmal quasi eine Vereinbarung unterzeichnet, dass man diese Klausur jetzt tatsächlich selber ablegt", erzählt Leonard Wolf, Student an einer deutschen Fernhochschule.
In diesem Jahr hat er erstmals eine Klausur online geschrieben. Die Überwachung dabei durch eine spezielle Software war ihm ziemlich unangenehm: "Und dann kam man an den Punkt der tatsächlich, wo ich dann auch schon merkte, dass ich mich damit eigentlich gar nicht mal so wohlfühle, wo man seine Prüfungsumgebung zeigen musste."
Softwareanbieter versprechen Datenschutz
Besonders unangenehm an diesen Online-Aufseher – Proctoring genannt - ist, dass die aufgezeichneten Daten je nach Software in weltweiten Clouds landen und dort auch verarbeitet werden. So setzt beispielsweise die automatische Betrugserkennung auf Bild- und Tonanalysen, die in verteilten Rechenzentren ausgeführt werden. Doch zumindest für in der EU eingesetzte Lösungen versichern die Anbieter, die Datenschutzgrundverordnung einzuhalten und keinerlei Daten außerhalb europäischer Rechenzentren zu verarbeiten oder zu speichern.
Thomas Fetsch ist Area-Manager Deutschland für die Aufsichtslösung Proctorio. Zwar würde sein Unternehmen mit Microsoft Azure auf einen US-amerikanischen Cloudanbieter setzen, aber man habe umfassende Vorkehrungen für den Schutz der Daten getroffen und würde nur Rechenzentren innerhalb der EU nutzen:
"Alle Daten sind von vornherein komplett Ende-zu-Ende-verschlüsselt. Das heißt, der Schlüssel für die Daten, die zu jeder Zeit verschlüsselt sind, auch wenn sie erhoben werden, werden sie sofort verschlüsselt und entsprechend auf einer Cloud Infrastruktur bei Microsoft Azure abgelegt. Aber wir wissen zu keinem Zeitpunkt, wer die betreffende Person ist."
Es werde lediglich eine ID pro Studentin oder Student erzeugt. Dadurch könnten die Daten ausschließlich über das eingesetzte Lern-Managementsystem der Hochschule abgerufen werden. Dieser Ansatz sei mit der DSGVO vereinbar, meint der bayrische Landesbeauftragte für den Datenschutz, Thomas Petri. Allerdings nur solange die Überwachung im Rahmen der Bayerischen Fernprüfungserprobungsverordnung bleibe.
Widerstand gegen Online-Überwachung
Nicht erlaubt ist in Bayern aber beispielsweise das umfassende Filmen der Umgebung von Studierenden. Auch dürfen die aufgezeichneten Daten nicht ins Nicht-EU-Ausland übermittelt werden. Und sie dürfen nur solange gespeichert werden, wie es technisch unbedingt nötig ist. Auch die automatisierte Überwachung ist nicht zulässig. Das muss in Bayern das Hochschulpersonal selbst übernehmen. Wobei die Software Überwachende durchaus warnen darf.
Petri: "Der Punkt ist: Wird das Persönlichkeitsrecht bei dieser Form, die jetzt vorgesehen ist, wird das Persönlichkeitsrecht der Studierenden hinreichend beachtet? Und da denke ich schon, dass die Verordnung doch im Wesentlichen das Persönlichkeitsrecht der Betroffenen respektiert."
Und doch regt sich Widerstand gegen die Überwachungslösungen. Beispiel Kanada: Dort forscht Ian Linkletter an der University of British Columbia zu Lerntechnologien. Er sieht Proctoring-Software äußert kritisch, weil sie oft intransparent arbeitete. Deshalb nennt er sie: Akademische Überwachungs-Software.
Problem mangelnde Transparenz
Besonders die Lösung Proctorio untersuchte er kritisch. Dafür teilte er – seiner Meinung nach – öffentlich zugängliche Materialien des Herstellers unter anderem in sozialen Netzen. Der hat nun Klage erhoben. "Es ist nicht nur eine Klage gegen die Beteiligung der Öffentlichkeit. Es ist eine Klage gegen die Wissenschaft und deren besondere Freiheiten: Öffentliches Wissen beitragen, einen kritischen Diskurs führen und die Art und Weise hinterfragen, wie wir Dinge tun", sagt Linkletter.
Proctorio allerdings sieht das anders. Zitat: "Wir haben Maßnahmen ergriffen, um unser geistiges Eigentum zu verteidigen und um unsere Partnerinstitutionen und Studenten, die unsere Plattform weltweit nutzen, zu schützen." Linkletter habe vertraulichen Informationen weitergegeben. Das gefährde das Unternehmen, die nutzenden Hochschulen und ihre Studierenden.
Kloiber: Da wird also mit harten Bandagen gekämpft. Jan, eine Software, die durch Transparenz in ihrer IT-Sicherheit geschwächt wird, wie ernst zu nehmen ist die?
Rähm: Das ist eine sehr alte Frage in der Softwarewelt. Das Konzept nennt sich "Security Through Obscurity", also übersetzt "Sicherheit durch Unklarheit". Es ist eines der am meisten gescholtenen Konzepte und hat sich schon oft als unwirksam erwiesen, spätestens in dem Moment, wo jemand die Unklarheiten auflösen konnte.
Das könnte auch der Lösung der genannten Firma passieren. Die Software wird derzeit als Plugin für den Browser Chrome vertrieben. Und diese Plugins lassen sich mit überschaubaren Aufwand Reverse Engineeren, man kann also den ursprünglichen Quellcode sichtbar machen.
Überwachungssoftware lässt sich austricksen
Kloiber: Und dann könnte man ihn auch hacken?
Rähm: Ja natürlich, nur ob das notwendig ist, um die Software zu überlisten, sei einmal dahingestellt. Studierende der Berliner Hochschule für Technik und Wirtschaft haben eine der Überwachungslösungen ausprobiert und dabei zahlreiche Möglichkeiten entdeckt, die Überwachung zu manipulieren und auszutricksen – was auch Aufgabe dieses hochschulinternen Tests war.
So war es ihnen zum Beispiel möglich, vorgefertigte Textbausteine einzufügen, ohne dass es die Software gemerkt hat – das Äquivalent zum Spickzettel sozusagen. Noch eleganter ist die Lösung, die Überwachungssoftware in einer virtuellen Maschine auszuführen. Das konnte diese nicht erkennen und der beziehungsweise die Studierende hatte freie Hand.
Kloiber: Hacking ist ja das eine - nicht jeder Studierende wird das können. Das Andere ist ja die IT-Sicherheit solcher Lösungen, die, will man an der Prüfung teilnehmen, zwingend installieren muss. Wie steht es darum?
Rähm: Diesbezüglich erklärte uns der Sprecher von Proctorio, dass sowohl Software wie Server regelmäßigen Sicherheitsüberprüfungen seitens unabhängiger Gutachter unterzogen werden. Ein solcher Report liegt uns auch vor, entsprechend halte ich die Aussage für glaubwürdig und halte auch die grundsätzliche IT-Sicherheit für gegeben.
Jedoch ist die Installation einer solchen Software nicht ohne Risiko. Denn auch wenn die Verordnungen für Fernprüfung der Überwachung enge Grenzen setzen, sind die grundsätzlichen Funktionen in der Software weiter enthalten. Im Fall von Proctorio und vergleichbarer Lösungen muss ich als Studierender meiner Hochschule und dem Hersteller entsprechend vertrauen, dass wirklich nur das erfasst wird, was erfasst werden darf.