Seit diesem Semester bietet die Hochschule, an der ich studiere, den Ausdruck der Studienbescheinigungen via Internet an, was gegenüber dem alten System, dass man einmalig im Semester nen Bogen Totholz erhielt, doch bereits ein wesentlicher Fortschritt wäre, wenn in der elektronischen Variante dieses Dokumentes nun nicht grad der Erstellungszeitpunkt – obwohl nicht benötigt – sekundengenau erfasst wäre. Viel wichtiger ist in der Hinsicht ja eigentlich auch eher, was an Daten enthalten ist und ob die Dokumente wirklich „verifizierbar“ sind. Ein kurzer Test zeigte hier ein relativ interessantes Bild.
Bevor man aber genauer auf die Probleme mit der Verifizierbarkeit eingehen kann, sollte man einen Überblick über die Änderungen haben, die bei dieser Umstellung stattfanden. Aus Platzgründen handelte es sich bei den alten Immatrikulationsbescheinigungen um kleine A7-Kärtchen (6 Stück auf einer A4-Seite) auf denen neben dem Namen des Studenten und seinem Geburtstag auch die Matrikelnummer, Seminargruppe und das Gültigkeitssemester der Bescheinigung vermerkt waren. Zusätzlich enthalten waren die Bezeichnung des Studiengangs und der zu erreichende Abschluss, bzw. die Regelstudienzeit. Als Angaben zum Studium fanden sich ferner das Fach- und Hochschulsemester, sowie der Beginn des Studiums. Alles in allem also eine durchaus schlank gehaltene kleine Karte, an der keine wirklich unnötigen Informationen enthalten waren.
Legt man nun eine der neuen, elektronischen Bescheinigungen daneben, so fällt zu allererst die Änderung des Formats und die damit einhergehende Platzverschwendung auf. Beim Ausstellen der Bescheinigung erhält man eine PDF zum Download, in der zusätzlich zu den vorgenannten Daten auch Geburtsort, Wohnanschrift und die Anzahl der Urlaubssemester auftauchen. Ferner findet sich das Datum der Ausstellung im Dokument. Leitet man diese PDF elektronisch weiter, so kann anhand des Zeitstempels der Erstellung jedoch auch eine sekundengenaue Angabe abgefragt werden, was durchaus Rückschlüsse auf den Tagesablauf zulassen kann und damit in Bezug auf den Schutz meiner Privatsphäre durchaus fraglich ist. Zum Verifizieren der Bescheinigung ist im unteren Teil der Bescheinigung ein 12-Stelliger Buchstabencode (3x 4 Buchstaben) abgedruckt, mit dem auf einer Hochschulseite die Überprüfung vorgenommen werden kann.
Womit wir dabei wären, dass man mit den neuen Bescheinigungen etwas Spaß haben kann. Denn große Teile des Dokumentes sind nicht verifizierbar und können maximal über Drittdaten abgeglichen werden. Ist einem also das Studium „Diskrete und Computerorientierte Mathematik“ zu langweilig und der Abschluss „Master of Sciences“ zu niedrig, kann durchaus ohne großen Aufwand ein Studium in „Weltherrschaft“ mit Abschluss „Master of Universe“ substituiert werden, ohne, dass die Nichtexistenz sowohl der Studienrichtung wie auch des durchaus interessanten Abschlusses bei der Prüfung erkennbar wären. Wenn man zudem etwas mehr Zeit benötigt, lässt sich dies in Form einer etwas verlängerten Regelstudienzeit leicht arrangieren, da das Auffinden der tatsächlichen Daten auf Grund der hochschulseiten-typischen Gestaltung nur schwer auffindbar ist.
Zusätzlich kann aber auch für den Fall zu langweiliger Matrikelnummern Abhilfe geboten werden. Matrikel 14585 zu langweilig? 16384 schon vergeben? Wie wäre es mit 31337 oder 65536? Auch hier sorgt die gut durchdachte Verifikation für eine nie geahnte Plausibilitätsprüfung.
Wer nun aber denkt, dass man sich beliebig gültige Bescheinigungen ausstellen kann, liegt etwas falsch, denn zumindest in diesem Punkt ist das System gelungen: Man benötigt zumindest ein Original seiner Bescheinigung, kann dann aber abgesehen vom Verifikationscode, Ausstelldatum, seinem Namen und dem Gültigkeitssemester eigentlich alles andere nach Belieben ändern. Auch die nicht vorhandenen Sicherheitsmerkmale in der PDF ändern hieran nicht viel, auch wenn man bestimmte Felder in der PDF realistisch belegen sollte. Bei der Gelegenheit kann man aber auch dem sekundengenauen Ausstellungszeitstempel Abhilfe schaffen.
Wer sich zusätzlich auch den Semesterbeitrag sparen möchte, kann sich für einen kleinen Obolus eine der Hochschulseite nachempfundene Webpräsenz bauen, auf der er seine eigenen Codes generell als gültig betrachtet. Dieser Angriff wird möglich, da auf dem Dokument der Link für die Verifikation mit aufgedruckt ist und damit unter Kontrolle für eine Nachbearbeitung steht. Wäre neben dem direkten Link auch ein ergooglebarer Klickpfad genannt, würde dieser Weg zumindest erschwert: Denn wer gibt schon 1000 Euro für SEO aus, um 200 Euro mehr BaFöG zu bekommen?
Insgesamt ist das elektronische Ausstellen der Bescheinigungen ein durchaus zu begrüßender Fortschritt, wenn auch noch einige Kinderkrankheiten zu beheben sind.
Anm.: Die hier beschriebenen Hacks wurdem dem Rechenzentrum bereits mitgeteilt und um Behebung gebeten (auch aus Datenschutz-Sicht). Mindestens die Verifizierbarkeit der Dokumente wurde seither schon stark verbesssert. Dieser Beitrag dient ausschließlich der Dokumentation. Wer dies real einsetzt, kann sich einer Urkundenfälschung bzw. Phishing strafbar machen.
