{"id":777,"date":"2010-08-17T14:06:01","date_gmt":"2010-08-17T12:06:01","guid":{"rendered":"http:\/\/blog.benny-baumann.de\/?p=777"},"modified":"2010-08-17T14:06:01","modified_gmt":"2010-08-17T12:06:01","slug":"spas-mit-verifizierbaren-dokumenten","status":"publish","type":"post","link":"https:\/\/blog.benny-baumann.de\/?p=777","title":{"rendered":"Spa\u00df mit „verifizierbaren Dokumenten“"},"content":{"rendered":"

Seit diesem Semester bietet die Hochschule, an der ich studiere, den Ausdruck der Studienbescheinigungen via Internet an, was gegen\u00fcber dem alten System, dass man einmalig im Semester nen Bogen Totholz erhielt, doch bereits ein wesentlicher Fortschritt w\u00e4re, wenn in der elektronischen Variante dieses Dokumentes nun nicht grad der Erstellungszeitpunkt – obwohl nicht ben\u00f6tigt – sekundengenau erfasst w\u00e4re. Viel wichtiger ist in der Hinsicht ja eigentlich auch eher, was an Daten enthalten ist und ob die Dokumente wirklich „verifizierbar“ sind. Ein kurzer Test zeigte hier ein relativ interessantes Bild.<\/p>\n

Bevor man aber genauer auf die Probleme mit der Verifizierbarkeit eingehen kann, sollte man einen \u00dcberblick \u00fcber die \u00c4nderungen haben, die bei dieser Umstellung stattfanden. Aus Platzgr\u00fcnden handelte es sich bei den alten Immatrikulationsbescheinigungen um kleine A7-K\u00e4rtchen (6 St\u00fcck auf einer A4-Seite) auf denen neben dem Namen des Studenten und seinem Geburtstag auch die Matrikelnummer, Seminargruppe und das G\u00fcltigkeitssemester der Bescheinigung vermerkt waren. Zus\u00e4tzlich enthalten waren die Bezeichnung des Studiengangs und der zu erreichende Abschluss, bzw. die Regelstudienzeit. Als Angaben zum Studium fanden sich ferner das Fach- und Hochschulsemester, sowie der Beginn des Studiums. Alles in allem also eine durchaus schlank gehaltene kleine Karte, an der keine wirklich unn\u00f6tigen Informationen enthalten waren.<\/p>\n

Legt man nun eine der neuen, elektronischen Bescheinigungen daneben, so f\u00e4llt zu allererst die \u00c4nderung des Formats und die damit einhergehende Platzverschwendung auf. Beim Ausstellen der Bescheinigung erh\u00e4lt man eine PDF zum Download, in der zus\u00e4tzlich zu den vorgenannten Daten auch Geburtsort, Wohnanschrift und die Anzahl der Urlaubssemester auftauchen. Ferner findet sich das Datum der Ausstellung im Dokument. Leitet man diese PDF elektronisch weiter, so kann anhand des Zeitstempels der Erstellung jedoch auch eine sekundengenaue Angabe abgefragt werden, was durchaus R\u00fcckschl\u00fcsse auf den Tagesablauf zulassen kann und damit in Bezug auf den Schutz meiner Privatsph\u00e4re durchaus fraglich ist. Zum Verifizieren der Bescheinigung ist im unteren Teil der Bescheinigung ein 12-Stelliger Buchstabencode (3x 4 Buchstaben) abgedruckt, mit dem auf einer Hochschulseite die \u00dcberpr\u00fcfung vorgenommen werden kann.<\/p>\n

Womit wir dabei w\u00e4ren, dass man mit den neuen Bescheinigungen etwas Spa\u00df haben kann. Denn gro\u00dfe Teile des Dokumentes sind nicht verifizierbar und k\u00f6nnen maximal \u00fcber Drittdaten abgeglichen werden. Ist einem also das Studium „Diskrete und Computerorientierte Mathematik“ zu langweilig und der Abschluss „Master of Sciences“ zu niedrig, kann durchaus ohne gro\u00dfen Aufwand ein Studium in „Weltherrschaft“ mit Abschluss „Master of Universe“ substituiert werden, ohne, dass die Nichtexistenz sowohl der Studienrichtung wie auch des durchaus interessanten Abschlusses bei der Pr\u00fcfung erkennbar w\u00e4ren. Wenn man zudem etwas mehr Zeit ben\u00f6tigt, l\u00e4sst sich dies in Form einer etwas verl\u00e4ngerten Regelstudienzeit leicht arrangieren, da das Auffinden der tats\u00e4chlichen Daten auf Grund der hochschulseiten-typischen Gestaltung<\/a> nur schwer auffindbar ist.<\/p>\n

Zus\u00e4tzlich kann aber auch f\u00fcr den Fall zu langweiliger Matrikelnummern Abhilfe geboten werden. Matrikel 14585 zu langweilig? 16384 schon vergeben? Wie w\u00e4re es mit 31337 oder 65536? Auch hier sorgt die gut durchdachte Verifikation f\u00fcr eine nie geahnte Plausibilit\u00e4tspr\u00fcfung.<\/p>\n

Wer nun aber denkt, dass man sich beliebig g\u00fcltige Bescheinigungen ausstellen kann, liegt etwas falsch, denn zumindest in diesem Punkt ist das System gelungen: Man ben\u00f6tigt zumindest ein Original seiner Bescheinigung, kann dann aber abgesehen vom Verifikationscode, Ausstelldatum, seinem Namen und dem G\u00fcltigkeitssemester eigentlich alles andere nach Belieben \u00e4ndern. Auch die nicht vorhandenen Sicherheitsmerkmale in der PDF \u00e4ndern hieran nicht viel, auch wenn man bestimmte Felder in der PDF realistisch belegen sollte. Bei der Gelegenheit kann man aber auch dem sekundengenauen Ausstellungszeitstempel Abhilfe schaffen.<\/p>\n

Wer sich zus\u00e4tzlich auch den Semesterbeitrag sparen m\u00f6chte, kann sich f\u00fcr einen kleinen Obolus eine der Hochschulseite nachempfundene Webpr\u00e4senz bauen, auf der er seine eigenen Codes generell als g\u00fcltig betrachtet. Dieser Angriff wird m\u00f6glich, da auf dem Dokument der Link f\u00fcr die Verifikation mit aufgedruckt ist und damit unter Kontrolle f\u00fcr eine Nachbearbeitung steht. W\u00e4re neben dem direkten Link auch ein ergooglebarer Klickpfad genannt, w\u00fcrde dieser Weg zumindest erschwert: Denn wer gibt schon 1000 Euro f\u00fcr SEO aus, um 200 Euro mehr BaF\u00f6G zu bekommen?<\/p>\n

Insgesamt ist das elektronische Ausstellen der Bescheinigungen ein durchaus zu begr\u00fc\u00dfender Fortschritt, wenn auch noch einige Kinderkrankheiten zu beheben sind.<\/p>\n

Anm.: Die hier beschriebenen Hacks wurdem dem Rechenzentrum bereits mitgeteilt und um Behebung gebeten (auch aus Datenschutz-Sicht). Mindestens die Verifizierbarkeit der Dokumente wurde seither schon stark verbesssert. Dieser Beitrag dient ausschlie\u00dflich der Dokumentation. Wer dies real einsetzt, kann sich einer Urkundenf\u00e4lschung bzw. Phishing strafbar machen.<\/strong><\/p>\n

\"Flattr<\/a><\/p>","protected":false},"excerpt":{"rendered":"

Seit diesem Semester bietet die Hochschule, an der ich studiere, den Ausdruck der Studienbescheinigungen via Internet an, was gegen\u00fcber dem alten System, dass man einmalig im Semester nen Bogen Totholz erhielt, doch bereits ein wesentlicher Fortschritt w\u00e4re, wenn in der elektronischen Variante dieses Dokumentes nun nicht grad der Erstellungszeitpunkt – obwohl nicht ben\u00f6tigt – sekundengenau […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[1],"tags":[14,38],"class_list":["post-777","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-bugs","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/777","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=777"}],"version-history":[{"count":3,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/777\/revisions"}],"predecessor-version":[{"id":781,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/777\/revisions\/781"}],"wp:attachment":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=777"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=777"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=777"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}