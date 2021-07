Die digitale Online-Prüfungsaufsicht mit sogenannter Proctoring-Software erfolgt in einer rechtlichen Grauzone. Es sei mehr als unwahrscheinlich, dass ein solches Überwachungsprogramm überhaupt die Anforderungen an Datenschutz und IT-Sicherheit erfüllen könne, lautet das Fazit des am Mittwoch veröffentlichten Gutachtens "Spähsoftware gegen Studierende".

Das liege insbesondere an den Fähigkeiten, die eine solche auf Künstliche Intelligenz (KI) gestützte Software mitbringen müsse, "um Betrugsversuche und nicht erlaubte Hilfsmittel erkennen zu können", heißt es in der Studie, die der IT-Sicherheitsexperte Mike Kuketz im Auftrag der Gesellschaft für Freiheitsrechte (GFF) verfasst hat. Diese Techniken erforderten bei einem Browser-Add-On kritische Berechtigungen und bei einer Standalone-Lösung als zusätzliches Programm tiefen Eingriff ins Betriebssystem.

Proctoring geht zu weit

Proctoring gehe vielerorts über das hinaus, "was für eine ordnungsgemäße Durchführung von Prüfungen erforderlich ist", arbeitet Kuketz heraus. Die meisten Hochschulen verlangten, dass Studierende während einer Examensarbeit Kamera und Mikrofon aktivieren. Teilweise würden sie nicht nur live überwacht, "sondern die Aufnahmen werden auch gespeichert". Viele Studierende müssten vor Beginn der Prüfung bei einem sogenannten Room Scan mit der Kamera den Raum zeigen, in dem sie sich aufhalten. Da es sich dabei oft um das Schlafzimmer handele, "ist dies ein tiefer Eingriff in die Privatsphäre".

Zugleich würden beim Einsatz entsprechender Programme besonders sensible Daten verarbeitet, stellt der Autor klar. Die Software könne etwa Video- und Tonaufnahmen automatisch auswerten, ermögliche also Gesichtserkennung durch KI. Auch die Analyse und Kontrolle des erfassten Verhaltens durch Auswertung der Interaktion mit dem Rechner und der Blickrichtung oder Tipp- und Surfanalysen seien möglich. Eingebaute oder externe Mikrofon würden zur Stimmerkennung genutzt.

Obwohl der Fokus von Proctoring-Software auf der Abwehr von Betrugsversuchen und des Einsatzes nicht erlaubter Hilfsmittel während Online-Prüfungen liege, drängt sich angesichts solcher Fähigkeiten "der Vergleich mit (staatlicher) Überwachungssoftware auf", schreibt Kuketz.

Gefahr für Passwörter

Der Gutachter hat vor allem eine "beispielhafte technische Analyse des weit verbreiteten Proctoring-Browser-Add-Ons der Firma Proctorio" durchgeführt. Weitere Beispiele heißen ProctorExam, Test Reach, Smowl, Manage Exam oder WiseFlow. Für die Risikoanalyse orientierte sich Kuketz hauptsächlich an den Bestimmungen der Bayerischen Fernprüfungserprobungsverordnung. Damit habe das Wissenschaftsministerium des Freistaats als erstes deutschlandweit speziell den Gefahren für IT-Sicherheit Rechnung getragen.

Das Browser-Add-On kann laut Untersuchung nicht nur Informationen wie besuchte Webseiten abrufen, sondern auch ohne weitere Benutzerinteraktion Browser-Cache, Cookies, Formulardaten, gespeicherte Passwörter und vergleichbare Informationen löschen. Damit laufen Studierende Gefahr, unter anderem Online-Banking-Verträge mit ihren Banken zu verletzen, was die Bank im Betrugsfall von der Haftung befreit.

Außerdem kann die Software Daten aus der Zwischenablage abzurufen. Dazu zählen gegebenenfalls sensible Angaben wie Anmeldeinformationen mit Benutzernamen und Passwort.

Nachhaltige Manipulation

Um mögliche Manipulationsversuche sowie Debugging zu unterbinden, erkennt Proctorio zudem den Aufruf des Entwicklermodus. Das Programm quittiert dies mit der Meldung, dass ein Hackversuch vereitelt und der Schul-Admin informiert worden sei.

Müssten Studierenden statt eines Add-Ons eigenständige Software installieren, gehen sie laut Kuketz noch höhere Risiken ein. Dabei wäre es einfacher zu fragen: Auf welche Informationen hätte ein Proctoring-Programm je nach Betriebssystem und Rechteverwaltung keinen Zugriff? Eine solche Anwendung wäre in der Lage, das System nachhaltig zu verändern oder dauerhaft Schadsoftware zu hinterlassen.

"Bei der raschen Digitalisierung des Prüfungswesens haben zahlreiche Universitäten im vergangenen Jahr ein Maß an Überwachung implementiert, das bei Präsenzprüfungen undenkbar wäre", moniert David Werdermann, Verfahrenskoordinator der GFF. "Die Grundrechte der Studierenden sind dabei unter die Räder geraten." Die Bürgerrechtsorganisation sucht nun Betroffene, um strategische Klagen einbringen zu können. Im März hat das Oberverwaltungsgericht Nordrhein-Westfalen einen von der GFF unterstützten Eilantrag gegen Videoaufzeichnung bei Online-Prüfungen zunächst abgelehnt, jedoch Zweifel an der Zulässigkeit der Methode angemeldet.

Viele deutsche Unis

Zu den Hochschulen, die auf Proctoring-Lösungen bauen, zählen nach Kenntnis der GFF die Technischen Universitäten Darmstadt und München, die Universität Erfurt, die Hochschule der Medien Stuttgart, die Humboldt-Universität zu Berlin sowie viele Fernhochschulen, darunter jene in Hagen. Online-Prüfungen seien zwar gerade in Pandemiezeiten eine sinnvolle Ergänzung zur klassischen Präsenz-Klausur, weiß Werdermann. Proctoring gehe aber zu weit. Als datenschutzkonforme Alternativen kämen "Open-Book-Klausuren oder die menschliche Aufsicht mittels einfacher Videoübertragung in Betracht".

Proctorio bewirbt die eigene Lösung als skalierbar, kostengünstig und vereinbar mit der Datenschutz-Grundverordnung (DSGVO). Weltweit seien letzten Herbst wöchentlich über 750.000 Online Prüfungen unterschiedlichster Universitäten beaufsichtigt worden. Seit Februar ist ein Add-On für Microsofts Edge-Browser für Windows-10-Benutzer verfügbar.

(ds)