Die E-Mail-Sicherheitslücke der Uni Bonn

Das Webmail-Interface der Universität Bonn war/ist1 unsicher. Schlechtestenfalls können Dritte2 das Postfach „übernehmen“ und alles tun, was man selbst dort tun kann: E-Mails lesen, löschen, versenden, Filter und Weiterleitungen einrichten. Dieser Beitrag soll erläutern, wo genau das Problem liegt und was dagegen getan werden kann. Denn wenn selbst das Studierendenparlament die Universität tadelt, dass ihre Kommunikation in der Angelegenheit unter aller Sau ist, dann ist das schon ein bemerkenswerter Vorgang.

Direkt zu Beginn: Mir liegen keine geheimen Informationen aus dem HRZ vor. Alles was in diesem Artikel steht weiß ich entweder aus dem Vice-Artikel, aus den Mitteilungen des HRZ, oder habe es geraten.

Liebling, ich habe fremde E-Mails gelesen

Für Aufmerksamkeit sorgte in der letzten Woche ein Artikel der Vice vom 18. Mai. Schwere Sicherheitslücke: 42.000 Postfächer der Uni Bonn ließen sich monatelang von außen übernehmen wird da getitelt. Der Artikel wird in sozialen Netzwerken geteilt, oft mit einem Hinweis à la „Huch! Warum weiß ich davon noch nichts?“. Die Reaktion der Universität Bonn: „Ach ja, das. Ist doch ein alter Hut!“.

Die Mitteilung der Universität veweist auf eine ältere Mitteilung des Hochschulrechenzentrums. Bevor wir uns der Frage zuwenden, wer wann was wusste und hätte wen informieren müssen, wollen wir zunächst verstehen, worum es hier überhaupt geht, um die möglichen Auswirkungen des „Problems“ abschätzen zu können. Der nächste Teil wird jetzt ein kleines bisschen technisch, aber es sollte trotzdem noch verständlich sein.

Woher weiß der Webmailer, wer ich bin?

Die Wurzel allen Übels liegt darin, dass nicht einfach alle jede E-Mail auf den Mailservern der Universität lesen darf. Nutzerinnen und Nutzer erwarten verständlicherweise, dass nur sie ihre eigenen E-Mails angezeigt bekommen. Wenn ich E-Mails in meinem Postfach habe, die nicht an mich adressiert waren, dann ist das vielleicht noch nervig, aber wenn meine E-Mails in fremdem Postfächern auftauchen und dort gelesen werden, hört der Spaß auf.

Der Webmailer muss also wissen, wer ich bin, damit er mir die richtigen E-Mails heraussuchen und anzeigen kann. Indem ich mich mit Nutzernamen und Passwort anmelde, teile ich dem Webmailer mit, wer ich bin.

Durch die Anmeldung im Webmailer starte ich eine Session. Das hat weder mit Jam noch mit Gespenstern zu tun, sondern ist einfach der englische Begriff für eine Sitzung. Solange die Sitzung läuft / aktiv ist, merkt sich der Webmailer, wer ich bin, und ich muss ihm nicht ständig neu Nutzernamen und Passwort mitschicken. Wenn ich mich schließlich abmelde, vergisst der Webmailer die Session wieder. Das tut er in der Regel auch nach einer bestimmten Zeitspanne, eine Stunde oder so.

Leider sind Webserver etwas beschränkt. Ich muss sie bei jedem Klick den ich mache daran erinnern, in welcher Session ich mich befinde. Zum Glück hat die Session einen eindeutigen „Namen“: Die Session-ID. Nach der Anmeldung im Webmailer taucht sie in der Adresszeile auf:

Steht sogar „Session“ davor. Nett!

Und alles, was man dann im Webmailer anklickt, führt zu einer Unterseite, die eben diese Session-ID in der Adresse hat.

Die internen Vorgänge in diesem Webmailer hat man sich dann in etwa folgendermaßen vorzustellen:

A: „Yo, da will irgendjemand die Seite https://mail.uni-bonn.de/Session/717825-O8yVqe5Hw1GHgX82Uxq4-aofjcqp/frameset.wssp haben!“

B: „Wat, vun d’r Session 717825-O8yVqe5Hw1GHgX82Uxq4-aofjcqp? Dat es doch *blätter* d’r Zemantek Sven! Däm sing Mails han ich he!“3

Oder so. Die Session-ID ist also mit meinem Account verknüpft. Wer die Session-ID kennt, kann sich als ich ausgeben. Nutzername oder Passwort werden hier nicht benötigt.

Angst bekommen? Dabei fangen wir gerade erst an.

Wer hat uns verraten? Referrer.4

Richtig lustig wird diese Session-ID-Sache, wenn man eine ganz bestimmte Funktion moderner Webbrowser kennt. Klickt man auf einen Link, ruft der Browser die verlinkte Seite ab, schickt aber die Adresse der aktuellen Seite mit, von der der Link stammt. Diese Ursprungsadresse heißt „Referrer“. Wozu man das braucht, weiß wohl niemand. Gut, ein Server kann so sehen, von wo aus auf seine Seiten verlinkt wird, aber mir fällt wirklich keine Funktionalität ein, die nichts mit Tracking zu tun hat und nicht ohne diese Referrer auskäme.

Nun senden Webbrowser die aber zumeist mit, und wir müssen damit klarkommen.

Wisst ihr noch, wie wir oben gesagt haben, dass diese Session-ID niemand außer mir kennen sollte, weil man sich damit gegenüber dem Webmailer als ich ausgeben kann?

Jetzt stellt euch mal vor, ich öffne im Webmailer eine E-Mail und klicke darin auf einen Link.

In diesem Fall zeigt der Link auf meinen eigenen Server, und der schreibt jeden Seitenaufruf in eine Logdatei. Etwa so:

Oh, hallöchen! Wir kennen uns doch irgendwoher.

So ein Link zeigt aber nicht zwangsläufig auf meinen eigenen Server. Die übertragenen Informationen sind aber die selben.

FUCK.

Und zwar vor allem, da ich bei fremden Servern nicht weiß, ob sie einer Person gehören, die nur darauf wartet, dass jemand aus dem Uni-Webmailer auf ihre Links klickt. Oder ob auf der Webseite so eine Trafficanalyse-Software läuft. Die zeigen die Referrer aus eingehenden Seitenabrufen nämlich auch gern an.

Nun wissen wir also, wie fremde Personen durch einen Klick auf den falschen Link in mein Postfach kommen.

Schlimmer kommt’s immer

Schaut euch mal diese Nachricht an, die eben in meinem Postfach gelandet ist5.

Ah, ein Spongebob-Fan.

Kein Link, also keine Gefahr. Doch halt! Was ist das für ein mysteriöser Eintrag in meiner Webserver-Logdatei?

Donnerwetter! Schon wieder diese Session-ID!

Stellt sich raus: Die E-Mail enthält ein eingebettetes Bild. Das wird beim Anzeigen der Nachricht aus dem Internet (sprich, von meinem Server) abgerufen. Und zusammen mit diesem Abruf schickt der Webbrowser – natürlich, warum auch nicht! – die aktuelle Seitenadresse als Referrer mit.

Hier ist die Grafik: Ein einzelnes transparentes Pixel. RIP.

Himmelarsch!

Das bedeutet also: Selbst wer nie auf irgendwelche Links geklickt hat, ist nicht sicher. Das Öffnen einer Nachricht reicht.

Gegenmaßnahmen

Es gibt drei Möglichkeiten für den Webmail-Betreiber, das Problem zu beseitigen: Die Session-ID aus der Adresse entfernen, den Versand des Referrers mit der Session-ID verhindern, oder zusätzliche Merkmale mit der Session verknüpfen. Wie würde man das jeweils angehen?

1. Session-ID aus der Adresse entfernen

Kennt ihr diese Cookie-Warnungen auf Webseiten? „Alarm, Alarm, diese Webseite nutzt Cookies! Akzeptieren Sie hier!“ Bestimmt schon einmal gesehen.

Ein Cookie ist ein kurzer Text, den der Webbrowser bei jedem Seitenabruf an den Webserver sendet. Hey, wisst ihr, was noch ein kurzer Text ist, der bei jedem Seitenabruf an den Webserver gesendet werden muss? Unsere Session-ID! Wenn wir die in ein Cookie packen, müssen wir sie nicht mehr in die Adresse schreiben. Der Referrer enthält dann auch keine Session-ID mehr. Problem gelöst.

2. Versand des Referrers mit der Session-ID verhindern

Wenn der Webmailer eine E-Mail anzeigt, macht er aus Internetadressen anklickbare Links. Dabei kann er natürlich den einfachen Weg gehen und aus https://example.com den Link auf https://example.com machen. Dann bekommt example.com den Referrer mit der Session-ID wenn geklickt wird, und das ist doof, das wollen wir nicht. Der Webmailer könnte aber auch einen Link auf  (z.B.) https://mail.uni-bonn.de/weiterleitung/https://example.com setzen, und https://mail.uni-bonn.de/weiterleitung/ könnte einfach jeden Aufruf an die Adresse weiterleiten, die dahinter kommt. Wenn man nun so einen Link im Webmailer anklickt, landet man zunächst auf der Weiterleitungsseite, die direkt auf https://example.com weiterleitet. Der Vorteil hierbei: example.com bekommt als Referrer lediglich den Wert https://mail.uni-bonn.de/weiterleitung/https://example.com. Keine Session-ID. Problem gelöst (bis auf dass man dieses Weiterleitungsding implementieren müsste, aber das gibt es sicherlich schon fertig irgendwo).

Facebook nutzt übrigens Vodoo-Magie um den Referer bei angeklickten Links zu setzen. Das könnt ihr zum Beispiel hier ausprobieren. Zum Vergleich.

Gegen das Problem mit den eingebetteten Bildern hilft das natürlich nicht. Da müsste man andere technische Maßnahmen einsetzen, die etwas aufwändiger sind.

3. Zusätzliche Merkmale mit der Session verknüpfen

Problematisch ist, dass „irgendjemand“ diesen Referrer-Link aufrufen kann und dann Zugriff auf mein Webmail-Konto bekommt. Dabei sitzt der bestimmt ganz woanders und hat eine andere IP-Adresse als ich. Man könnte bei der Anmeldung die IP-Adresse in der Session „hinterlegen“. Sobald dann eine andere als die hinterlegte IP-Adresse die Session nutzen möchte, ruft der Webmailer „Halt Stopp“ und verlangt eine erneute Anmeldung mit Nutzernamen und Passwort bevor es weitergeht. Vorteil: Die Session-ID muss nicht mehr so geheim gehalten werden. Nachteil: Hilft nichts gegen jemanden, der die gleiche IP-Adresse hat. Was das Ganze in der Regel auf im selben Haushalt lebende Personen einschränkt. Dennoch die am wenigsten sichere Variante.

Was hat die Uni nun gemacht?

Zunächst ja offenbar lange gar nichts. Dafür gibt es den Skipper-Kowalski-Rico-Private-lächeln-und-winken-Award. Glückwunsch!

Die Webmail-Anmeldemaske sieht inzwischen folgendermaßen aus. Interessant sind die beiden Checkboxen über dem Anmelden-Button.

Viele viele runde Ecken.

Offenbar wurde ein Mischmasch aus 1 und 3 gewählt: Wenn die IP-Adresse sich ändert, wird man aus der Session gekickt. Außerdem wird ein Cookie gesetzt, ohne das man ebenfalls aus der Session gekickt wird. Die Session-ID bleibt aber weiterhin in der Adresse. Interessant sieht das Ganze aus, wenn man die Session-ID aus der Adresse entfernt:

Amnesie beim Webmailer. Mal was Neues.

Doch zurück zur Anmeldemaske. Setzt man bei der Anmeldung beide Haken, so besteht das Problem mit dem Referer weiterhin – jeder angeklickte Link, jedes angezeigte Bild öffnet potenziell das Postfach für Dritte. Man muss sich aber im Gegensatz zu vorher aktiv dafür entscheiden, die eingebauten Schutzmechanismen abzuschalten. Ob diese Checkboxen unbedingt nötig sind sei mal dahingestellt.

Kurzzusammenfassung

Wo Problem? Wer im Webmailer der Uni Bonn in einem unbestimmten Zeitraum bis zum 26. April 2017 eine E-Mail mit Bild geöffnet und/oder einen Link in einer E-Mail angeklickt hat, lief Gefahr, dass Dritte kostenlos und einfach6 Zugriff auf das E-Mail-Postfach hatten.

Was konnten diese bösen Dritten alles tun? E-Mails lesen, schreiben, löschen. Einstellungen ändern. Filter einrichten, ändern, löschen. Weiterleitungen einrichten, ändern, löschen. Letztlich alles, wofür man nicht nochmal das Passwort eingeben muss.

Was konnten sie nicht? Das Passwort ändern. Mit der Funktion „Sichere Email“ signierte E-Mails verschicken7.

Sollte ich jetzt mein Passwort ändern? Nee. Mit Passwörtern hat die ganze Sache ausnahmsweise gar nichts zu tun.

Ich nutze nie den Webmailer, sondern Outlook/Thunderbird/Handyclient/…. Bin ich betroffen? Nein. Diese Clients schicken nämlich prinzipbedingt keine problematischen Referrer.

Kann man im Nachhinein feststellen, wer auf diese Weise „gehackt“ wurde? Schwierig. Verdächtig wären erst einmal alle Sessions, bei denen sich mittendrin die IP-Adresse geändert hat. Um das zu prüfen müsste das Hochschulrechenzentrum aber noch Logdateien mit den Session-IDs und den abrufenden IP-Adressen aus dem zu untersuchenden Zeitraum aufbewahren. Das halte ich für nicht sehr wahrscheinlich. Außerdem kann so etwas auch bei normaler Nutzung passieren, zum Beispiel wenn das Handy vom Mobilnetz ins WLAN wechselt. Falls ihr in euren Einstellungen aber plötzlich eine Filterregel findet, die alle eingehenden E-Mails an totallylegit@nsa.gov weiterleitet, wäre das ein Indiz dafür, dass ihr nicht immer allein in eurem Postfach wart.

Kann ich jetzt behaupten, die E-Mail, in der ich meinen Prof beleidige, habe gar nicht ich im Suff geschickt, sondern ein fieser Hacker? Klar. Ob das allerdings glaubwürdiger ist als „Meine Katze ist über die Tastatur gerollt und das kam dabei raus“ möchte ich an dieser Stelle nicht beurteilen.

Worst-Case-Annahme

Falls ihr mal im Uni-Bonn-Webmailer eine E-Mail geöffnet habt, kennt irgend jemand da draußen jetzt den Inhalt all eurer Uni-Mails. gg ez.

Das gilt nicht nur für Studierende: WiMis und Profen, Verwaltungsmenschen, der AStA und auch der SP-Wahlausschuss, alle sind betroffen.

Das klingt ja alles sehr schlimm. Warum hat man da nicht schneller etwas gegen unternommen? Warum hat mich noch niemand informiert?

Tja.

Ist das wirklich eine Sicherheitslücke im Webmailer der Uni Bonn?

Also, technisch betrachtet schickt dein Browser den Referrer an den Server… Dafür kann der Webmailer ja nichts.

Und nun?

  1. Weinen
  2. Das Studierendenparlament hat beim Rektorat nachgehakt8, wie das denn alles sein könne und warum man bitteschön nicht schon längst informiert worden sei. Auf die Reaktion der Universitätsverwaltung darf man gespannt sein.
  1. dazu später mehr
  2. Nachbars Lumpi, Oma Erna, Russische Hacker
  3. Zumindest wenn man dem interaktiven Kölsch-Übersetzer von mingsprooch.de glauben kann.
  4. Referrer sind soweit mir bekannt ist nicht Mitglied der SPD. Die Standardantwort scheidet hier also aus.
  5. Ja, ich schreibe E-Mails an mich selbst. Das ist vollkommen normal!
  6. Mal was anderes: Kennen Sie schon Herrn Wullems?
  7. Vielleicht schon, wenn das Passwort dafür bereits eingegeben wurde? Nutzt aber vermutlich sowieso fast niemand.
  8. Der Link zum Beschluss wird nachgereicht, sobald der Beschluss ausgefertigt wurde und verfügbar ist.

Vorbild Kurfürstenbad: BLB startet Werbekampagne für Abnahme des Campus Poppelsdorf

Nach dem durchschlagenden Erfolg der Werbekampagne der Stadt Bonn, die im laufenden Bürgerentscheid zum Kurfürstenbad großplakatig für ein „NEIN“ warb, hat man im Bau- und Liegenschaftsbetrieb NRW offenbar beschlossen, für die wieder einmal anstehende Abnahme der Ersatzneubauten am Campus Poppelsdorf – 1. Bauabschnitt eine ähnliche Strategie zu verfolgen.

„Wir setzen dabei auf reine Information der Öffentlichkeit, ohne jegliche emotionale Beeinflussung“, erklärt BLB-Pressesprecherin Kriemhild Küngler. Von der Abnahme der Bauten profitierten schließlich fast alle Beteiligten. Man habe sich auch „nur ganz wenig“ von der Kurfürstenbad-Kampagne „inspirieren“ lassen. „Den Slogan zum Beispiel haben wir uns ganz alleine ausgedacht“, so Küngler. Die Werbekampagne koste den Steuerzahler dabei nicht einmal Geld: Sie würde von Geld bezahlt, das demletzt „in irgend einer Schreibtischschublade aufgetaucht“ sei.

„Einfach nur dreist“ findet hingegen Universitäts-Vizepressesprecher Bernhard Brechstock die Aktion. „Die verwendeten Bilder sind aus dem Jahr 2014, sie stellen also gar nicht den aktuellen Stand dar. Außerdem haben sie für die Schrift auf dem Flyer unser schönes Uniblau geklaut!“ Die Universität wolle sich durch die Kampagne keineswegs beeinflussen lassen. Sie glaubt auch nicht, dass von Seite der Studierenden großer Druck auf sie ausgeübt werden wird. Brechstock: „Die Studierendenschaft verteilt seit Jahren in den Mensen Unmengen an Flyern. Für die interessiert sich auch praktisch niemand. Warum sollte das bei der Werbung des BLB nun anders sein?“

Der ursprüngliche Termin für die Übergabe war im November Oktober Mai 2016 September 2015 2014 2010 2009 so genau weiß das niemand mehr.

Großflächenplakat des BLB der neuen Werbekampagne.

Bild: Fabian Rump unter CC-BY-SA 4.0, offensichtlich bearbeitet.

Flyer des BLB der neuen Werbekampagne.

Bild: Fabian Rump unter CC-BY-SA 4.0, offensichtlich bearbeitet.

Wie der Wahlausschuss einmal vor Gericht gegen die Uni verlor

Es ist ein Running Gag in Studierendenkreisen, dass man gegen die Universität Bonn vor Gericht eigentlich nur gewinnen kann.

Umso spannender ist es, wenn einmal das Gegenteil eintritt.

Wir befinden uns im Januar 2016. Das Studierendenparlament hatte die Durchführung einer „Urabstimmung über die Einführung und Teilfinanzierung der Einführung einer UniCard“ beschlossen, außerdem war ein erfolgreiches Verlangen nach einer „Urabstimmung über die Mitgliedschaft im Dachverband »freier zusammenschluss von studentInnenschaften«“ eingereicht worden. Da die Urabstimmungen gemeinsam mit der Wahl zum Studierendenparlament durchgeführt werden, übernimmt der Wahlausschuss die Aufgaben des Urabstimmungsausschusses (UA).

Zur Durchführung einer jeden Urabstimmung gehört nach § 15 Abs. 4 der Satzung der Studierendenschaft auch eine Urabstimmungsbenachrichtigung:

(4) Der UA ist für die Durchführung der Urabstimmung bei ordnungsgemäßem Verlangen oder bei entsprechendem SP-Beschluss zuständig. Er veranlasst, dass alle Studierenden eine Urabstimmungsbenachrichtigung erhalten, die den Termin der Urabstimmung und den Wortlaut des abzustimmenden Antrags enthält.

Es musste also eine Urabstimmungsbenachrichtigung versendet werden. Früher™ hätte man für so etwas viel Geld an die Deutsche Post bezahlt, damit sie kleine Briefchen an die Studierenden austrägt. Heutzutage bietet es sich allerdings an, über das HRZ eine E-Mail an alle Studierenden zu versenden. Die Möglichkeit, Brief oder Rundmail zu versenden, hat hier aber ausschließlich die Universität, weil sie die notwendigen Daten dazu besitzt. Das wird gleich nochmal wichtig.

Im Januar, also reichlich spät1, wurde daher im Rektorat nach der Genehmigung einer Rund-E-Mail an alle Studierenden gefragt. Die E-Mail sollte den üblichen „Es sind Wahlen und ihr dürft abstimmen“-Text enthalten, und außerdem die Benachrichtigung für die beiden Urabstimmungen inklusive die beiden Texte, über die es abzustimmen galt.

An letzterem störten sich allerdings das Rektorat und sein Justitiariat: Die Abstimmungstexte dürften nicht in der E-Mail enthalten sein; als Hauptgrund wurde angeführt, dass dies die Neutralität der Universität bezüglich der Angelegenheiten der Studierendenschaft gefährden würde.2

Nach zäher Verhandlung war das Rektorat bereit, eine E-Mail zuzulassen, die neben dem allgemeinen Wahlaufruf lediglich auf die Urabstimmungen hinwies und einen Link auf die Abstimmungstexte enthielt. Das würde der Satzungsbestimmung genüge tun.

Blicken wir nochmal auf den relevanten Teil von § 15 Abs. 4 SdS:

die den Termin der Urabstimmung und den Wortlaut des abzustimmenden Antrags enthält.

Dass der Vorschlag von Rektorat/Justitiariat ausreichend für die Erfüllung der Satzungsbestimmung sein soll, nun ja. Wie drückt man das jetzt aus? Es erschließt sich nicht unmittelbar. Wir gehen daher im folgenden davon aus, dass der Urabstimmungsantragstext Buchstabe für Buchstabe enthalten sein muss.

Da sitzt man dann also als Wahl-/Urabstimmungsausschuss. Man muss eine Benachrichtigung an alle Studierenden schicken, die die Wortlaute der Urabstimmungen enthält. Falls man das nicht tut, läuft man Gefahr, dass man die gesamte Abstimmung hinterher wegen dieses Formfehlers von einem Verwaltungsgericht um die Ohren gehauen bekommt.

Die einzige, die diese Benachrichtigung versenden lassen kann, ist die Universität3. Die will aber nicht.

Dazu kommt: Die Universität muss diese E-Mail auch erst einmal nicht zulassen. Die Wahlordnung gilt nur für die Studierendenschaft, in diesem Fall für den Wahlausschuss. Dass der ohne ihre Hilfe seine Aufgabe nicht erfüllen kann, ist erstmal nicht ihr Problem.

Das führt aber zu interessanten Überlegungen: Wenn der Wahlausschuss seine Aufgabe nicht erfüllt, könnte man sich bei dessen Rechtsaufsicht beschweren. Das ist die Universität. Man würde sich also bei der Universität beschweren, dass der Wahlausschuss gegen die Satzung verstößt, weil die Universität ihn nicht lässt. Spaßig!

Jede Wahlordnung wird vor Inkrafttreten vom Rektorat geprüft und genehmigt. Irgendwann™ wurde also auch einmal diese Wortlaut-Regel geprüft und genehmigt. Da sollte das Rektorat doch jetzt nicht plötzlich „machen wir nicht“ sagen können?

Und schließlich ist der Wahlausschuss auch noch eine Behörde. Da schreit dieser Fall geradezu nach Amtshilfe.

Die Abstimmung rückte immer näher, und die Benachrichtigung konnte nicht in der vorgeschriebenen Form versendet werden. Was tat unser reichlich mit Juristen in Ausbildung ausgestatteter Wahlausschuss angesichts der drohenden Ungültigkeit der Urabstimmungen? Das Zauberwort heißt „einstweiliger Rechtsschutz“4. Der Wahlausschuss ließ (fertig ausgebildete) Rechtsanwältinnen und -anwälte zum Verwaltungsgericht Köln laufen und beantragen, der Universität zügigst aufzutragen, die E-Mail in der vom Wahlausschuss für notwendig erachteten Form versenden zu lassen.

Das Verwaltungsgericht Köln hat diesen Antrag mit Beschluss vom 15. Januar 2016 abgelehnt (Beschluss im Volltext).

Geradezu amüsant ist folgende Passage aus dem Beschlusstext:

beschluss_vgkoeln_rundmail_auszug

Da staunt der Laie, und die Fachfrau fazialpalmiert.

Die Rundmail wurde daraufhin ohne den Wortlaut der Urabstimmungsanträge, sondern lediglich mit einem Link auf sie versendet.

Auch für den Wahlausschuss hatte dieser Beschluss etwas Gutes: Zwar ist die Argumentation, weshalb der Wortlaut nicht enthalten sein muss, immer noch hanebüchen. Bei einer Anfechtung der Urabstimmung könnte der Ausschuss aber guten Gewissens auf den Gerichtsbeschluss verweisen und „uns trifft keinerlei Schuld“ singen.

Man hätte diese Angelegenheit nach der Versagung des einstweiligen Rechtsschutzes übrigens immer noch in einem ordentlichen Verfahren vor dem Verwaltungsgericht klären lassen können. Dazu hatte dann im Studierendenparlament aber irgendwie niemand mehr Lust.

  1. die Wahlen/Urabstimmungen fanden in der zweiten Januarhälfte statt
  2. Das halte ich persönlich für Humbug, da die Universität lediglich dem Wahlausschuss für die Erfüllung einer sich aus der Satzung der Studierendenschaft ergebenden Aufgabe ihre Infrastruktur zur Verfügung stellen, und nicht z. B. selbst als Verfasserin der E-Mail auftreten würde. Aber ich habe ja auch keine Ahnung, gell.
  3. Genau genommen sagt das Rektorat (Uni) dem HRZ (Uni), dass es eine ganz bestimmte E-Mail des Wahlausschusses (nicht Uni) an alle Studierenden versenden soll.
  4. Ja, das sind zwei Wörter. Gut gezählt!