Zero-Trust-Vision: TEARS und die Zukunft anonymer Prüfungen (Teil 4/4)

Zum Abschluss unserer Serie zeigen wir, wie weit man den Datenschutzgedanken treiben könnte: TEARS – ein Zero-Trust-System mit Papierzetteln, das beweist, dass echte Anonymität bei Prüfungen technisch möglich ist.

TEARS: Zero-Trust-Korrektur

Kommen wir zum letzten Teil, der eher akademisch interessant ist. Es geht darum zu zeigen, wie weit man den Datenschutzgedanken treiben könnte. Auf meiner Folie zu den Zielkonflikten sind ja noch zwei Punkte offen: anonyme Korrektur und Mächte-Ungleichgewicht.

Ich hatte bereits das strukturelle Problem angedeutet: Studierende befinden sich in einer undankbaren Situation. Sie sind dem ausgeliefert, was die Universität als Institution und wir als Prüfende vorgeben. Es wäre jedoch wünschenswert, wenn beide Parteien in der Prüfungssituation auf Augenhöhe agieren könnten – schließlich geht es für die Studierenden um ihre Zukunft.

Wünschenswert wäre daher eine nachweisbar anonyme Korrektur. Das hieße, dass niemand auf das Wohlwollen oder die Integrität der Universität vertrauen muss.

Bei unserem System psi-exam – und allen mir bekannten in der Praxis eingesetzten E-Prüfungssystemen – müssen die Studierenden der Universität vertrauen. Immerhin werden nach der Prüfung die Antworten von den Laptops von der Organisatorin oder dem Organisator heruntergeladen. Die Antworten tragen zu diesem Zeitpunkt noch die Namen der Prüflinge. Erst wenn die Daten an die Prüfenden weitergegeben werden, werden die Namen durch Tierpseudonyme ersetzt.

Dieser Mechanismus setzt voraus, dass der Organisator sein Versprechen hält – also der Prüferin oder dem Prüfer vor Abschluss der Korrektur keinen Einladungslink zukommen lässt, der die tatsächlichen Namen preisgibt. Vielleicht sind Prüfer und Organisator aber Kollegen, die viel zusammenarbeiten – wie glaubhaft ist so ein Versprechen dann? Wenn man öfter miteinander Mittagessen geht oder beim Feierabendbier zusammen sitzt?

Und was machen wir, wenn beide Rollen – wie bei mir momentan – in einer Person vereint sind. Dann muss ich meine Gedanken wohl in Zukunft besser kompartmentalisieren … Das ist unbefriedigend und in der Praxis schwer durchzuhalten.

Man könnte sich nun darauf zurückziehen, dass eine organisatorisch durchgesetzte Rollentrennung ausreicht – sie wird einfach per Dienstanweisung geregelt und dann halten sich ja bestimmt auch alle dran!

Aber wäre es nicht eleganter, wenn wir das technisch so lösen könnten, dass kein Vertrauen nötig ist? Besonders elegant wäre es, wenn wir es so lösen könnten, dass auch technische Laien nachvollziehen könnten, dass das Verfahren Anonymität herstellt. Man sollte es verstehen können, ohne zu wissen, wie die dazu üblicherweise benötigten kryptographischen Verfahren funktionieren.

Das ist ein schönes Problem.

Anonymität durch Abreißen

Wir haben für dieses Problem eine elegante Lösung entwickelt. Sie heißt TEARS – vom englischen „to tear“, also zerreißen. Die Grundidee: Papier reißt unvorhersehbar.

Jeder Prüfling erhält ein Papierticket mit zwei Sollbruchstellen, das während der Prüfung in drei Teile zerrissen wird. Die unregelmäßigen Risskanten sind praktisch unfälschbar. Es ist in der Praxis unmöglich, eine während der Prüfung erzeugte Risskante zu Hause perfekt nachzuahmen.

Zu Beginn kommt die Aufsicht zu jedem Platz, reißt den rechten Teil des Tickets ab und notiert darauf den Namen und Platznummer der bzw. des Studierenden. Diesen rechten Teil behält die Aufsicht – er hat eine Risskante, die später perfekt zum mittleren Teil passen wird.

Bei Prüfungsbeginn zeigt jeder Laptop ein zufällig generiertes Pseudonym – sagen wir „A37BTX“. Die bzw. der Studierende schreibt dieses Pseudonym sowohl auf den mittleren als auch auf den linken Teil des eigenen Tickets. Dann arbeitet sie bzw. er ganz normal an der Prüfung. Auf dem Laptop geben die Prüflinge ihren Namen nicht ein.

Am Ende der Prüfung zeigt das System eine Prüfsumme über alle eingegebenen Antworten – eine Art digitaler Fingerabdruck der Prüfung. Diese – sagen wir, zehnstellige – Zeichenfolge notiert die bzw. der Studierende ebenfalls auf beiden verbliebenen Teilen. Der linke Teil wird beim Verlassen des Raums abgerissen und in eine Urne geworfen – eine Kiste, in der alle linken Teile unsortiert landen. Den mittleren Teil nimmt die bzw. der Studierende mit nach Hause. Dieser Teil ist das entscheidende Beweisstück – er hat beide Risskanten und kann später sowohl mit dem rechten Teil (bei der Aufsicht, nach der Prüfung beim Prüfer) als auch mit dem linken Teil (in der Urne, nach der Prüfung ebenfalls beim Prüfer) zusammengepasst werden.

Die Korrektur erfolgt vollständig anonym unter dem Pseudonym. Die Prüfenden sehen nur „Prüfung A37BTX“ mit den entsprechenden Antworten.

Zur Notenbekanntgabe bringt die bzw. der Studierende den mittleren Teil mit und sagt: „Ich bin Max Müller, hier ist mein Ausweis.“ Die Prüferin oder der Prüfer holt die beiden anderen Teile – den rechten mit „Max Müller, Platz 17“ und den zum mittleren Teil passenden linken Teil – anhand des Pseudonyms und der Prüfsumme leicht zu finden – aus der Urne. Jetzt kommt das Puzzle-Spiel: Nur wenn alle drei Risskanten perfekt zusammenpassen, ist die Zuordnung bewiesen und die Leistung wird der oder dem Studierenden bekanntgegeben und verbucht.

Ist das sicher und anonym?

Die Sicherheit liegt in der Verteilung des Wissens. Selbst wenn alle Beteiligten zusammenarbeiten würden, fehlt ihnen immer ein entscheidendes Puzzleteil.

Die Aufsicht kennt die rechten Teile mit den Namen und sieht die linken Teile in der Urne mit den Pseudonymen. Aber welcher linke Teil zu welchem rechten gehört? Das lässt sich nicht feststellen – es fehlt das verbindende Mittelstück.

Die Prüfenden wiederum kennen nur Pseudonyme und die zugehörigen Prüfungsantworten, aber keine Namen. Die einzige Verbindung zwischen allen drei Teilen ist der mittlere Teil mit seinen beiden passenden Risskanten – und den haben ausschließlich die Studierenden.

Man könnte nun einwenden: Was ist mit gefälschten Risskanten, um vielleicht die bessere Note anderer Studierender zu bekommen? Hier kommt die Physik ins Spiel. Die Aufsicht reißt das Ticket spontan und ohne Vorbereitung – einfach so, wie es kommt. Diese zufällige, unregelmäßige Risskante ist einzigartig. Man könnte zu Hause hundertmal versuchen, genau dieses Muster nachzuahmen – es wird kaum gelingen. Und selbst wenn: Das Mittelstück braucht auf der anderen Seite ja eine weitere perfekt passende Kante zum linken Stück. Das muss dann also ein weiteres Mal perfekt abreißen – und dafür hat man dann nur einen Versuch – am Ende müssen die drei Teile schließlich wieder genau das Format des ursprünglichen Tickets haben.

Diese elegante Lösung hat natürlich einen Haken: Was passiert, wenn Studierende ihren mittleren Teil verlieren?

Verliert nur eine Person ihr Mittelstück, ist das noch kein Problem. Nach der Zuordnung aller anderen bleibt genau eine Prüfung übrig – Problem gelöst. Kritisch wird es, wenn mehrere Studierende ihre Zettel verlieren. Dann könnte theoretisch jeder oder jedem von ihnen jede der übrigen Prüfungen gehören.

Das System braucht also ein Backup-Verfahren für solche Fälle. Aber hier wird es knifflig: Das Backup darf die Anonymität nicht untergraben, sonst hätten unzufriedene Studierende einen Anreiz, ihre Zettel versehentlich zu verlieren, um von der Ausnahmeregelung zu profitieren.

Ein wirklich überzeugendes Backup-Verfahren ist uns noch nicht eingefallen. Falls jemand eine gute Idee hat – ich bin ganz Ohr!

TEARS ist ein Gedankenexperiment, das zeigt: Datenschutz durch Technik kann sehr viel weiter gehen, als die meisten für möglich halten. Man braucht keine Blockchain, keine Zero-Knowledge-Proofs, keine hochkomplexe Kryptographie. Manchmal ist die analoge Lösung die elegantere.

Werden wir TEARS praktisch umsetzen? Vermutlich nicht. Die Gefahr verlorener Zettel, der organisatorische Aufwand – vieles spricht dagegen.

Aber darum geht es auch nicht. TEARS zeigt, dass echte Anonymität bei Prüfungen technisch möglich ist. Wenn ein Zero-Trust-System mit Papierzetteln funktioniert, dann wird das Argument „das geht halt nicht (besser)“ weniger überzeugend. Oft wird es sicherlich als Vorwand gezogen; eigentlich gemeint ist: „Das wollen wir nicht“. Das ist ja völlig in Ordnung – aber wir sollten ehrlich sein, was technisch möglich ist und was wir aus pragmatischen Gründen nicht umsetzen wollen.

Fazit: Wo stehen wir?

Wir haben hier zwei Zielkonflikte durchgespielt: Datenschutz versus KI-Mehrwert, Anonymität versus Kontrolle. Die perfekte Lösung? Gibt es nicht. Aber wir können die Trade-offs so gestalten, dass alle Beteiligten damit leben können.

Was zeigt unsere Erfahrung mit psi-exam? Datenschutzfreundliche E-Prüfungen sind möglich – und zwar ohne dass die Qualität leidet. Im Gegenteil: Durch pseudonyme aufgabenweise Korrektur und die Möglichkeit des prüfungsübergreifenden Anwendens von Bewertungsänderungen ist die Gleichbehandlung besser als bei Papierklausuren. Datensparsamkeit muss nicht aufgesetzt werden, sie kann technisch eingebaut sein.

Bei KI ist meine Haltung folgende: Es ist kein Allheilmittel, sondern ein Werkzeug mit klarem Profil. Für Aufgabenqualität und Korrekturdialog exzellent, für Automatisierung problematisch. Der Arbeitsaufwand sinkt nicht – er verschiebt sich. Wir korrigieren nicht schneller, sondern gründlicher. Das ist kein Bug, sondern ein Feature.

Immer wieder höre ich, dass etwas völlig unmöglich sei – „Prüfungen an Laptops ohne Verkabelung – das geht doch gar nicht“. Und dann geht es aber doch. Das gilt auch für vermeintlich unüberwindbare Datenschutzhürden. Man muss sich halt einfach die Zeit nehmen, mit den Kolleginnen und Kollegen aus dem Datenschutzbüro zu sprechen.

Die spannende Frage ist also nicht, was technisch möglich ist. Die Technik ist meist viel flexibler als gedacht. Die Frage ist: Was wünschen wir uns als vernünftigen Kompromiss zwischen dem Wünschenswerten und dem Praktikablen? Und da gibt es noch viel auszuloten.

Dieser Beitrag schließt die Artikelserie über meinen meinem Vortrag beim Treffen der Datenschutzbeauftragten bayerischer Universitäten ab. Für Fragen und Diskussionen stehe ich gerne zur Verfügung.

Bonus: Aus der Diskussion

Fernprüfungen: Weniger relevant als gedacht

Erfahrung: Trotz technischer Möglichkeiten kaum Nachfrage nach Fernprüfungen. Selbst Erasmus-Studierende präferieren Papierprüfungen vor Ort im Ausland gegenüber geproctorten digitalen Fernprüfungen. Ist das vielleicht eine Lösung für ein Problem, das niemand hat? An anderen Hochschulen laufen allerdings viele Eignungsfeststellungsverfahren als Fernprüfungen.