Schummeln über Jahre und nichts passiert
Egg, 4. August 2025: Die letzten Tage hatte ich das Vergnügen, mich mit dem Safe Exam Browser auseinanderzusetzen, weil meine Tochter in naher Zukunft solche Tests wird ablegen müssen. Der Safe Exam Browser wird als sichere Prüfungsumgebung von der ETH Zürich entwickelt und gilt verpflichtend für die Studierenden der Zürcher (und anderer) Hochschulen und ist auf dem eigenen Computer (Windows/Apple only) zu absolvieren. Nun hatte ich keine Ahnung, was der Safe Exam Browser ist und darum suchte ich im Web nach ‘Safe Exam Browser gehackt’. Das letzte Wort gehört zu meinem ständigen Reflex als Informatiker, der Dutzende bis Hunderte von Security-Meldungen liest, also bitte nicht böse sein.
2022: Gymi-Schüler hackt “sichere” ETH-Software
Aha, am 19. Juni 2022 (die Corona-Zeit ist gerade um) wurde Safe Exam Browser von einem 15-jährigen Kanti-Schüler gehackt. Nun gibt es zwei Optionen, entweder ist der junge Mann ein Genie oder die ETH-Software löchrig wie ein Emmentaler.
Die Meinungen bei 20min.ch sind schnell gemacht, die Schweiz hat ein zukünftiges Super-Genie. Wer den Artikel liest, hat erste Zweifel. Beschrieben wird, er habe aus Neugierde etwas probiert und es habe dann relativ schnell geklappt.
Was den 15-jährigen-Kanit-Schüler wohl zum “Helden” macht, ist nicht, dass er den Safe Exam Browser “hackt”, sondern dass er es dem Rektorat meldet. Nun sind alle erfreut, selbst die ETH zeigt sich begeistert und zollt ihrem “jüngsten Hacker” Respekt. In den Kommentaren von 20min.ch wird ihm eine fulminante Karriere vorausgesagt.
Einzig ein migubabe meldet am 19.6.2022 um 15:44 gewisse Zweifel: “Dieser Fehler besteht bereits seit einigen Jahren und wurde auch schon mehrfach gemeldet. Meine Schule hat darauf gewartet bis es verbessert wird und sie den Browser wieder einsetzen konnten. Ist bis heute nicht geschehen. Aber vielleicht jetzt nach der Veröffentlichung.” Das finden nun 13 von 21 Quatsch, und damit ist es “gegessen”. Oder doch nicht ganz?
2025: Safe Exam Browser noch immer “gehackt”
Die obige Meldung datiert vom 19. Juni 2025 (quasi zum 3-jährigen-Jubiläum), sie entspricht den aktuellen Stand. Die Antwort des Entwicklers zeigt exemplarisch, wie ernst der Bug-Report genommen wird: “You can reliable detect manipulated SEB installations…”
Auf Deutsch: “Manipulierte SEB-Installationen können Sie zuverlässig erkennen…” tönt jetzt nicht unbedingt danach, als dass sich jemand darum kümmern würde. Oder mit anderen Worten gesagt. Der Entwickler bestätigt, dass Safe Exam Browser manipuliert werden kann. Nur behauptet er (etwas) keck, dies könne erkannt werden.
Wenn “Hacking” zum Klicken verkommt
Die obige Meldung weckte natürlich mein Interesse. Also versuchte ich den “Hack” von 2022 des Kanti-Schülers zu wiederholen und dabei auch zu testen, ob ich mit dem Verifizierungstool SEB-Verficator “auffliegen” würde. Da Safe Exam Browser nicht unter Linux läuft, hatte ich auch gleich die perfekte “Hacker-Umgebung”. Meine einzige Windows-Instanz läuft virtualisiert auf meinem Linux-Rechner. Sie wird selten angeworfen, aber hey, jetzt starte ich endlich einmal Windows11 mit Wonne… und installiere Safe Exam Browser sowie auch gleich den SEB-Verifikator. Der Start von Safe Exam Browser zeigt, die virtuelle Instanz mag er nicht:
Nun denn, kann ich mit meinen bald 60-Jahren mit einem 15-jährigen mithalten? Ich suche nach ‘Safe Exam Browser hack’ und bin erstaunt über die Fülle von Lösungen, die verfügbar sind. Ich gehe die Links durch. Bei der ersten Lösung “passt” die Version nicht.
Folglich gehe ich zum zweiten Link und fühle mich fast schon als Multi-Hacking-Hero, denn die Version scheint zu passen:
Ich klicke auf einen Download-Link (Exe-Datei von ca. 7 MByte) und starte das Programm.
Nun bin ich doch etwas enttäuscht. Mein Hacker-Alter (oder Hacker-Ego?) hätte jetzt schon erwartet, dass ich tief in der Windows-Registry hätte wühlen, oder zumindest auf der abgesicherten Windows-Command kryptische Befehle eingeben hätte müssen. Aber nein, ich klicke einmal auf ‘Patch’ und frage mich ungläubig, war es das jetzt, echt? Ich starte Safe Exam Browser erneut und voilà:
Hinweis bzw. Warnung: Auf einer nicht virtuellen Instanz (bei der Änderungen nicht rückgängig gemacht werden können) würde ich solche Programme nicht starten wollen.
Schwieriger war es letztlich, einen Test aufrufen zu können, da viele Links auf der Homepage von Safe Exam Browser nicht funktionieren. Aber letztlich wurde ich hier fündig:
Mit ‘sep1’ und ‘demo’ starte ich mein “Examen”:
Einige Fragen habe ich beantwortet, andere auch nicht. Nach knapp 10 Minuten hatte ich eine erfolgreiche Eingabe. 18 Prozent der Fragen hätte ich beantwortet, lautete das Fazit. Und ja, ich hab es auf einem Linux-Rechner (mit virtualisierter Windows-Instanz) doch sehr entspannt hingekriegt, obwohl genau dies gemäss der Safe Exam Projektseite nicht möglich ist.
Umgehen von SEB-Verficator
Zugegeben, das Test-Examen war ja nicht das, was mich interessierte, sondern die Frage, ob der SEB-Verficator mein “Schummeln” bemerken würde.
Dazu folgendes: Der SEB-Verificator wurde erstellt, um allfällige Manipulationen von Safe Exam Browser erkennen zu können. Einmal davon abgesehen, dass eine Software selber merken sollte, ob sie “propper” läuft oder nicht, könnte ja auch SEB-Verficator selber wieder manipuliert werden. Vorliegend wurde (musste) dieser Weg nicht gewählt werden, es ging viel einfacher.
Und damit wir uns richtig verstehen, ich habe dabei jetzt nicht geschummelt, sondern es war “nur” etwas “Handarbeit” notwendig, bis ich die Skripte startit und stopit hatte, die zum Erfolg führten. Alles in allem war der Aufwand minim, ein heute 15-jähriger Kanti-Schüler würde das sicher auch 2025 in ein paar Stunden hinkriegen. Auf alle Fälle brauchte ich selber nicht mehr Zeit dafür. Und auch damit dies hier angefügt ist, von Hacking kann nicht wirklich gesprochen werden.
Mit den Skripten startit bzw. stopit schalte ich zwischen gutem Test und gutem Arbeiten (Schummeln) um. Für wenig technisch Versierte, es ist einfach eine Art Diesel-Abgastest. Kommt der Prüfende, kann ich binnen Sekunden (unbemerkt) in den Test-Modus schalten und bin propper. Die Skripte publiziere ich hier nicht, es sei aber angefügt, dass es je drei Zeilen Code sind. Hier von Programmierung zu sprechen, es wäre eine Beleidigung für jene, die Apps (Programme) entwickeln.
SimonExam und andere
Wer es noch einfacher haben möchte, der sucht im Netz nach ‘safe exam hack help’ und findet dann Lösungen, die erahnen lassen, wie tief die Probleme beim Safe Exam Browser liegen:
Immerhin “brüstet” sich SimonExam, über 1000 Prüflingen sicher geholfen zu haben. Ich kann diese Aussage nicht beurteilen, aber rein von der Einfachheit her, wie auch 2025 Safe Exam Browser bzw. SEB Verficator “ausgetrickst” werden können, und ich ja hier nur ein Angebot stellvertretend anbringe, könnte die Zahl auch noch deutlich höher liegen:
Oder mit andern Worten gesagt, Safe Exam Browser erscheint mir auch 2025 löchrig wie ein Emmentaler.
Fazit 1: BYOD-Geräte und Internet sind nie sicher
Safe Exam Browser wird gemäss Homepage https://safeexambrowser.org von der ETH Zürich, Informatikdienste entwickelt. Die Finanzierung erfolgt über Contributors, die der ETH Zürich jährlich zwischen 2500 und 50000 Euro überweisen, wobei die ETH Zürich sich selber als Platin Contributor 50000 Euro “spendet”. Werden alle Contributors zusammengezählt, so dürfte das jährliche Budget etwa 300’000 Euro betragen. Das ist für eine sichere Internet-Lösung sehr wenig. Weiter sind einige Firmen an Board, welche die Lösung (auch) kommerziell am Markt vertreiben (z.B. https://exam.net oder https://examzone.ch, um nur einige zu nennen).
Spannender neben diesen “Fakten” ist die Tatsache, dass a) Safe Exam Browser meist auf dem Computer der Prüfenden installiert werden muss und dass b) “nur” Windows/Apple-Computer unterstützt werden und dass c) die Lösung als Open Source Software angepriesen wird.
Wie bitte? Eine Open Source Software erfordert zwingend den Einsatz eines proprietären Betriebssystems? Kann das gut gehen? Mit einem Wort gesagt: Nein! Dies deshalb, weil proprietäre Betriebssysteme gerade nicht so angepasst werden können, wie es notwendig wäre, damit Manipulation wirksam ausgeschlossen werden können.
Dazu kommt, dass die Installationen auf den Bring-In-Geräten (BYOD) der Probanden laufen. Es ist gelinde gesagt naiv zu glauben, dass dies funktioniert. Ein Blick auf die aktuelle Bug-Liste zeigt, selbst ohne Anpassungen an der Software, sicher sähe anders aus.
Dies hängt primär mit dem Safe Exam Browser-Konzept zusammen. Die Prüfungen werden im Internet abgelegt, ohne Verbindung nach aussen geht gar nichts. Wer sicherstellen will, dass niemand Hilfe von aussen holt, schaltet das Internet während der Tests ganz ab. Punkt! Abschalten hiesse, dass die entsprechenden Treiber auf dem Betriebssystem gelöscht werden bzw. gar nicht vorhanden sind.
Safe Exam Browser dagegen versucht, die Internet-Verbindung mit einer Software zu unterbinden. Stürzt Safe Exam Browser ab oder wird die Anwendung geschlossen, entfällt das gesamte Security-Konzept. Dass dem so ist, hat mit dem Ansatz zu tun, dass die Geräte der Prüfenden verwendet werden und dass auf diesen Geräten natürlich nicht einfach die entsprechenden Treiber entfernt werden können. Kurz und knapp: Konzept funktioniert nicht, fehlerhaftes Design.
Fazit 2: Rechtliche Grundlagen fehlen
Nun handelt es sich bei den Prüfungen mit Safe Exam aber nicht um einen lokalen Schwing-Event aus Vordertupfingen oder einen Lotto-Abend aus dem Altersheim in Hinterpaffendorf, die abgelegten Prüfungen bilden die Grundlage für die universitären Abschlüsse (Bachelor wie Master). Jährlich dürften Zehntausende solcher Tests alleine bei den beiden Hochschulen in Zürich abgelegt werden.
Dass zu Corona-Zeiten temporär zu Online-Prüfungen (wie hier vorliegend) gegriffen wurde, dies mag ich hier gar nicht (mehr) kommentieren. Dass das damalige Konzept aber auch 2025 noch z.B. bei der Universität Zürich auf Notrecht (ZH-Lex 818.15, Fassung vom 7.12.2020) beruht, ist und bleibt unhaltbar:
Sollte ich ‘In Kraft seit 1. Februar 2022’ falsch verstanden haben, so werde ich mich hier gerne entsprechend entschuldigen. Im anderen Falle sei aber auch gesagt, wer Notrecht auf den 8. November 2021 aufhebt und am 1. Februar 2022 wieder einführt, der schummelt irgendwie ziemlich gewaltig, denn im November, Dezember und Januar finden ja gerade keine Prüfungen statt.
Es fällt auf, dass alle Akteure (Safe Exam Browser wie ETH bzw. Universität Zürich) es mit Hingabe vermeiden, den Studierenden die entsprechenden rechtlichen Grundlagen auch nur in Ansätzen zu nennen. In der Vernehmlassung zum damaligen Notrecht wurde angeführt, dass Prüfende, die nicht über die notwendige Hard- wie Software verfügen, ein Leihgerat beantragen könnten.
Daraus ist heute (mit gleichem Notrecht, aber ohne jegliche notrechtlichen Gründe) ein Zwang zu Windows-/Apple-Geräten geworden, wobei nirgends auch nur halbwegs erklärt würde, warum dies so ist bzw. auf welcher Rechtsgrundlage dies beruht. Entsprechende juristische Fragen wurden (meines Wissens) bislang gar nicht erst behandelt, auf der Homepage der rechtswissenschaftlichen Fakultät steht einfach lapidar (kein Linux).
Fazit 3: Safe Exam löchrig wie Emmentaler
Angesichts der krassen Möglichkeiten zum Schummeln mit den “autorisierten” Geräten ist die Frage, ob LInux verwendet werden kann, insofern sekundär, da Safe Exam Browser ganz grundsätzlich nicht zum Einsatz kommen dürfte. Dabei geht es nicht nur um jene, die schummeln, sondern auch darum, was z.B. passiert, wenn Geräte kompromittiert werden (mal schnell dem/der zukünftigen Ex noch so richtig eins auswischen…).
Und wie sieht es mit der Haftung aus? ETH Zürich wie Universität Zürich entwickeln Safe Exam Browser, wie sollen sie neutral überprüfen, wo (ihre) Fehler liegen? Welche Eingriffe müssen Studierende über sich ergehen lassen? Was sehen Aufseher/innen bei den Prüflingen, gewollt wie ungewollt? Was sehen die amerikanischen Tech-Firmen?
In der Schweiz reden alle von digitaler Souveränität, Safe Exam würde ich jetzt nicht dazu zählen. Gut, mit dieser Einschätzung werde ich keine Blumentöpfe gewinnen, wahrscheinlich mache ich mich mit einer solchen Einschätzung in bestimmten Kreisen ziemlich unbeliebt. Lässt sich wohl irgendwie nicht vermeiden, damit lebe ich. Nur mit dem Emmentaler (Käse), mit diesem möchte ich es nicht verscherzen. Daher sage ich zum Abschluss, ich mag den echten Schweizer Emmentaler gern, ganz voll mit Löchern, einfach nicht digital mit Safe Exam.
P.S: Ich bin gerne bereit, meine Arbeit zu erläutern. Wenig Lust verspüre ich hingegen, eine Diskussion zu führen, ob solche Manipulationen vorkommen oder wie viel kriminelle Energie dazu benötigt wird bzw. ob es Sinn ergibt darüber zu berichten, weil damit ja erst “geschummelt” werden könne. Safe Exam Browser beruht für mich auf einem vollkommen fehlerhaften Design-Konzept (fault-by-design) und daher gehört die Lösung offline.
Update vom 7. August. 2025: Mittlerweile ist dieser Beitrag auf inside-paradeplatz.ch erschienen. Ebenfalls heute ist (quasi als Replik) ein Artikel erschienen, bei dem der Frage nachgegangen wird, ob die Mythen stimmen würden, dass Safe Exam Browser gehackt werden könne. Dies sei aber nicht so bzw. es lohne sich quasi nicht, dieser Beitrag findet sich hier:
Zwischen dem 1. Janaur 2021 und dem 31. März 2022 machte die Schweiz (alleine auf Bundesebende) zur Bewältigung von Covid Schulden über 65370 Millionen bzw. 65.37 Milliarden. Dies entspricht dem Erwerb von 
neuen Kampfflugzeugen gemäss Abstimmung Sommer 2020. Quelle: Covid-Schulden Bund