Angriffe zwischen den Jahren
„Eine gute Zeit dafür, Angriffe zu starten, war zwischen Weihnachten und Neujahr, wenn die Aufmerksamkeit von IT-Verantwortlichen niedriger ist als sonst“, erklären Wolfangel und Rehme in ihrem Bericht bei Riffreporter. Das wissen auch einige Mitglieder des Bundesverbands Hochschulkommunikation nur zu gut und berichten in unserem Mitgliederbereich von ihren eigenen Erfahrung mit kriminellen Hackerangriffen (Podium vom 27. Januar 2023, Link für Mitglieder sichtbar).
Risiken zu lange hingenommen
Der ethische Hacker Rehme war zwischen den Jahren bei der Hochschule Niederrhein erfolgreich, was deren Präsidenten nicht wirklich überrascht hat: „Wir haben bestimmte Risiken gekannt und sie möglicherweise zu Unrecht zu lange hingenommen“, sagte er den Riffreporter*innen als sie ihn einige Tage später darauf ansprachen.
Eine Unaufmerksamkeit hatte den Eindringlingen die Tür geöffnet, sie bekamen Zugriff auf ein internes System, schleusten ein Programm ein und lasen Dateien aus. Kriminelle Angreifer hätten im nächsten Schritt nach Passwörtern gesucht, Daten gestohlen und verschlüsselt und eine Lösegeld-Forderung an die Hochschule geschickt.
Hochschulen sind schlecht geschützt
Jede fünfte Hochschule wies laut den Recherchen der beiden Autor*innen eine Sicherheitslücke auf. „Wir fanden nicht nur extrem kritische Lücken, sondern teilweise auch Schadcode, den kriminelle Angreifer*innen bereits in den IT-Systemen hinterlassen hatten – unbemerkt von den Unis selbst“, schreiben sie in ihrem Bericht. Und als sie die Sicherheitslücken meldeten, erlebten sie noch mehr Überraschungen: „Viele reagierten schnell, aber andere waren kaum zu erreichen“. Und zwei Hochschulen hätten sogar mit rechtlichen Schritten gedroht und auf die sogenannten „Hackerparagrafen“ und das Presserecht verwiesen.
Viel zu viele Sicherheitslücken und Datenlecks
Ursprünglich wollten die Tech-Journalistin und der ethische Hacker alle der mehr als 400 deutschen Hochschulen auf den Prüfstand stellen. Doch nach den 73 größten Hochschulen brachen sie ab. „Wir fanden so viele Lücken und Datenlecks, dass uns klar wurde, dass wir aufhören müssen“, sagen sie.
Auf die schwerste Sicherheitslücke stießen die beiden nach eigenen Angaben an der Universität Düsseldorf. Dort bekamen sie Zugriff auf mehrere zentrale Dateispeichersysteme der philosophischen Fakultät, die offen im Netz lagen. „Darin waren mehr als 100 Passwörter von Nutzenden gänzlich unverschlüsselt gespeichert und weitere knapp 500 mit einer veralteten, leicht zu knackenden Methode verschlüsselt.“
Noten, Zeugnisse und Atteste im Internet
Darüber hinaus fanden die Aktivist*innen an vielen Hochschulen und Universitäten unzählige Datenlecks und bekamen sehr persönliche Einblicke in das Leben von Studierenden und Hochschulangehörigen. Sie konnten Noten und Zeugnisse einsehen ebenso wie Atteste und Krankmeldungen – oder auch unveröffentlichte Forschungsarbeiten. „Alle betroffenen Institutionen nutzen eine freie Software namens Roundcube und hatten diese schlicht falsch implementiert“, wundert sich René Rehme.
„Der Umfang der (...) zugänglichen Daten ist bemerkenswert“, betont auch Matthias Marx. Die beiden Autor*innen hatten den IT-Sicherheitsforscher gebeten, die von ihnen entdeckten Schwachstellen unabhängig zu bewerten. Er selbst hatte schon vor ihnen zum Thema Sicherheit und Datenschutz an Universitäten geforscht und ebenfalls Sicherheitslücken gemeldet.
Datenschutzbehörden werden aktiv
Inzwischen sind auch einige Landesdatenschutzbehörden aktiv. Denn wenn persönliche Daten offen im Netz liegen, müssen die Verantwortlichen die jeweiligen Datenschutzbehörden informieren – aber auch das taten laut den Recherchen einige der betroffenen Hochschulen und Universitäten nicht.
Mehr Informationen:
- Bericht bei Riffreporter am 10. Februar 2023: https://www.riffreporter.de/de/technik/hacking-datenschutz-ransomware-hochschulen-universitaeten-daten-im-netz-it-sicherheit
- Erfahrungsbericht im Mitgliederbereich des BV_HKOM: https://www.bundesverband-hochschulkommunikation.de/themen/krisenkommunikation/
- Forschungsergebnisse von Matthias Marx et. al.: https://muelli.cryptobit.ch/paper/2018-02-DFN-PrivacyScore.pdf
Elke Zapf