Auf die Universität Ulm ist ein Hackerangriff verübt worden. Der Vorfall wurde in diesen Tagen bekannt. Daten von Universitätsmitgliedern sind nach dem aktuellen Kenntnisstand weder verändert noch missbraucht worden.

Täter

Der Angriff ist von einem Studenten der Universität verübt worden, er wollte eine Sicherheitslücke nachweisen.

Vorfall

Ende Mai hat der Hacker der Universität sein Vorgehen bekanntgegeben und umfassende Informationen über den Angriff zur Verfügung gestellt.

Reaktion

Die Sicherheitslücke ist daraufhin schnellstmöglich geschlossen und der zuständigen Aufsichtsbehörde gemeldet worden.

Folgen

Seither wurde der Vorfall technisch sowie juristisch aufgearbeitet. Potenziell betroffene Universitätsmitglieder sind identifiziert und informiert worden.

Was genau war passiert?

Konkret ist es dem Studenten gelungen, sich als Mitarbeiter des universitätseigenen Kommunikations- und Informationszentrum (kiz) im System anzumelden und so erweiterte Rechte zu erhalten. Potenziell bestand so Zugriff auf über das Netz bereitgestellte Nutzerverzeichnisse, in denen womöglich auch private Informationen abgelegt werden.

Zudem war es dem Angreifer möglich, mit erweiterten Rechten auf Uni-Portale mit Selbstbedienfunktionen rund um die Verwaltung von Studium und Lehre zuzugreifen. Über diese Portale können sich Studierende unter anderem zu Prüfungen anmelden und etwa persönliche Daten bearbeiten.

Betroffene

Von diesem Sicherheitsvorfall betroffen sind Nutzer des Betriebssystems Unix (Linux). Auf die deutliche Mehrheit der Rechner an der Universität mit dem Betriebssystem Windows hatte der Hacker keinen Zugriff.

Achtung!

Von technischer Seite konnte zwar keine Manipulation nachgewiesen werden, und auch der Angreifer betont weiterhin, dass er lediglich eine Sicherheitslücke aufdecken wollte. Dennoch ruft das kiz alle betroffenen Nutzer zu erhöhter Wachsamkeit auf: In einer Rundmail sind Uni-Mitglieder gebeten worden, ihr so genanntes Home-Verzeichnis auf Unregelmäßigkeiten zu prüfen.

PIN ändern

Darüber hinaus ergreift die Universität eine Reihe weiterer Vorsichtsmaßnahmen. Beispielsweise werden die Zugangsdaten (PINs) von Mitgliedsausweisen aller Universitätsmitglieder zurückgesetzt.

Transparenz

„Der Universität Ulm ist der Datenschutz ihrer Studierenden sowie der Mitarbeiterinnen und Mitarbeiter besonders wichtig. Deshalb ist es uns ein Anliegen, mit dem erfolgten Angriff offen umzugehen und daraus zu lernen. Die Sicherheitslücke wurde umgehend geschlossen und es liegen derzeit keine Hinweise auf weiteren Datenmissbrauch vor“, resümiert Professor Stefan Wesner, Leiter des kiz.