IT-Sicherheit: Sensible Hochschuldaten 9 Jahre ungeschützt im Netz

(1 Bewertung, 5.00 von 5)

Über das Hochschul-Informations-System (HIS) speichern viele Universitäten in Deutschland wichtige Daten zu ihren Studierenden ab. Jetzt fand das Magazin für Computertechnik c’t heraus: Das System hat eine schwere Sicherheitslücke – seit 9 Jahren. Welche Daten standen ungeschützt im Web? Und seit wann wusste das für das System verantwortliche Unternehmen HIS eG von der Lücke?

So sah die Sicherheitslücke aus

Normalerweise können nur bestimmte Mitarbeiter der Unis die Daten im Hochschul-Informations-System abrufen. Durch einen Konfigurationsfehler gab es jedoch keine Prüfung der Zugangsberechtigung. Daher konnte jeder mit Kenntnis der entsprechenden URL die sensiblen Daten einsehen.

Seit wann wussten die Hochschulen über die Sicherheitslücke Bescheid?

Am 6. März 2020 wurde die HIS eG von einer betroffenen Hochschule auf die Sicherheitslücke hingewiesen. Am selben Tag kommunizierte das Unternehmen ein Workaround an die Universitäten. Am 9. März stellte es ein Sicherheitsupdate zur Verfügung. Die Sicherheitslücke bestand seit 2011.

c’t überprüft Systeme der Hochschulen

Nicht alle Hochschulen spielten das Update jedoch sofort ein. Nach einem Hinweis von einem anonymen Tippgeber überprüfte c’t am 12. März 58 Universitäten. Es fand mehrere Systeme, die die Sicherheitslücke noch nicht geschlossen hatten. Das Magazin informierte die Unis. Mittlerweile haben sie die Lücke behoben.

Diese Daten standen offen im Netz

Persönliche Daten von mehr als 600.000 Studenten standen jahrelang offen im Netz. Darunter Namen, Matrikelnummern, Adressen, Geburtsdaten und Immatrikulationsstatus. Das Datenleck bestand unter anderem an den staatlichen Unis in Düsseldorf, Bonn, Saarland und Hildesheim. Wie viele Universitäten und damit Studenten genau betroffen waren, ist nicht bekannt.

Konnten Unbefugte Daten abgreifen?

Es ist nicht bekannt, ob in den 9 Jahren Unbefugte auf die Daten zugegriffen haben. Denn: Die Log-Dateien im System reichen nur 1 bis 4 Wochen zurück.

Fazit

Die Datenschutz-Grundverordnung gibt vor: Die betroffenen Universitäten müssen den Vorfall der zuständigen Datenschutzbehörde melden. Die Hochschulen gaben an, dem nachgekommen zu sein. Bußgelder sind nicht möglich. Der Staat würde dabei nur an sich selbst zahlen.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
„Permanent Record“: USA verklagt Edward Snowden Vor wenigen Tagen ist die Autobiografie „Permanent Record“ von Edward Snowden erschienen. Am selben Tag reichte die US-Regierung Klage gegen den Whistleblower u...
Weiterlesen...
Universität Potsdam ermittelt die beliebtesten Passwörter 2019 Sichere Passwörter sind die Grundlage für ein sicheres Surfverhalten im Internet. Für User stellt sich dabei regelmäßig die Frage nach immer wieder neuen Passwö...
Weiterlesen...
Lösegeld verweigert: Hacker veröffentlichen Kundendaten von Energieversorger Rund 100.000 Haushalte in ganz Deutschland könnten in diesen Tagen Mails von Cyber-Erpressern erhalten. Wie die Technischen Werke Ludwigshafen TWL mitteilten, i...
Weiterlesen...
Trojaner-Angriff: Automobilzulieferer Gedia betroffen Abgeschaltete IT-Systeme, Zwangsurlaub für rund 350 Mitarbeiter und ein Betrieb im Notfallmodus ist die Folge eines Trojaner-Angriffs beim Automobilzulieferer G...
Weiterlesen...
BSI-Warnung: Vorsicht vor Trojaner-Mails vermeintlicher Behörden Das Berliner Kammergericht, die Humboldt-Universität und Unternehmen in ganz Deutschland haben sich in den letzten Wochen Malware in Form eines Trojaners eingef...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingDatenschutzRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support