IT-Sicherheit: Sensible Hochschuldaten 9 Jahre ungeschützt im Netz

(2 Bewertungen, 3.00 von 5)

Über das Hochschul-Informations-System (HIS) speichern viele Universitäten in Deutschland wichtige Daten zu ihren Studierenden ab. Jetzt fand das Magazin für Computertechnik c’t heraus: Das System hat eine schwere Sicherheitslücke – seit 9 Jahren. Welche Daten standen ungeschützt im Web? Und seit wann wusste das für das System verantwortliche Unternehmen HIS eG von der Lücke?

So sah die Sicherheitslücke aus

Normalerweise können nur bestimmte Mitarbeiter der Unis die Daten im Hochschul-Informations-System abrufen. Durch einen Konfigurationsfehler gab es jedoch keine Prüfung der Zugangsberechtigung. Daher konnte jeder mit Kenntnis der entsprechenden URL die sensiblen Daten einsehen.

Seit wann wussten die Hochschulen über die Sicherheitslücke Bescheid?

Am 6. März 2020 wurde die HIS eG von einer betroffenen Hochschule auf die Sicherheitslücke hingewiesen. Am selben Tag kommunizierte das Unternehmen ein Workaround an die Universitäten. Am 9. März stellte es ein Sicherheitsupdate zur Verfügung. Die Sicherheitslücke bestand seit 2011.

c’t überprüft Systeme der Hochschulen

Nicht alle Hochschulen spielten das Update jedoch sofort ein. Nach einem Hinweis von einem anonymen Tippgeber überprüfte c’t am 12. März 58 Universitäten. Es fand mehrere Systeme, die die Sicherheitslücke noch nicht geschlossen hatten. Das Magazin informierte die Unis. Mittlerweile haben sie die Lücke behoben.

Diese Daten standen offen im Netz

Persönliche Daten von mehr als 600.000 Studenten standen jahrelang offen im Netz. Darunter Namen, Matrikelnummern, Adressen, Geburtsdaten und Immatrikulationsstatus. Das Datenleck bestand unter anderem an den staatlichen Unis in Düsseldorf, Bonn, Saarland und Hildesheim. Wie viele Universitäten und damit Studenten genau betroffen waren, ist nicht bekannt.

Konnten Unbefugte Daten abgreifen?

Es ist nicht bekannt, ob in den 9 Jahren Unbefugte auf die Daten zugegriffen haben. Denn: Die Log-Dateien im System reichen nur 1 bis 4 Wochen zurück.

Fazit

Die Datenschutz-Grundverordnung gibt vor: Die betroffenen Universitäten müssen den Vorfall der zuständigen Datenschutzbehörde melden. Die Hochschulen gaben an, dem nachgekommen zu sein. Bußgelder sind nicht möglich. Der Staat würde dabei nur an sich selbst zahlen.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Cyberkriminalität: Mitarbeiter gehen zu sorglos mit Firmendaten um Bei über 50 Prozent der kleinen und mittelständischen Unternehmen in Deutschland hätten Angreifer derzeit leichtes Spiel. Das ergab eine Studie im Auftrag der V...
Weiterlesen...
Google AdSense: Erpressermasche fordert 5.000 Dollar Erpressermaschen sind derzeit vor allem in Verbindung mit dem Trojaner-Virus Emotet bekannt. Dabei verschlüsseln Angreifer Dateien eines Systems und fordern ein...
Weiterlesen...
IT-Sicherheit: Millionen Autos lassen Wegfahrsperre deaktivieren Forscher der Katholischen Universität Löwen in Belgien und der Universität Birmingham im Vereinigten Königreich fanden jetzt heraus: Die Wegfahrsperre von Milli...
Weiterlesen...
Schadsoftware Emotet: Achtung vor diesen Mails Emotet gehört aktuell zu den gefährlichsten Trojanern im Netz. Erst im Dezember 2018 und Januar 2019 hatte das Bundesamt für Sicherheit in der Informationstechn...
Weiterlesen...
Krypto-Börse KuCoin: Hacker stehlen Kryptogeld in Millionenhöhe Am 26. September registrierte die Krypto-Börse KuCoin große Abhebungen aus den Hot Wallets. Sie leitete daher eine Sicherheitsprüfung ein. Die Börse stellte fes...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support