An der Universität Ulm wurde in diesen Tagen ein Hackerangriff bekannt. Daten von Universitätsmitgliedern sind nach dem aktuellen Kenntnisstand jedoch weder verändert noch missbraucht worden.
Der Angriff ist von einem Studenten der Universität ausgegangen, der eine Sicherheitslücke nachweisen wollte. Ende Mai hat der Hacker die Universität über sein Vorgehen informiert und umfassende Informationen über den Angriff zur Verfügung gestellt. Die Sicherheitslücke ist daraufhin schnellst möglich geschlossen und der zuständigen Aufsichtsbehörde gemeldet worden. Seither wurde der Vorfall technisch sowie juristisch aufgearbeitet. Potenziell betroffene Universitätsmitglieder sind identifiziert und informiert worden.
Konkret ist es dem Studenten gelungen, sich als Mitarbeiter des universitätseigenen Kommunikations- und Informationszentrum (kiz) im System anzumelden und so erweiterte Rechte zu erhalten. Potenziell bestand so Zugriff auf über das Netz bereitgestellte Nutzerverzeichnisse, in denen womöglich auch private Informationen abgelegt werden. Zudem war es dem Angreifer möglich, mit erweiterten Rechten auf Uni-Portale mit Selbstbedienfunktionen rund um die Verwaltung von Studium und Lehre zuzugreifen. Über diese Portale können sich Studierende unter anderem zu Prüfungen anmelden und etwa persönliche Daten bearbeiten.
Von diesem Sicherheitsvorfall betroffen sind Nutzer des Betriebssystems Unix (Linux). Auf die deutliche Mehrheit der Rechner an der Universität mit dem Betriebssystem Windows hatte der Hacker keinen Zugriff.
Von technischer Seite konnte zwar keine Manipulation nachgewiesen werden, und auch der Angreifer betont weiterhin, dass er lediglich eine Sicherheitslücke aufdecken wollte. Dennoch ruft das kiz alle betroffenen Nutzer zu erhöhter Wachsamkeit auf: In einer Rundmail sind Uni-Mitglieder gebeten worden, ihr so genanntes Home-Verzeichnis auf Unregelmäßigkeiten zu prüfen. Darüber hinaus ergreift die Universität eine Reihe weiterer Vorsichtsmaßnahmen. Beispielsweise werden die Zugangsdaten (PINs) von Mitgliedsausweisen aller Universitätsmitglieder zurückgesetzt.
„Der Universität Ulm ist der Datenschutz ihrer Studierenden sowie der Mitarbeiterinnen und Mitarbeiter besonders wichtig. Deshalb ist es uns ein Anliegen, mit dem erfolgten Angriff offen umzugehen und daraus zu lernen. Die Sicherheitslücke wurde umgehend geschlossen und es liegen derzeit keine Hinweise auf weiteren Datenmissbrauch vor“, resümiert Professor Stefan Wesner, Leiter des kiz.
Text/Medienkontakt: Annika Bingmann