Mastodawn

Hecke 🐺🇪🇺📯Jan 18, 2023

Ihr erinnert euch, dass ich kürzlich zwischen Lachen und Weinen schwankte, weil ich versuchte, Sicherheitslücken zu melden. Hier ist jetzt der Artikel (€), der mich in den vergangenen Wochen Nerven und Schlaf gekostet hat: @renereh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele sehr kritische Sicherheitslücken gefunden,. Und privatetste Daten, die wirklich niemand zu Gesicht bekommen sollte.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

IT-Sicherheit an Hochschulen: Hacker dringt in Server mehrerer deutscher Hochschulen ein

René Rehme konnte sensible Daten deutscher Hochschulen einfach einsehen – und hätte sogar Noten ändern können. Das zeigt, wie angreifbar Universitäten sind.

ZEIT ONLINE

Eva Wolfangel Jan 18, 2023

Kurzer Thread für euch: Wir haben insgesamt 73 Hochschulen getestet - die Wikipedia-Liste aller deutschen Hochschulen von oben, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni also!) schon teils massive Sicherheitslücken aufwiesen. Bei mindestens dreien fanden wir potentielle Einfallstore für Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc.

Eva Wolfangel Jan 18, 2023

Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend. Nicht nur wegen der vielen sensiblen Dokumente - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, zwischen den Jahren nicht erreichbar. #cybersecurity

Eva Wolfangel Jan 18, 2023

Wichtig für die Recherche waren auch die Gespräche mit @kantorkel, der die Funde unabhängig bewertete. Er hat selbst zu Daten- und #IT-Sicherheit an Unis geforscht und Lücken gemeldet. Er widerspricht der Uni Düsseldorf, die versuchte, unseren Fund zu relativieren ("nur ein begrenztes IT-Subsystem..."): Es sei "ein großer Teil der Server-Infrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden." Diese Fakultät hat 10.000 Studierende.

Eva Wolfangel Jan 18, 2023

Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren, weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity

Eva Wolfangel Jan 18, 2023

Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg. Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.

Eva Wolfangel Jan 18, 2023

Finally - das geht jetzt schon in Richtung Hintergrund, dazu werde ich die Tage noch mehr schreiben: Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht.

Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz. Besonders beeindruckt hat mich die HS Trier, die Sonntags innerhalb von 2 Stunden reagierte und den Vorfall sofort veröffentlichte: https://www.hochschule-trier.de/rzht/it-dienste-infos/informationssicherheit-und-datenschutz/roundcube-vorfall
#cybersecurity

Roundcube-Vorfall

Eva Wolfangel Jan 18, 2023

Weil sich viele wegen der Paywall aufregen: Das liegt nicht in meiner Verantwortung. Ich bin freie Journalistin, die von der ZEIT für einen solchen Artikel ein Pauschal-Honorar erhält. Dafür muss der Verlag natürlich irgendwoher das Geld nehmen. Ich finde es allerdings auch misslich, dass man den Text nicht einzeln kaufen kann.

Wer das anders löst, sind wir @riffreporter - und dort werde ich die Tage einen längeren Hintergrundbericht zur Recherche veröffentlichen. Ich poste das dann hier.

Eva Wolfangel Jan 23, 2023

Dieser Thread endet eventuell nie. Denn heute ist wieder etwas erstaunliches passiert: Ich habe durch eine geschlossene Lücke auf persönliche Daten zugreifen können.

Ja verrückt, oder? Klingt paradox, aber so offen können offiziell geschlossene Lücken sein. 😅

Ich hatte eigentlich nur pro-forma nochmal was angeklickt im Zuge einer Vortragsvorbereitung. Und zack, konnte ich schon wieder sehen, wer wann an wen eine E-Mail geschrieben hat. Ganz aktuell, E-Mails von heute.
#cybersecurity

Eva Wolfangel Jan 23, 2023

Und @renereh1 hat bei einer großen Uni nochmal genau hingeschaut und - tja - eine weitere kritische Sicherheitslücke gefunden. https://neos.social/@renereh1/109730498097070971

👾 Rene Rehme (@[email protected])

Attached: 1 video Wieder eine kritische Schwachstelle bei einer Hochschule gefunden. CVSS 9.8

Neos Community

Eva Wolfangel Jan 25, 2023

Nachdem mindestens zwei Unis in Interviews mit Lokalzeitungen Dinge anders dargestellt haben, als wir sie in Erinnerung hatten, haben wir nochmal nachvollzogen, wie wir vorgegangen waren. Beim Nachschauen haben wir bei der einen eine weitere kritische Lücke gefunden. Und bei der anderen bemerkt, dass die erste Lücke noch immer offen ist.

Melde jetzt die neue Lücke. "...haben wir versehentlich eine weitere Lücke bei Ihnen entdeckt..." Ansprechpartner:innen kenne ich ja zum Glück jetzt schon.

Eva Wolfangel Jan 25, 2023

Neues Lebensziel: So viele Sicherheitslücken melden, dass die mühsame Suche nach den Ansprechpartner:innen wegfällt. Man kennt sich ja schon.

DigitalNaiv = Stefan Pfeiffer Jan 25, 2023

@evawolfangel Legendär zumindest bei Fußball-Freunden in teutschen Landen

Robert Schöttl Jan 25, 2023

@evawolfangel
Ein wahrlich großes Vorhaben 😬

Bianca Kastl Jan 25, 2023

@evawolfangel Ja gut, irgendwann redest du übers Wetter, den Sport und dann geht's so am Rande über die Sicherheitslücken. 😬

Eva Wolfangel Jan 25, 2023

@bkastl Ja, hab auch gerade geschrieben, dass ich gerne erfreulichere Nachrichten hätte - vielleicht finden wir ja noch andere gemeinsame Interessen. :)

Bobo_PK 🦄Jan 25, 2023

@evawolfangel @bkastl ich hab das damals bei Heartbleed gemacht und musste es über den Präsidenten eskalieren weil man mich als Studi ignoriert hat. An Unis lauern so viele XP Leichen die noch ans Netz angeschlossen sind

lamitpObuS Jan 25, 2023

@evawolfangel Wäre aber irgendwie erschreckend, wenn du die gleichen Ansprechpartner so oft kontaktieren musst, dass du Telefonnummer, E-Mailadresse, etc. auswendig kennst.

jaxu@home Jan 25, 2023

@evawolfangel Wird von dir/euch eigentlich RFC 9116 - /.well-known/security.txt für die Kontakt-Suche verwendet? Wenn ja, dann plane ich ein bisschen Zeit ein, dass dann hier bei mir alle Server das bekommen. #securitytxt

Eva Wolfangel Jan 25, 2023

@jaxu Ist eine gute Idee, haben wir aber bei den Unis nicht vorgefunden.

jaxu@home Jan 26, 2023

@evawolfangel
Habe ich bei meiner kleinen Stichprobe auch festgestellt, dass wir die einzigen sind, die das haben. Aber wenn's von euch (und anderen) für die Kontaktsuche genutzt wird, dann sorge ich hier mal dafür, dass jeder 'meiner' Server das ausliefert. Und informiere auch mal meine direkten Kollegen und auf der einen oder anderen DFN-Mailingliste über das RFC.

Eva Wolfangel Jan 26, 2023

@jaxu Toll danke. Ja, darauf haben viele hingewiesen, dass sie das sinnvoll fänden aber viel zu selten vorfinden. An welcher Uni arbeitest du denn?

irmi Jan 28, 2023

@jaxu @evawolfangel Mindestens die Unis Erlangen, Münster, Mainz, Marburg und Köln haben eine security.txt, sowie die FH Münster.

jk Jan 27, 2023

@evawolfangel gab es schon meldewege, die in einer security.txt dokumentiert waren?

Eva Wolfangel Jan 27, 2023

@jk Mir noch nicht begegnet. Aber sicher sinnvoll!

Eva Wolfangel Jan 25, 2023

Wow Rekord, die Reaktion kam prompt - Bereich ist offline. Es hilft wirklich zu wissen, an wen man sich wenden muss.

sadarex Jan 25, 2023

@evawolfangel Wird Zeit das security.txt sich durchsetzt:
https://securitytxt.org/

security.txt

A proposed standard that allows websites to define security policies.

security.txt

Eva Wolfangel Feb 9, 2023

Die Geschichte mit den Unis und ihren Sicherheitslücken ist tatsächlich never-ending. Ich habe den Artikel für @riffreporter mehrmals aktualisiert, weil jedes Mal, wenn @renereh1 und ich hinschauen, bei Unis neue Lücken aufploppen. Seit der Veröffentlichung in der ZEIT ist einiges hinzugekommen, bspw Schadsoftware von früheren Cyberattacken, die auf Servern herumliegt - die Angriffe wurden nicht bemerkt. Ich warte heute auf das Statement der letzten Uni, dann geht der Text online.
#Cybersecurity

Eva Wolfangel Feb 10, 2023

Finally! Wir haben noch auf eine Antwort der Uni Bremen gewartet, weil wir dort nicht nur eine kritische Llücke, sondern auch Schadsoftware gefunden haben - leider war die aber recht wortkarg. Anders die Uni Tübingen, bei der @renereh1 und ich ebenfalls massive Lücken und einen unentdeckten Cyberangriff fanden: Der CIO gab uns spannende Einblicke. All das und die Lücken von 15 anderen Unis, Reaktionen und teils skurrile Geschichten aus dem Meldeprozess: https://www.riffreporter.de/de/technik/hacking-datenschutz-ransomware-hochschulen-universitaeten-daten-im-netz-it-sicherheit
#Cybersecurity

Wir haben Hochschulen gehackt – deren digitale Eingangstüren stehen weit offen

Immer häufiger werden Unis von kriminellen Hackern angegriffen. Dabei sind nicht nur private Daten in Gefahr, der ganze Betrieb kann lahmgelegt werden. Doch wie reagieren Hochschulen auf Attacken? Wir haben es ausprobiert.

RiffReporter

Eva Wolfangel Feb 10, 2023

Und: es gibt durchaus Lösungen! Der Tradeoff Freiheit versus Sicherheit ist kleiner, als es manche Unis darstellen: Diesmal kommt @kantorkel etwas ausführlicher zu Wort, der für @renereh1 und mich nicht nur die gefundenen Lücken bewertete, sondern auch konstruktive Vorschläge macht, wie auch eine recht dezentrale und wenig stete Infrastruktur wie eine Hochschule (ein "Sack Flöhe", wie ein Uni-Präsident uns gegenüber sagte) sicherer betrieben werden kann.

Eva Wolfangel Feb 10, 2023

Wenn ihr sehen wollt, was @renereh1 und ich beispielsweise gefunden haben, gibt es hier seit heute auch meinen Vortrag an der Uni Freiburg online: Dort habe ich mein Buch und im zweiten Teil auch die Uni-Recherche vorgestellt und ein paar Beispiele gezeigt. (das war der Vortrag, in dessen Vorbereitung ich zufällig bemerkte, dass die Lücke der Uni Stuttgart noch immer offen ist)

https://video.uni-freiburg.de/video/Vortrag-Ein-falscher-Klick/f7e6fe6baf804bb2450148a72cd19fd6

Vortrag Ein falscher Klick

Die Abhängigkeit von digitalen Infrastrukturen steigt zunehmends wie es auch die Erfahrungen in der COVID-Pandemie gezeigt haben. Zeitgleich steigt auch die Gefahr, Opfer eines Cyberangriffs zu werden. Frau Wolfangel, ausgewiesene Technik-Journalistin, hat hierzu Ende 2022 ihr Buch "Ein falscher Klick" veröffentlicht, in dem insbesondere die Geschäftstätigkeiten im Bereich Cyberkriminalität und die Übergange hin zu staatlichen Cyberangriffen eindrücklich beschrieben werden. Dass auch Universitäten daher lohnende Angriffsziele sind, bestätigte eine Recherche von Frau Wolfangel, deren Ergebnisse im Januar 2023 in der ZEIT veröffentlicht wurden. In Ihrem Vortrag gibt Frau Wolfangel exemplarische Eindrücke in die Welt der Cyberkriminalität und schlägt die Brücke zum aktuellen Stand der IT-Sicherheit an Hochschulen. Ein Weckruf, der nicht ungehört bleiben darf.

Videoportal Universität Freiburg

Ketakater Feb 10, 2023

@evawolfangel @renereh1 Was der Thomas Grünewald zum besten gibt, klingt schon sehr nach Resignation. "Dem Hausfrieden Vorrang geben". Klar muss man auch den Faktor Mensch immer mit beachten, aber die Aufgabe guter Cybersecurity ist es diese Gratwanderung zu schaffen.

Ketakater Feb 10, 2023

@evawolfangel @renereh1 Und was das Umleiten von geschäftlichen Mailverkehrs auf private Accounts angeht, dem kann (und sollte) man arbeitsrechtlich recht gut einen Riegel vorschieben. "Ich hatte keinen Bock auf VPN" ist ne sehr miese Ausrede

Christian Willmes Feb 10, 2023

@evawolfangel @kantorkel @renereh1 das Problem sind an erster Stelle fehlende (Personal) Resourcen der Uni Rechenzentren. Die Ansprüche an IT Infrastruktur an einer Universität sind sehr vielfältig, komplex und heterogen. Aufgrund der Verantwortung die auf diesem IT Personal dann liegt, muss auch entsprechend gezahlt werden. Für TVöD E11 macht das halt kaum jemand. In der freien Wirtschaft bekommt man locker das Doppelte für den gleichen Job.

Jens Lange Feb 10, 2023

@evawolfangel @kantorkel @renereh1
"Die Wanze an der Wand ist die Laus im Pelz, die den Floh im Kopf abhört." Das Zusammenspiel föderaler #ITSicherheit der öffentlichen Verwaltung in einem Satz. 🙃

Ketakater Feb 10, 2023

@evawolfangel @kantorkel @renereh1 Danke, dass du das noch mal klarstellst. Die Verantwortlichen machen es sich oft zu leicht indem sie die wenig homogene Infrastruktur als unlösbares Problem hinstellen und Kapitulation davor als alternativlos.

Matze Feb 10, 2023

@evawolfangel @renereh1
Tja, irgendetwas sollte noch produziert werden oder?

Peter Amthor Feb 10, 2023

@evawolfangel @renereh1
Die Denk- und Arbeitskultur an den meisten Unis ist glücklicherweise libertär und dezentral by nature. Als Forschender in der Informatik können mir die Admins manchmal aber leid tun, wenn sie es mit sehr individuellen technischen Setups und Infrastrukturwünschen durch mich und meine Kollegen zu tun bekommen… lokale Pauschallösungen gibt es nicht, wie Thomas Grünewald richtigerweise erklärt hat.

Richtig und notwendig wäre hier, wie es bereits in der Wirtschaft langsam einsickert, ein Umdenken auf Kooperation und Allianzbildung anstelle von Geheimhalterei und security by obscurity. Ironischerweise könnten gerade dabei dezentrale Infrastrukturen helfen, etwa ein gut ausgebautes und gepflegtes Threat Intelligence Netzwerk für den öffentlichen Bereich.

#infosec #cybersecurity #tis #cti #ctis #threadintelligence #informationsharing

@evawolfangel @renereh1 Danke für den guten (haarsträubenden) Artikel. Ich habe noch ein paar Tippfehler gefunden:

etc/passwd ("/etc/passwd" mit führendem /)
Eine Ransomware-Bande ... wären ("wäre")
Damit war es möglich ist ... (streiche "ist")
Bisher seien ... wurde ("worden")
viele ihr Atteste ("ihre")
Datenschutzbehörde verlangen ("behörden")

Eva Wolfangel Feb 10, 2023

@barubary Super danke - habe ich direkt geändert (dauert eventuell ein bisschen, bis es "ankommt" - das Internet ist zu groß ;)) @renereh1

RZ der Hochschule Trier Feb 10, 2023

@evawolfangel @renereh1
Nur ne Kleinigkeit...aber dann doch wieder nicht. Ich weiß, dass das den Hochschulen wichtig ist: Hochschule Trier...nicht FH Trier. Und das schon seit 2012
https://www.hochschule-trier.de/hochschule/hochschulportraet/geschichte
Vermutlich gilt das auch für die meisten anderen im Artikel erwähnten Hochschulen auch. Vielleicht könnt Ihr da mal noch korrigieren.

Geschichte

Eva Wolfangel Feb 10, 2023

@TeamINSI Oh danke - das ändere ich sofort! @renereh1

Eva Wolfangel Feb 10, 2023

@TeamINSI Oh heißt das, dass FH jetzt generell Hochschule heißt? @renereh1

Christian Frank Feb 10, 2023

@evawolfangel @TeamINSI @renereh1 Soweit ich weiss, gibt es seit der Umsetzung von Bologna nur noch Hochschulen in Deutschland

Eva Wolfangel Feb 10, 2023

@chfrankcgn Hm seltsam, die FHs Kiel, Münster und Erfurt nennen sich alle auf ihren Websites noch FH. Deshalb lasse ich das im Text ertsmal so. @TeamINSI @renereh1

Christian Frank Feb 10, 2023

@evawolfangel @TeamINSI @renereh1 Oops - vielleicht ist das abhängig vom Bundesland? Hier heisst die ehemalige FH Köln jetzt Technische Hochschule und die FOM, an der ich unterrichte, heisst auch nur noch Hochschule

RZ der Hochschule Trier Feb 10, 2023

@evawolfangel @renereh1
Ob das für alle gilt, kann ich nicht sicher sagen. Für die meisten bestimmt. Aber das lässt sich ja relativ leicht rausfinden 😉

Christian Willmes Feb 9, 2023

@evawolfangel @riffreporter @renereh1 Das ist ein sehr schmaler Grad auf dem sich die IT Departments/Rechenzentren der Unis da bewegen. Zwischen Freiheit/Autonomie der Arbeitsgruppen IT Infrastrukturen zu entwickeln und selber zu Betreiben und zentral zur Verfügung gestellten und gewarteten/überwachten Systemen. Das ist ein Tradeoff zwischen dem Zulassen von IT Infrastruktur Forschung und Entwicklung und Resourcen für zentral bereitgestellter "gesicherter" Infrastruktur.

Christian Willmes Feb 9, 2023

@evawolfangel @riffreporter @renereh1 einfachstes Beispiel um das Nachzuvollziehen: Soll man den Wissenschaftler*innen erlauben bzw die Freiheit gestatten auf ihren Arbeitsrechnern Software selber zu Installieren oder wird das zentral gemacht.

Eva Wolfangel Feb 9, 2023

@cwillmes Absolut, genau dazu steht einiges in dem Artikel, der jetzt dann wirklich bald erscheint. Mir ist klar, dass das alles nicht einfach ist.

Wobei das alles natürlich kein Grund ist, nicht zu bemerken, wenn Kriminelle eine Hintertür ins eigene Netzwerk einbauen. Auch dazu habe ich einiges recherchiert: wie Unis und Hochschulen diesen Trade Off entschärfen können und trotzdem für einigermaßen sichere Netze sorgen.

.@riffreporter @renereh1

Leah Jan 18, 2023

@evawolfangel @riffreporter wenn's voll mit Werbung ist beschweren sie sich, wenn's ne Paywall hat beschweren sie sich... Und wenn's was anderes gäbe es auch Beschwerden. Musst ja auch von was leben.

Alltagsradler Jan 19, 2023

@evawolfangel @riffreporter
Von irgenswas müssen die Verlage ja auch die Autoren und auch die Reportagen zahlen. Kostenlos geht das nicht. Wem das nicht passt, kann sich ja bei den Alternativen wie @riffreporter , @Krautreporter , @correctiv_org sogar mehr als nur mit Geld einbringen.

Ich bin jedenfalls schon gespannt auf den Artikel bei den riffreportern.

Avatarinchen Jan 18, 2023

@evawolfangel Die Leute aus Trier haben sich auch bedankt. So gehört sich das, so ist es anständig.
Mit Drohungen zurückkommen ist echt das Letzte.

Alfred J. Kwak (audiokontor) ☕Jan 18, 2023

@evawolfangel und Trier hat sich sogar mit Knicks und Mastodon-link bedankt. das wärmt das Herz ;)

@evawolfangel zeigt auch mal wieder schön, wie Unis in ihrer eigenen Realität leben. In der Wirtschaft, wo ein Angriff tatsächlich Folgen für das Geschäft hat, nimmt man es etwas ernster.

Robert Schöttl Jan 18, 2023

@evawolfangel @benjiButo
Na ja. Seitens der Wirtschaft kommt es durchaus auch vor, dass
- nicht reagiert wird
- mit Drohungen reagiert wird
- geleugnet wird
- extrem langsam reagiert wird
Insofern kann ich da keinen großen Unterschied zu den HS feststellen.

@Robert_Schoettl @evawolfangel hmm dann ist es persönlicher Bias 😉 aber gut es hätte mich auch gewundert.

kiilo 💭 ☀️ ✅ 🍌Jan 18, 2023

@evawolfangel an Unis ist der Leitung meist die Gesamtverantwortung die auch it mit einschliesst nicht bekannt - da wird dann gern geknausert. Da läuft einiges ad hoc undokumentiert und wird nach Projektende gern vergessen.

Teri Yaki 🖌️🎹🚲💻Jan 18, 2023

@evawolfangel Ich lache und es gruselt mich.

Eva Wolfangel Jan 18, 2023

@Ihazchaos Genau zwischen diesen beiden Gefühlszuständen schwankte ich die vergangenen Wochen angesichts dieser Recherche.

Markus Feilner (has moved)Jan 31, 2023

@evawolfangel @Ihazchaos Welcome to the club.