Eva WolfangelJan 18, 2023

Ihr erinnert euch, dass ich kürzlich zwischen Lachen und Weinen schwankte, weil ich versuchte, Sicherheitslücken zu melden. Hier ist jetzt der Artikel (€), der mich in den vergangenen Wochen Nerven und Schlaf gekostet hat: @renereh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele sehr kritische Sicherheitslücken gefunden,. Und privatetste Daten, die wirklich niemand zu Gesicht bekommen sollte.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

#cybersecurity

IT-Sicherheit an Hochschulen: Hacker dringt in Server mehrerer deutscher Hochschulen ein

René Rehme konnte sensible Daten deutscher Hochschulen einfach einsehen – und hätte sogar Noten ändern können. Das zeigt, wie angreifbar Universitäten sind.

ZEIT ONLINE
Show threadEva WolfangelJan 18, 2023
Kurzer Thread für euch: Wir haben insgesamt 73 Hochschulen getestet - die Wikipedia-Liste aller deutschen Hochschulen von oben, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni also!) schon teils massive Sicherheitslücken aufwiesen. Bei mindestens dreien fanden wir potentielle Einfallstore für Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc.
Show threadEva WolfangelJan 18, 2023
Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend. Nicht nur wegen der vielen sensiblen Dokumente - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, zwischen den Jahren nicht erreichbar. #cybersecurity
Show threadEva WolfangelJan 18, 2023
Wichtig für die Recherche waren auch die Gespräche mit @kantorkel, der die Funde unabhängig bewertete. Er hat selbst zu Daten- und #IT-Sicherheit an Unis geforscht und Lücken gemeldet. Er widerspricht der Uni Düsseldorf, die versuchte, unseren Fund zu relativieren ("nur ein begrenztes IT-Subsystem..."): Es sei "ein großer Teil der Server-Infrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden." Diese Fakultät hat 10.000 Studierende.
Show threadEva WolfangelJan 18, 2023
Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren, weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity
Show threadEva WolfangelJan 18, 2023
Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg. Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.
Show threadEva WolfangelJan 18, 2023

Finally - das geht jetzt schon in Richtung Hintergrund, dazu werde ich die Tage noch mehr schreiben: Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht.

Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz. Besonders beeindruckt hat mich die HS Trier, die Sonntags innerhalb von 2 Stunden reagierte und den Vorfall sofort veröffentlichte: https://www.hochschule-trier.de/rzht/it-dienste-infos/informationssicherheit-und-datenschutz/roundcube-vorfall
#cybersecurity

Roundcube-Vorfall

Show threadEva WolfangelJan 18, 2023

Weil sich viele wegen der Paywall aufregen: Das liegt nicht in meiner Verantwortung. Ich bin freie Journalistin, die von der ZEIT für einen solchen Artikel ein Pauschal-Honorar erhält. Dafür muss der Verlag natürlich irgendwoher das Geld nehmen. Ich finde es allerdings auch misslich, dass man den Text nicht einzeln kaufen kann.

Wer das anders löst, sind wir @riffreporter - und dort werde ich die Tage einen längeren Hintergrundbericht zur Recherche veröffentlichen. Ich poste das dann hier.

Show threadAlltagsradler

@evawolfangel @riffreporter
Von irgenswas müssen die Verlage ja auch die Autoren und auch die Reportagen zahlen. Kostenlos geht das nicht. Wem das nicht passt, kann sich ja bei den Alternativen wie @riffreporter , @Krautreporter , @correctiv_org sogar mehr als nur mit Geld einbringen.

Ich bin jedenfalls schon gespannt auf den Artikel bei den riffreportern.

Jan 19, 2023 at 4:15pmWeb