Mastodawn

Eva Wolfangel Jan 18, 2023

Ihr erinnert euch, dass ich kürzlich zwischen Lachen und Weinen schwankte, weil ich versuchte, Sicherheitslücken zu melden. Hier ist jetzt der Artikel (€), der mich in den vergangenen Wochen Nerven und Schlaf gekostet hat: @renereh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele sehr kritische Sicherheitslücken gefunden,. Und privatetste Daten, die wirklich niemand zu Gesicht bekommen sollte.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

#cybersecurity

IT-Sicherheit an Hochschulen: Hacker dringt in Server mehrerer deutscher Hochschulen ein

René Rehme konnte sensible Daten deutscher Hochschulen einfach einsehen – und hätte sogar Noten ändern können. Das zeigt, wie angreifbar Universitäten sind.

ZEIT ONLINE

Show thread

Eva Wolfangel Jan 18, 2023

Kurzer Thread für euch: Wir haben insgesamt 73 Hochschulen getestet - die Wikipedia-Liste aller deutschen Hochschulen von oben, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni also!) schon teils massive Sicherheitslücken aufwiesen. Bei mindestens dreien fanden wir potentielle Einfallstore für Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc.

Show thread

Eva Wolfangel Jan 18, 2023

Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend. Nicht nur wegen der vielen sensiblen Dokumente - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, zwischen den Jahren nicht erreichbar. #cybersecurity

Show thread

Eva Wolfangel Jan 18, 2023

Wichtig für die Recherche waren auch die Gespräche mit @kantorkel, der die Funde unabhängig bewertete. Er hat selbst zu Daten- und #IT-Sicherheit an Unis geforscht und Lücken gemeldet. Er widerspricht der Uni Düsseldorf, die versuchte, unseren Fund zu relativieren ("nur ein begrenztes IT-Subsystem..."): Es sei "ein großer Teil der Server-Infrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden." Diese Fakultät hat 10.000 Studierende.

Show thread

Eva Wolfangel Jan 18, 2023

Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren, weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity

Show thread

Eva Wolfangel Jan 18, 2023

Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg. Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.

Show thread

Eva Wolfangel Jan 18, 2023

Finally - das geht jetzt schon in Richtung Hintergrund, dazu werde ich die Tage noch mehr schreiben: Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht.

Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz. Besonders beeindruckt hat mich die HS Trier, die Sonntags innerhalb von 2 Stunden reagierte und den Vorfall sofort veröffentlichte: https://www.hochschule-trier.de/rzht/it-dienste-infos/informationssicherheit-und-datenschutz/roundcube-vorfall
#cybersecurity

Roundcube-Vorfall

Show thread

Eva Wolfangel Jan 18, 2023

Weil sich viele wegen der Paywall aufregen: Das liegt nicht in meiner Verantwortung. Ich bin freie Journalistin, die von der ZEIT für einen solchen Artikel ein Pauschal-Honorar erhält. Dafür muss der Verlag natürlich irgendwoher das Geld nehmen. Ich finde es allerdings auch misslich, dass man den Text nicht einzeln kaufen kann.

Wer das anders löst, sind wir @riffreporter - und dort werde ich die Tage einen längeren Hintergrundbericht zur Recherche veröffentlichen. Ich poste das dann hier.

Show thread

Eva Wolfangel Jan 23, 2023

Dieser Thread endet eventuell nie. Denn heute ist wieder etwas erstaunliches passiert: Ich habe durch eine geschlossene Lücke auf persönliche Daten zugreifen können.

Ja verrückt, oder? Klingt paradox, aber so offen können offiziell geschlossene Lücken sein. 😅

Ich hatte eigentlich nur pro-forma nochmal was angeklickt im Zuge einer Vortragsvorbereitung. Und zack, konnte ich schon wieder sehen, wer wann an wen eine E-Mail geschrieben hat. Ganz aktuell, E-Mails von heute.
#cybersecurity

Show thread

Eva Wolfangel Jan 23, 2023

Und @renereh1 hat bei einer großen Uni nochmal genau hingeschaut und - tja - eine weitere kritische Sicherheitslücke gefunden. https://neos.social/@renereh1/109730498097070971

👾 Rene Rehme (@[email protected])

Attached: 1 video Wieder eine kritische Schwachstelle bei einer Hochschule gefunden. CVSS 9.8

Neos Community

Show thread

Eva Wolfangel Jan 25, 2023

Nachdem mindestens zwei Unis in Interviews mit Lokalzeitungen Dinge anders dargestellt haben, als wir sie in Erinnerung hatten, haben wir nochmal nachvollzogen, wie wir vorgegangen waren. Beim Nachschauen haben wir bei der einen eine weitere kritische Lücke gefunden. Und bei der anderen bemerkt, dass die erste Lücke noch immer offen ist.

Melde jetzt die neue Lücke. "...haben wir versehentlich eine weitere Lücke bei Ihnen entdeckt..." Ansprechpartner:innen kenne ich ja zum Glück jetzt schon.

Show thread

Eva Wolfangel Feb 9, 2023

Die Geschichte mit den Unis und ihren Sicherheitslücken ist tatsächlich never-ending. Ich habe den Artikel für @riffreporter mehrmals aktualisiert, weil jedes Mal, wenn @renereh1 und ich hinschauen, bei Unis neue Lücken aufploppen. Seit der Veröffentlichung in der ZEIT ist einiges hinzugekommen, bspw Schadsoftware von früheren Cyberattacken, die auf Servern herumliegt - die Angriffe wurden nicht bemerkt. Ich warte heute auf das Statement der letzten Uni, dann geht der Text online.
#Cybersecurity

Show thread

Eva Wolfangel Feb 10, 2023

Finally! Wir haben noch auf eine Antwort der Uni Bremen gewartet, weil wir dort nicht nur eine kritische Llücke, sondern auch Schadsoftware gefunden haben - leider war die aber recht wortkarg. Anders die Uni Tübingen, bei der @renereh1 und ich ebenfalls massive Lücken und einen unentdeckten Cyberangriff fanden: Der CIO gab uns spannende Einblicke. All das und die Lücken von 15 anderen Unis, Reaktionen und teils skurrile Geschichten aus dem Meldeprozess: https://www.riffreporter.de/de/technik/hacking-datenschutz-ransomware-hochschulen-universitaeten-daten-im-netz-it-sicherheit
#Cybersecurity

Wir haben Hochschulen gehackt – deren digitale Eingangstüren stehen weit offen

Immer häufiger werden Unis von kriminellen Hackern angegriffen. Dabei sind nicht nur private Daten in Gefahr, der ganze Betrieb kann lahmgelegt werden. Doch wie reagieren Hochschulen auf Attacken? Wir haben es ausprobiert.

RiffReporter

Show thread

RZ der Hochschule Trier Feb 10, 2023

@evawolfangel @renereh1
Nur ne Kleinigkeit...aber dann doch wieder nicht. Ich weiß, dass das den Hochschulen wichtig ist: Hochschule Trier...nicht FH Trier. Und das schon seit 2012
https://www.hochschule-trier.de/hochschule/hochschulportraet/geschichte
Vermutlich gilt das auch für die meisten anderen im Artikel erwähnten Hochschulen auch. Vielleicht könnt Ihr da mal noch korrigieren.