Am Lehrstuhl für Gesundheitsmanagement wurden persönliche Daten von über 800 Studierenden auf einem Web-Server freigegeben – darunter Passwörter im Klartext.

Kleiner Fehler, große Wirkung: Durch eine offensichtlich falsche Freigabe des Hauptverzeichnisses eines Web-Servers waren persönliche Daten von über 828 Studierenden der Friedrich-Alexander-Universität Erlangen Nürnberg ungeschützt im Internet per Browser abrufbar.

Betroffen sind nach Recherchen des Computermagazins c't alle Studierenden der Jahrgänge 2018 und 2019 des "Master of Health Business Administration" (MHBA). Im Fernstudium werden hier zum Preis von 6000 Euro unter anderem Ärzte aus verschiedenen Kliniken sowie Pharmazeuten in der Betriebswirtschaft des Gesundheitswesens zwei Jahre lang ausgebildet.

Ungeschützte Excel-Tabellen, Passwörter im Klartext

Die Uni selbst ging mit den Daten der Studierenden offenbar nicht mit der nötigen Sensibilität um, die man bei einer Ausbildung im Gesundheitswesen erwarten würde. Leichtsinnigerweise speicherte sie sämtliche Daten der Studierenden in ungeschützten Excel-Tabellen und legte diese im Hauptverzeichnis eines Webservers ab. Unter den Daten fanden sich Name, Adresse, Geburtsdatum und -Ort, Telefon- und Handynummern, E-Mail-Adressen, besuchte Schulen, Examen sowie Abschlussnoten und aktuelle Arbeitgeber. Gesammelt wurden die Daten über Bewerbungsfragebögen der Uni.

Darüber hinaus waren auch die Login-Daten samt Passwort im Klartext für jeden Studierenden gespeichert. Mit diesen Daten loggten sich die Fernstudenten auf der Kurs-Webseite mhba.de ein und konnten ihren Studienverlauf inklusive Bewertungen von Studienarbeiten einsehen. Laut Uni waren die Passwörter lediglich für den ersten Login gedacht. Überprüfungen von c't ergaben jedoch, das diese später nicht zwingend geändert wurden, und so auch Fremde zugreifen konnten.

Mit den Login-Daten und Passwörtern im Klartext waren detaillierte Informationen zum Studienverhauf der Master-Studenten einsehbar. (Bild: c't)

Fehlerhafte Apache-Konfiguration

Den Hinweis auf das Datenleck bekam das Investigativ-Team von c't am vorigen Wochenende vom IT-Sicherheitsexperten Hendrik Kuna. Er war bei einem Routine-Scan auf die Lücke gestoßen. Dazu hatte er die Suchmaschine shodan.io nach offenen Freigaben von Hauptverzeichnissen von Rechnern in Deutschland befragt, die Excel-Tabellen enthielten.

Derartige Lücken träten leider häufig auf, so Kuna gegenüber c't. Dazu genüge eine einzige fehlerhafte Verzeichnisfreigabe im Apache-Web-Server. Sensible Daten sollten deshalb gar nicht erst so leichtsinnig in ungeschützten Tabellen gesammelt werden.

c't benachrichtigte den Datenschutzbeauftragen sowie das Rechenzentrum der Uni am 28. Januar. Die Uni trennte den betroffenen Rechner prompt vom Netz und informierte nach eigener Auskunft den zuständigen Landesdatenschutzbeauftragten in Bayern.

Laut Prof. Dr. Oliver Schöffski, Leiter des Lehrstuhls für Gesundheitsmanagement, habe die Freigabe seit dem 23. Juli 2019 bestanden. Auf Nachfrage von c't konnte die Universität noch keine Angaben dazu machen, wer die Tabellen mit den persönlichen Daten abgerufen hatte. Man wolle dies in den kommenden Tagen jedoch eingehend prüfen.

Die über 800 Betroffenen sind zum großen Teil Ärzte anderer Kliniken, deren Privat-Adressen, Telefonnummern und Abschlussnoten in Excel-Tabellen öffentlich einsehbar waren. (Bild: c't)

Auf dem Web-Server waren zudem auch Fragenkataloge und Antworten einsehbar. Laut Schöffski handelte es sich dabei um Übungsaufgaben: "Potenzielle Studienbewerberinnen und -bewerber hätten durch die verfügbaren Daten keinerlei Vorteile erlangen können. Das gleiche gilt für das Studium selbst: Studierende hätten sich keinerlei Vorteile verschaffen können, da es sich [...] um keine klausurrelevanten Inhalte handelte", erklärte Schöffski gegenüber c't

Schöffski kündigte an, den Vorfall zum Anlass zu nehmen, um den Datenschutz an der Universität zu verbessern: "Der Bereich Datenschutz spielt in der Lehre selbstverständlich eine Rolle und wird auf Grund seiner großen Bedeutung aktuell weiter ausgebaut." Das Datenleck nannte er "völlig inakzetabel": "Wir werden unmittelbare Konsequenzen aus dem Vorfall ziehen, um alle Beschäftigte und Studierenden in unserem Umfeld im Hinblick auf den verantwortungsbewussten Umgang mit personenbezogenen Daten und kritischen Systemdaten zu schulen."

In einer ersten Maßnahme will die Universität den Umgang mit Passwörtern ändern. So wurden alle Passwörter des betroffenen Systems bereits erneuert. Initialpasswörter würden künftig nicht mehr im Klartext gespeichert und müssten nach der ersten Anmeldung geändert werden. Zudem werde man das Speicherkonzept für personenbezogene Daten überarbeiten, um ein Abfließen von Daten durch Konfigurationsfehler künftig zu verhindern, versprach Schöffski.

Da die Universität mit dem Datenleck gegen Vorgaben der DSGVO verstoßen hat, muss sie mitunter mit einem Bußgeld rechnen. Betroffene haben darüber hinaus Anspruch auf Schadenersatz. Wie die rechtliche Situation nach derartigen Datenlecks aussieht, und was Betroffene nach einem Datenleck tun können, hat c't am Beispiel des Buchbinder-Falls erläutert. (hag)





Viele der c’t-Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln.

Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.