Die Hochschulinformationssysteme zahlreicher deutscher Universitäten wiesen seit Jahren eine erhebliche Sicherheitslücke auf. Betroffen waren Systeme der HIS Hochschul-Informations-System eG, die im deutschen akademischen Raum weit verbreitet sind. Durch eine fehlerhafte Berechtigungsprüfung war es möglich, persönliche Daten hunderttausender Studierender per Browser abzufragen, darunter Name, Adresse, Matrikelnummer, Geburtsdatum und Immatrikulationsstatus.

Nicht schnell genug reagiert

Die HIS eG wurde nach eigenen Angaben am 6. März 2020 vom Administrator einer betroffenen Hochschule auf die Sicherheitslücke hingewiesen. Man habe noch am selben Tag einen Workaround an die eigenen Kunden kommuniziert und am Montag den 9. März ein Sicherheitsupdate zur Verfügung stellt, erklärte das Unternehmen gegenüber c't.

Allerdings spielten nicht alle Universitäten das Update der HIS eG unverzüglich ein. c't – von einem anonymen Tippgeber auf das Problem aufmerksam gemacht – überprüfte am 12. März insgesamt 58 Hochschulen und konnte noch mehrere anfällige Systeme finden. Daten von über 600.000 Studierenden der Universitäten in Bonn, Düsseldorf, Hildesheim und dem Saarland waren online abrufbar, wofür allein die Kenntnis der URL genügte. Die Daten reichten vom Wintersemester 1991/92 bis zum aktuellen Sommersemester 2020. c't informierte die vier Universitäten noch am selben Tag und inzwischen haben auch sie die Lücke geschlossen.

Name, Geburstdatum, Adresse; Seite 1 bis 23.804. Bei den betroffenen Universitäten waren zehn- oder sogar hunderttausende Datensätze abrufbar.

Lücke blieb lange unerkannt

Normalerweise sollten nur bestimmte Mitarbeiter der Uni die betroffenen Informationen abfragen können. Durch den Fehler erfolgte jedoch keine solche Prüfung der Zugangsberechtigung. Laut Angaben der HIS eG bestand die Lücke seit 2011. Wie viele Universitäten und Studierende von der Lücke betroffen waren, konnte das Unternehmen auf Nachfrage nicht mitteilen: Man habe alle potentiell betroffenen Kunden informiert, aber nicht alle Kunden würden die fehlerhafte Komponente des Systems auch tatsächlich einsetzen.

Inwieweit Unbefugte während der vergangenen neun Jahre auf die Daten zugegriffen haben, lässt sich nach Angaben der HIS eG und der von c't kontaktierten Universitäten nicht mehr nachvollziehen: Log-Dateien, die entsprechende Zugriffe protokollieren, reichen üblicherweise nur ein bis vier Wochen zurück. Betroffen könnten also alle Studierenden jeder Hochschule sein, die das System der HIS eG seit 2011 einsetzt oder eingesetzt hat. Das sind wahrscheinlich Millionen Studierende und Absolventen.

Die Namen, Adressen und Geburtsdaten lassen sich mitunter zum Identitätsdiebstahl missbrauchen. Über die Matrikelnummern ließen sich auch Noten und Beurteilungen zuordnen, die an Unis – zumindest früher – oft öffentlich aushingen. Ebenso ließe sich über den Immatrikulationsstatus unter anderem nachvollziehen, wann und bis zu welchem Semester eine Person an einer Uni studiert hat.

Rechtliche Fragen

Laut DSGVO müssen die betroffenen Universitäten die in ihrem Land zuständigen Datenschutzbehörden umgehend über die Lücke informieren. Alle von c't kontaktierten Hochschulen gaben an, das unverzüglich getan zu haben. Auf Nachfrage von c't, warum fast 30 Jahre alte Daten überhaupt noch gespeichert sind, gaben mehrere Universitäten den Nachweis von Studien- und Versicherungszeiten an.

Die betroffenen Studierenden müssen die Hochschulen vermutlich nicht informieren, denn dafür müsste von dem Datenleck eine „erhebliche Gefahr“ ausgehen. Letztendlich entscheidet die jeweiligen Datenschutzaufsichtsbehörde, ob das der Fall ist. Übrigens können die Aufsichtsbehörden gegenüber (staatlichen) Hochschulen keine Bußgelder verhängen – ohnehin würde hier nur der Staat an sich selbst zahlen. Schadenersatzansprüche Betroffener werden dadurch nicht verhindert, aber in einem Fall wie diesem wird sich ein tatsächlicher Schaden kaum beweisen lassen.

Die HIS eG erklärte gegenüber c't, mit jedem Release "umfangreiche Qualitätssicherungsmaßnahmen" durchzuführen, ergänzt durch "regelmäßige Sicherheitsüberprüfungen durch externe Spezialisten". Offenbar wird man diese Maßnahmen künftig aber verbessern müssen, damit solche gravierenden Fehler nicht jahrelang unentdeckt bleiben. Und die Universitäten wird man in die Pflicht nehmen müssen, sicherheitsrelevante Patches künftig umgehend einzuspielen.

Viele der c’t-Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln.

Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

(syt)