© RAWstock
Logo der Universität, befestigt am Hauptgebäude.
Sicherheitslücke auf Uni-Seite
Die Homepage der Rostocker Uni hat eine Sicherheitslücke. Technisch und vor allem auch in punkto Datenschutz. Die E-Mail-Adressen aller Studenten liegen auf dem Silbertablett.
Knackpunkt ist die Personensuche, über die sich nicht nur wissenschaftliche Mitarbeiter, Professoren und Institute finden lassen, sondern auch jeder eingeschriebene Student. Insgesamt über 21.000 Datensätze. Jeder, der sich etwas mit Formularen in HTML auskennt, also nicht einmal über irgendein spezifisches "Hacker-Wissen" verfügt, kann diese Datensätze mit wenigen Klicks kopieren.
Mit einem Klick alle Datensätze
Dazu muss lediglich das Namensfeld der Personensuche leer gelassen werden, schon spuckt der Uni-Rechner in alphabetischer Reihenfolge die gesamte Datenbank aus. Zwar per Formular auf maximal 50 Datensätze pro Abfrage reduziert, dies lässt sich aber durch die Manipulation der POST-Variable umgehen. Und wem das zu kompliziert ist, dem bietet die Uni-Seite einen idiotensicheren Service an: Am Seitenfuss kann durch die Suchergebnisse blättern, klickt man hier auf eine Zahl, werden die Daten über die GET-Variable übergeben. Mit anderen Worten: Man kann einfach in der Browserzeile die gewünschte Anzahl an Datensätze anfordern, mit einem Klick. Auch alle 21.000 auf einem Schlag.
Zeigt her Eure E-Mail-Adressen
Warum ist das nun problematisch? Die Personensuche enthält zwar lediglich den Vornamen, Nachnamen, das Geschlecht und die E-Mail-Adresse eines jeden Studenten, aber allein diese Daten sollten schon nicht derart auf dem Silbertablett liegen. Der Handel mit E-Mail-Adressen ist lukrativ, gerade wenn man auf einen Schlag viele Adressen in die Hände bekommt. Und 21.000 E-Mail-Adressen könnten durchaus auch für regionale Firmen interessant sein, die, na sagen wir einmal, etwas kreative Wege des Marketings gehen. Und ganz unabhängig davon: Zur letzten StuRa-Wahl bekamen viele Studenten ungebetene Post von einem Kandidaten der Jungen Union. Auch wenn Letzterer die Mail-Adressen vermutlich eher durch das Stud.IP gezogen hat.
LogIn-Daten lassen sich leichter ableiten
Problematisch ist aber auch, dass die LogIn-Namen für viele Uni-Services sich aus dem ersten Buchstaben des Vornamen, des Nachnamens und einer fortlaufenden Nummer zusammensetzen. Wer auf einen Schlag eine vollständige Liste aller in Rostock eingeschriebenen Studenten in den Fingern hat, dem wird es erleichtert, die Fließnummer des LogIns bestimmter Personen zu ermitteln: Immerhin schon die halbe Miete, möchte man gezielt jemanden schaden. Es müssen zwar immer noch die Passwörter geknackt werden, die Bedrohung ist also eher gering, da die Uni anderseits zunehmend jeden Verwaltungsakt ins Internet verlagert (Kritiker sagen auch, dass die Bürokratie sich entmenschlicht), sollte man hier aber doch ein Maximum an Datensicherheit erwarten dürfen.
Einladung für DoS-Attacken
Unabhängig davon ist es aber auch technisch nicht völlig unproblematisch, wenn man durch einen einzigen Browserbefehl über 20.000 Datensätze abfragen kann. DoS-Attacken, also böswillige Angriffe auf Webseiten, könnten sich diese Möglichkeit zunutze machen. Wenn innerhalb kürzester Zeit plötzlich tausende Anfragen von tausenden PCs dieser Welt auf die Seite der Rostocker Uni einprasseln und dabei jedes Mal die Datenbank derart belasten, kann es schnell mal ganz dunkel werden im Cyberspace.
Alles halb so wild?
Die Sicherheitslücke bei der Personensuche ist zwar kein Scheunentor, anderseits in Zeiten des so genannten Wettbewerbs zwischen den Hochschulen, des Kampfes um die besten Köpfe, um Fördergelder, Drittmittel und Profilneurosen sicherlich auch kein Standortvorteil.