In einem Atemzug mit Harvard, Cambridge, Stanford oder Princeton genannt zu werden, ist für deutsche Universitäten normalerweise eine Auszeichnung. Allerdings bezweifle ich, dass sich die Rektoren der Unis in Freiburg, Heidelberg, Göttingen und Berlin (TU) über die jüngste Erwähnung im Kreis verschiedener internationaler Eliteanstalten freuen werden.
Wie ich heute morgen im Bits-Blog der New York Times lesen konnte, ist ein Hacker-Team namens GhostShell so eben mal in die Server von 53 Unis eingedrungen und hat den Datensauger angeworfen. Mehr als 36.000 E-Mail-Adressen, Nutzernamen, Passwörter, Adressen und Telefonnummern wurden dabei aus den Servern der Hochschulen kopiert und öffentlich auf pastebin.com ins Netz gestellt.
Vieles davon ist zwar auch so irgendwie frei zugänglich, einiges aber eben auch nicht. Ich habe mich gerade einmal kurz durch die auf diversen Servern gespiegelten Listen der deutschen Unis geklickt und zum Beispiel eine Aufstellung mit Studenten der TU Berlin gefunden. Mehr als 1.200 Studenten sind dort jeweils mit Vor- und Nachname, Benutzername, privater E-Mail-Adresse, Datum des Studienbeginns, Matrikelnummer (!), teils Mobilfunknummer (!) und Studienfach verzeichnet.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Junior PR Manager – B2B / B2C / Corporate Communication / Social Media (m/w/d) dot.communications GmbH in München |
||
Marketing Head – E-Commerce / Social Media / KPIs (m/w/d) Akowi GmbH in Frankenthal |
Auf einer zweiten Liste mit 19 Einträgen sind sogar Passwörter im Klartext zu sehen – wozu diese konkret gehören, ist mir zwar unklar, allerdings dürfte sich das ebenfalls recht schnell herausfinden lassen. Ich habe gerade mal bei der TU Berlin angerufen, um nachzuhaken, ob bereits Maßnahmen ergriffen worden sind. Leider konnte man mir dort noch keine Auskunft geben. Sobald ich etwas höre, liefere ich euch ein Update.
<Update> Mittlerweile hat sich die Pressesprecherin der TU Berlin bei uns gemeldet und den Angriff bestätigt. Betroffen gewesen sei aber nicht der zentrale Server der Universität, sondern der Server eines Fachbereiches. Dieser sei vom Netz genommen worden. Man habe die Nutzer zudem angeschrieben und gebeten, ihre Passwörter zu ändern. </Update>
Allerdings: Würde ich dort studieren, wäre ich jetzt etwas angespannt. Denn in dieser Geballtheit lässt sich mit den Daten sicherlich auch Unfug treiben – auch wenn kaum nachgeprüft werden kann, wie aktuell die Informationen sind. Die IT-Abteilungen der betroffenen Hochschulen sollte sich jedenfalls schleunigst daran machen, die jeweils ausgenutzten Sicherheitslücken zu schließen. Laut Bits handelt es dabei um Schwachstellen im Zusammenhang mit den SQL-Datenbanken. Stichwort: SQL-Injection.
Die Hacker selbst haben zwar zugesichert, mit den Daten nichts weiter anstellen zu wollen. Die gesamte Aktion solle vielmehr als Protest gegen die weltweite aktuelle Bildungs- und Hochschulpolitik verstanden werden, erklärt GhostShell. Warum die von den politischen Fehlentscheidungen betroffenen, nämlich eben die Studierenden, dann aber mit der Veröffentlichung privater Details quasi doppelt bestraft werden, erschließt sich mir jedoch nicht.
Plötzlich ist man also auch bei BT für „Datenschutz“ ?
Sonnst steht man hier doch immer meist auf Seiten von Facebook, Street View ect. und Propagiert „Privatssphäre sei sowas von Gestern“?
Vielleicht kommt die Einsicht ja noch nicht zu Spät, solche Aktionen könnten bei aller krimminellen Energie auch ihr Gutes haben.
Ich weiß zwar nicht, wie du darauf kommst, dass wir Privatsphäre als „von gestern“ tituliert hätten, aber gut. Darüber hinaus geht dein Einwand aus meiner Sicht etwas am Thema vorbei. Schließlich handelt es sich hier eben um Daten, die NICHT öffentlich sein sollten und es auch nicht waren.
wenn man das bild vergrößern will, kommt beim zweiten klick die meldung „verboten“. gehört das so?
@ mini: Ja, das ist einer der Bugs, die im Rahmen des Relaunchs aufgetreten sind und – leider – noch nicht behoben wurden. Wir sind aber dran – Versprochen!
Diese Aktion wird leider nur negative Konsequenzen haben. Die Politik in Deutschland, England und Amerika wird mit härteren Kontrollen antworten wollen und versuchen diese noch schneller durchzusetzen. Zudem stehen die Daten öffentlich im Netz, jeder (Klein)kriminelle kann also auf sie zugreifen. Auch wenn GhostShell dementieren nichts mit den Daten anstellen zu wollen, wird irgendjemand sie benutzen. Da verwette ich meine F4 Taste drauf.
…wieder mal ein Hacking-Angriff. Diesmal betrifft es also sogar persönliche Daten, und warum? Weil der Datenschutz an den meisten Unis wohl nicht wirklich ernst genommen wird.
Erst kürzlich gelang es Hackern an der TU-Chemnitz, Spam-Mails von offiziellen TU Chemnitz-Accounts aus zu verschicken. Wie viel Trust eine solche Mail (mit einem entsprechenden Link zum Herausfinden der Passwörter, Adressen etc. von einer TU hat, brauch ich dabei wohl nicht zu erzählen.
Man kann nur hoffen, dass der neue Vorfall endlich mal Konsequenzen haben wird.
hm also die gehackten daten meiner uni (freiburg) sind vielmehr die daten eines hotels in meiner stadt … kann man ja mal verwechseln …
Auch böse Hacker sind nur Menschen 😉
Alter Schwede, das ist ja ganz schön bitter… Das sich mit diesen Daten Unfug treiben lassen kann, ist noch eine ziemliche Untertreibung – mit der Kombination aus Personalien, Passwort und Matrikelnummer kann man einen betroffenen Studenten auch einfach mal so exmatrikulieren! Da ist die Freude dann groß, wenn plötzlich ein offizieller Brief von der Uni ins Haus flattert ;).