Noten und Atteste frei zugänglich: Wir haben die IT-Sicherheit von Unis und Hochschulen getestet

Immer häufiger werden Hochschulen von kriminellen Hackern angegriffen. Dabei sind nicht nur private Daten in Gefahr, der ganze Betrieb kann lahmgelegt werden. Doch wie reagieren Hochschulen auf Attacken? Wir haben es ausprobiert.

von , René Rehme
22 Minuten
Schild „Keep Out“ an einer offenen Schiebetür

Als die Hacker:innen seine Hochschule angreifen, erschrickt Thomas Grünewald. Aber er ist nicht überrascht. „Wir haben bestimmte Risiken gekannt und sie möglicherweise zu Unrecht zu lange hingenommen“, sagt der Präsident der Hochschule Niederrhein, als wir ihn einige Tage später darauf ansprechen.

Es war eine Unaufmerksamkeit, die den Eindringlingen die Tür öffnete – mit potenziell weitreichenden Folgen: Sie bekamen Zugriff auf ein internes System, indem sie eine ungeschützte Schnittstelle ausnutzten. Sie schleusten ein Programm ein, das ihnen half, Dateien auf einem Server auszulesen – unter anderem die Datei „ /etc/passwd“, die Nutzernamen beinhaltet, die auf den Server Zugriff haben.

Der nächste Schritt der Eindringlinge wäre die Suche nach Passwörtern, Konfigurationsdateien und privaten Schlüsseln gewesen. Eine Ransomware-Bande würde es zwar etwas Zeit kosten, aber womöglich wäre sie durch diese Lücke irgendwann in das Herz der universitären Systeme vorgedrungen, hätte Daten gestohlen und schließlich alles verschlüsselt, um dann Lösegeld für eine Freischaltung zu verlangen. So wie es aktuell an der HAW Hamburg geschehen ist.

Zwischen den Jahren schlagen Angreifer besonders gerne zu

Der Unterschied: Im Fall der Hochschule Niederrhein waren wir die Eindringlinge. „Rene Rehme, ethischer Hacker, und Eva Wolfangel, Tech-Journalistin“, so stellen wir uns in der E-Mail an den Präsidenten und sein Sicherheitsteam vor, in der wir vor der Sicherheitslücke warnen.

Wir haben die IT-Sicherheit von Deutschlands Universitäten und Hochschulen auf den Prüfstand gestellt, indem wir einige von ihnen von außen angegriffen haben – so wie es kriminelle Angreifer derzeit massiv tun: Eine gute Zeit dafür, Angriffe zu starten, war zwischen Weihnachten und Neujahr, wenn die Aufmerksamkeit von IT-Verantwortlichen niedriger ist als sonst.

So machen das auch böswillige Hacker. Ins Visier genommen haben sie zum Jahreswechsel 2022/23 zum Beispiel die Stadtverwaltung Potsdam, die Westsächsische Hochschule Zwickau und die HAW Hamburg. Kurz zuvor hatte es die Hochschule Heilbronn, die Hochschule Ansbach, der TH Ulm, die FH Münster, die Hochschule für Technik, Wirtschaft und Kultur in Leipzig und gleich zwei Mal die Uni Duisburg-Essen getroffen, die nun ebenso wie die HAW Hamburg von den Angreifern erpresst wird: Sie drohen damit, die erbeuteten Daten zu veröffentlichen.

Sind Hochschulen begehrte Opfer oder einfach nur schlecht geschützt?

Der Ausgangspunkt unserer Recherche war die Frage: Wenn Universitäten derzeit so stark angegriffen werden, liegt das daran, dass sie attraktive Opfer sind – beispielsweise, weil es interessante Daten gibt? Oder sind sie einfach schlecht geschützt? Nach allem, was wir in den vergangenen Wochen gesehen haben, trifft letzteres auf jeden Fall zu. Wir fanden nicht nur extrem kritische Lücken, sondern teilweise auch Schadcode, den kriminelle Angreifer:innen bereits in den IT-Systemen hinterlassen hatten – unbemerkt von den Unis selbst.

Bei mindestens vier Universitäten und Hochschulen – nämlich der Universität Düsseldorf, der Universität Tübingen, der Uni Bremen und der Hochschule Niederrhein – kamen wir an Stellen, an denen es möglich gewesen wäre, tiefer in interne Systeme einzudringen, an typische Einfallspunkte von Ransomware-Gruppen.

Würden Kriminelle auf solche Schwachstellen stoßen, könnten sie diese ausnutzen, um sich in den Systemen auszubreiten, sich nach und nach weitergehende Rechte zu erschleichen, und schließlich womöglich zentrale Systeme zu verschlüsseln – nicht ohne vorher Daten herunterzuladen, um dann als weitere Erpressungsmaßnahme mit deren Veröffentlichung zu drohen. Vielleicht wären solche Angreifer dann irgendwann aufgehalten worden. Das haben wir nicht getestet, denn das widerspricht den Grundsätzen ethischen Hackings. Sie sehen unter anderem vor, nur so weit wie nötig einzudringen, um die Schwachstelle beschreiben zu können.

Bei mehr als zehn weiteren Unis und Hochschulen konnten wir zudem persönliche und sensible Daten Studierender und Mitarbeitender herunterladen.

Jede fünfte Hochschule wies eine Sicherheitslücke auf

Als wir die Sicherheitslücken meldeten, begegneten wir weiteren Überraschungen: Viele reagierten schnell, aber andere waren kaum zu erreichen. Und während die meisten dankbar und erleichtert waren, dass wir und nicht kriminelle Angreifer:innen die Lücken gefunden hatten, drohten uns zwei mit rechtlichen Schritten: Der Datenschutzbeauftragte der Uni Tübingen erwähnte beiläufig die Paragraphen 202a, 202b und 202c des Strafgesetzbuches, die so genannten „Hackerparagrafen“, die auch ethische Hacker permanent der Gefahr der Kriminalisierung aussetzen. Die Justiziarin der FH Kiel drohte unverhohlen mit dem Presserecht.

Wir erlebten weitere Überraschungen: Als wir zufällig einige Wochen später bei zwei Universitäten die Sicherheitsücken erneut nachvollzogen, sahen wir, dass die eine Hochschule die Lücke trotz anderslautender Angaben nicht geschlossen hatte und die andere eine weitere, kritische Lücke aufwies. Das ist symptomatisch für diese Recherche, denn wo wir hinschauten, taten sich Probleme auf. Bei zwei Universitäten fanden wir sogar Schadcode früherer Angreifer – echter Krimineller also, die nach der Attacke weitergezogen waren. Die Universitäten hatten weder die Angriffe noch die verbliebenen Hintertüren bemerkt.

Doch von vorne:

Vorgenommen hatten wir uns ursprünglich, alle der mehr als 400 deutschen Hochschulen zumindest grob zu testen. Doch nach den ersten 73 (wir gingen grob der Größe nach) lief die Recherche völlig aus dem Ruder: Wir fanden so viele Lücken und Datenlecks, dass uns klar wurde, dass wir aufhören müssen. Schließlich ist es ein großer Aufwand, die Daten zu sichten, die Lücke einzuschätzen und sie den betroffenen Unis zu melden. Jede fünfte Hochschule wies eine Sicherheitslücke auf. Also stoppten wir nach den 73 Größten mit dem mulmigen Gefühl, dass die verbliebenen 350 vermutlich eine ähnliche Quote haben werden.

Kriminelle könnten Daten herunterladen, verschlüsseln und Lösegeld verlangen

Die schwerste Sicherheitslücke begegnete uns an der Uni Düsseldorf: Dort bekamen wir Zugriff auf mehrere zentrale Dateispeichersysteme der philosophischen Fakultät, die offen im Netz lagen und in denen sowohl der Quellcode diverser Programme abgelegt war als auch eine Dokumentation der gesamten Server-Infrastruktur einer Fakultät sowie zahlreiche Zugangsdaten für verschiedene Systeme. Darin waren mehr als 100 Passwörter von Nutzenden gänzlich unverschlüsselt gespeichert und weitere knapp 500 mit einer veralteten, leicht zu knackenden Methode verschlüsselt.

Zudem bekamen wir Zugang zu mehr als 300 Datenbanken mit vielerlei Information, unter anderem tausende Datensätze von Mitarbeitenden und Studierenden, Moodle-Datenbanken aus vielen Jahren voller Noten, private Chat-Protokolle und anderes.

In einem Versionsverwaltungssystem für Dateien – ein so genanntes Git Repository – waren auch die Zugangsdaten des Root-Users eines zentralen Datenbank-Servers hinterlegt. Das ist der Zugang mit den meisten Rechten. Angemeldet als Root-User hätten wir alle Inhalte verändern können – angefangen von Webseiten der Uni bis hin zu den Noten der Studierenden, die in einigen Moodle-Datenbanken abgelegt waren. Wären wir Kriminelle, hätten wir Daten herunterladen und verschlüsseln können, um die Universitäten zu erpressen.

Die Verantwortlichen an der Uni Düsseldorf lehnten ein Interview ab. In einem schriftlichen Statement bestätigte ein Sprecher die Zugriffsmöglichkeit auf ein IT-System der philosophischen Fakultät, die man zwar als „prinzipiell sehr kritisch“ beurteile, die aber lediglich „ein begrenztes IT-Subsystem und nicht die komplette HHU-IT-Infrastruktur“ betroffen habe.

Was hat Vorrang – Freiheit der Forschung oder IT-Sicherheit?

Daraus zu schließen, dass die zentrale Infrastruktur der Uni sicher war, ist allerdings voreilig, sagt Matthias Marx, ein IT-Sicherheitsforscher, den wir gebeten haben, die von uns entdeckten Schwachstellen unabhängig zu bewerten. „Der Umfang der hier zugänglichen Daten ist bemerkenswert“, sagt Marx, der selbst zum Thema Sicherheit und Datenschutz an Universitäten geforscht hat und im vergangenen Jahr Sicherheitslücken an zehn Universitäten gemeldet hat. Düsseldorf steche heraus: „Hier ist ein großer Teil der Serverinfrastruktur der zweitgrößten Fakultät dokumentiert, was es Angreifern ermöglicht, weitere Schwachstellen zu finden.“

Angesichts der Menge an Zugangsdaten wäre es seiner Erfahrung nach wahrscheinlich, dass wir einen Account gefunden hätten, der das gleiche Passwort auch an anderen Uni-Systemen verwendet. „Die Datenbank in Zusammenhang mit dem umfangreichen Quellcode ist eine gute Grundlage für Angreifer“, lautet die Einschätzung von Marx.

Zudem ist allein die philosophische Fakultät der Uni Düsseldorf mit ihren 25 Studiengängen und 10.000 Studierenden fast so groß wie die ganze Hochschule Niederrhein mit ihren 13.000 Studierenden. Das Bild eines kleinen dezentralen Systems wankt.

Im Gegensatz zu seinen Kollegen an der Uni Düsseldorf ist es Thomas Grünewald von der Hochschule Niederrhein wichtig, Sicherheitslücken nicht zu verharmlosen, sondern zu klären, wieso sie existieren. „Sie sind als Angreifer richtig in unsere Systeme eingedrungen und hatten die Chance, im internen System etwas zu verändern“, sagt er ganz offen im Gespräch mit uns.

Er wolle das nicht verharmlosen. Wer aber behaupte, solche Lücken seien gänzlich vermeidbar, liege falsch. „Das geht nur zu einem gewissen Grad, es wird immer Lücken geben.“ IT-Sicherheit an Universitäten unterliege einer ständigen Güterabwägung: „Gebe ich der Sicherheit oder der Freiheit den Vorrang?“

Nach strengeren Regeln stellten Mitarbeiter auf Gmail und GMX um

Ganz persönlich sei ihm das Dilemma der Sicherheit an Hochschulen klar geworden, als er versuchte, auf immer neue Sicherheitslücken bei Microsofts Exchange Servern zu reagieren, die 2021 und 2022 vielen Unternehmen, Universitäten und Behörden kriminelle sowie Spionage-Angriffe bescherten, sagt Grünewald.

„Wir haben deshalb damals die Schotten ein Stück weit hochgezogen.“ Wer von außen auf das Uni-Netz zugreifen wollte, musste sich per VPN verbinden. Dann startete der 63-jährige Hochschulpräsident einen Selbstversuch: „Ich habe als digital immigrant selbst versucht, mir die Software für einen VPN-Tunnel zu organisieren.“ Einfach war es nicht, gibt er zu, ein bisschen Hilfe war dann doch nötig.

Doch dann ging die Sache nach hinten los. Mitarbeitende überlegten sich eigene Lösungen – beispielsweise E-Mail-Weiterleitungen auf private Accounts. Viele Dozent:innen seien komplett ausgewichen auf ihre Gmail- oder GMX-Adressen, und haben die Studierenden umgeleitet: „So erzeugen Sie einen Verkehr an hochschulrelevanten Daten, den Sie nicht mehr abgesichert bekommen.“

Dezentrale Systeme sind beliebt – aber unsicher

Seither ist Grünewald auf der Suche nach dem richtigen Weg. „Es ist grenzenlos naiv zu glauben, man könnte die Schotten so hochziehen“, sagt er. Es sei ein Kulturprozess zwischen Sicherheitsanforderungen und Forschenden, die stets einen eigenen Kopf haben und aus seiner Sicht für gute Forschung eben auch Freiheit brauchen. „Die Frage ist, wann ziehe ich die Schrauben so eng an, dass mir meine eigenen Leute nicht mehr folgen?“

Dazu komme der Wunsch nach dezentralen Servern, jenen Subsystemen, die auch die Uni Düsseldorf in ihrer Antwort erwähnte. Letztlich gebe es immer Forschungsprojekte und Gruppen, die eigene Server betrieben – das habe er bisher zugelassen, „wir haben dem häuslichen Frieden den Vorrang gelassen“, gibt er zu. Gleichzeitig seien diese nicht immer so gut geschützt wie die zentralen Systeme, „das ist salopp gesagt ein Sack Flöhe.“

Lässt sich der noch einfangen? „Ich kann versuchen, den Wissenschaftsbetrieb entgegen seiner Natur so zentralistisch wie möglich zu führen“, sagt er. Aber das sei ein Drahtseilakt. Grünewald weiß seit der VPN-Geschichte, wie schnell das schief gehen kann.

Wer die großen Angriffe der vergangenen zwei Jahre analysiert, sieht aber auch: Die Ransomware-Banden finden meist eine Lücke genau in diesen dezentralen Servern und arbeiten sich dann vor in das Herz der Hochschulen. So war es auch aktuell beim Angriff auf die HAW Hamburg.

Schwere Lücke an der Uni Tübingen

Auch der Uni Tübingen wurde ein solches dezentrales System zum Verhängnis bei unserem Angriffsversuch. Dort gelang es uns dank eines auf einer Website vergessenen Installationstools einen so genannten „Super-Admin“-Account anzulegen. Damit war es möglich, aus der Ferne ein eigenes Programm auf dem Server laufen zu lassen. Das Fachwort hierfür ist Remote Code Execution. Das Programm half uns, uns auf dem Server umzusehen. Auch das hätte ein Einfallstor für eine Ransomware-Gruppe sein können, die dann nach und nach weitere Informationen und Zugänge sammelt.

„Das hätte nicht passieren dürfen“, sagt Thomas Walter, Chief Information Officer der Uni Tübingen ganz unumwunden. Man habe sofort nach unserer Meldung den entsprechenden Server vom Netz genommen und untersucht, wer darauf Zugriff hatte. Die Lücke sei vor acht Jahren entstanden, als ein Forschungsprojekt eine eigene Webseite erstellt und dabei offenbar das Installationstool nicht entfernt hatte. Man hatte diese Webseite völlig vergessen. Auch er spricht von einem „dezentralen Server“, stimmt aber zu, dass Angreifer mit den Informationen von dort möglicherweise ihren Weg in zentrale Systeme finden könnten.

Wenn der Schadcode schon im System schlummert

Matthias Marx ordnet diese Lücke als zweitgefährlichste unserer Entdeckungen ein und bestätigt: „Durch solche vergessenen Entwicklungswerkzeuge oder Installationstools kann man häufig admin-Zugang erlangen.“ Dieser hat sehr weitgehende Rechte, und wer diese ausnutze, könne beispielsweise Konfigurationsdaten einsehen, Schadcode ins System einschleusen, Nutzende und deren Zugangsdaten ausspähen und sich auf diese Weise Zugriff auf andere Dienste und Server verschaffen.

Als wir einige Wochen später den Vorfall erneut nachvollziehen, finden wir allerdings eine noch kritischere Lücke: Über weitere Applikationen ist es möglich, Zugriff auf den Server zu erlangen.

Dabei stoßen wir auf etwas besonders Erschreckendes: Schadcode anderer Angreifer:innen. Offenbar gab es bereits verschiedene Angriffe Krimineller auf die Infrastruktur. Wir finden mehrere sogenannte Backdoors, also Hintertüren, die es den Eindringlingen ermöglichen, Schadsoftware auf den Systemen der Uni auszuführen. Teile davon sind mehrere Jahre alt. Hat die Universität tatsächlich nicht bemerkt, dass sie angegriffen wurde? Können die Verantwortlichen ausschließen, dass dabei Daten abgezogen wurden?

In der Tat habe man die Hintertüren erst nach unserer Meldung bemerkt, bestätigt CIO Thomas Walter. Er stimmt uns zu, dass der Server wohl bereits vor mehreren Jahren von Kriminellen angegriffen wurde, ohne dass es jemand bemerkte. „Wir ermitteln gerade das Ausmaß des Vorfalls“, sagt Walter, der den ganzen Bereich umgehend offline genommen hat. Bisher seien keine auffälligen Aktivitäten gefunden worden, „die auf eine Weiterverbreitung oder den gezielten Angriff auf andere Server hinweisen.“ Ausschließen könne man das aber nicht.

Auch bei der Universität Bremen finden wir alten Schadcode auf einem Server: Eine abgelegte so genannte Webshell, mit der sich Kriminelle eine Hintertür ins System gebaut haben. Auf dem Server ist zudem unter anderem ein Private Key zu finden sowie MySQL Zugangsdaten. Außerdem SMTP Zugangsdaten, mit denen Kriminelle valide E-Mails über eine @uni-bremen.de E-Mail Adresse verschicken könnten. Das könnten sie für Social Engineering nutzen: Speziell auf die Empfänger:innen zugeschnittene E-Mails, die mit dem validen Absender dann besonders überzeugend wirken.

An der Uni Bremen gibt man sich wortkarg. Auf die Schwachstellenmeldung selbst antwortet niemand, erst als wir diese über das Deutsche Forschungsnetzwerk und deren CERT melden, wird sie Tage später geschlossen. Erst eine Anfrage über die Pressestelle führt zu einer Reaktion: Die Lücke sei nun geschlossen. Über den Schadcode im System und den damit verbundenen älteren Cyberangriff, der offenbar nicht bemerkt worden ist, wolle man sich nicht äußern.

Noten, Zeugnisse und Atteste – private Informationen im Internet

Neben dieser vier für die Universitäten selbst bedrohlichen Lücken haben wir unzählige Datenlecks gefunden. Die betroffenen Hochschulen haben sich selbst damit nicht angreifbar gemacht – sie haben „nur“ die ihnen anvertrauten Daten miserabel geschützt. Das ist besonders tragisch, denn diese Daten gewährten uns – und möglicherweise auch Kriminellen – sehr persönliche Einblicke, zum Beispiel in das Leben von Finn (alle Namen geändert), dem 21-jährigen Wirtschaftsingenieurs-Studenten an der Fachhochschule Erfurt, der nicht gut ist in Mathe (Note 4), oder das der 23-jährigen Melissa, die Bauingenieurin werden will, aber ihre erste Massivbau-Prüfung verhauen hat (Note 5).

Die 22-jährige Lena hat ganz andere Probleme: Sie reicht der FH Erfurt ein Attest einer Psychotherapeutin ein. Der angehende Stadtplaner Peter bewirbt sich als Werkstudent, Florian (35) hat eine Anzeige bei der Polizei gestellt, andere schicken Führungszeugnisse, Fotos vom Sommerfest – oder eine Krankmeldung wie Yasmin (27): Sie ist nicht alleine, im Dezember 2022 haben viele ihr Attest per E-Mail an die FH Erfurt geschickt – und sie damit unwissentlich offen ins Netz gestellt.

Die FH hatte einen Webmailer nicht abgesichert, wodurch E-Mail-Anhänge von Studierenden und Mitarbeitenden und andere Daten öffentlich einsehbar waren. In Erfurt ist man damit nicht allein: Auch die TU Berlin, die TU Dresden, die Uni Kassel, die Hochschule Worms, die Hochschule Trier, die TH Deggendorf und ein Fachbereich der Uni Stuttgart hatten in unterschiedlichem Ausmaß Daten aus ungeschützten Webmailern im Netz. Darin Atteste, Personalausweise, noch unveröffentlichte Forschungsarbeiten mit teils geschützten Daten deutscher Unternehmen, Zeugnisse, Bewerbungen, Motivationsschreiben und vieles mehr.

Sechs Monate später können Angriffe gar nicht mehr nachvollzogen werden

Diese Art von Sicherheitslücken sind einfach zu finden – vor allem aber auch einfach zu vermeiden, wenn man entsprechende Webmailer sorgfältig einrichtet. Alle betroffenen Institutionen nutzen eine freie Software namens Roundcube und hatten diese schlicht falsch implementiert: „In der Dokumentation wird eindeutig darauf hingewiesen, dass das sensible Verzeichnisse und Daten sind und dass sie nicht offen im Netz erreichbar sein dürfen“, sagt René Rehme.

Dass dies trotzdem geschieht, spricht für eine gewisse Sorglosigkeit. Einige der betroffenen Hochschulen konnten nicht ausschließen, dass auch Kriminelle Zugriff auf diese Daten hatten. Damit müssen sie rechtlich alle Betroffenen informieren – also in der Regel alle Hochschulangehörigen. In Trier und Erfurt wurde das umgesetzt, von anderen wissen wir es nicht.

Als wir einige Wochen später erneut einige der Links anklickten, stellten wir erstaunt fest, dass die Uni Stuttgart nur versucht hatte, die Lücke zu schließen – allerdings wenig erfolgreich: Wir hatten weiterhin Zugriff auf hunderte Vorgänge, die zwar nicht den Inhalt der E-Mails verrieten, wohl aber die E-Mail-Adressen der Beteiligten und wann diese an wen eine E-Mail geschickt hatten. Die aktuellste E-Mail war vom gleichen Tag.

Da sich diese Protokolle permanent die aktuellsten E-Mails erfassen, könnten Angreifer:innen theoretisch über Jahre mitgelesen und persönliche Daten gesammelt haben. Dies im Nachhinein festzustellen ist für die betreffende Institution häufig unmöglich, weil entsprechende Logdateien meist nur sechs Monate gespeichert werden. Alles, was vor dieser Zeit geschah, lässt sich nicht rekonstruieren.

Datenschutzbehörden verlangen von Hochschulen Meldungen

Wenn persönliche Daten offen im Netz liegen, müssen die Verantwortlichen die jeweiligen Datenschutzbehörden informieren – aber auch das taten einige der betroffenen Hochschulen und Universitäten nicht. Von der Uni Stuttgart liege auch nach dem nunmehr zweiten Vorfall keine Datenpannenmeldung vor, teilt Jan Wacke, Leitender Beamter beim Landesbeauftragten für den Datenschutz Baden-Württemberg, mit: Man wende sich nun an die Uni, um Genaueres zu erfahren.

„Wenn personenbezogene Daten wie von Ihnen beschrieben online für Unbefugte zugänglich sind, gehen wir zunächst grundsätzlich davon aus, dass dies meldepflichtig ist.“ Angesichts unserer Recherchen werde die Behörde nun zudem auf weitere Hochschulen in Baden-Württemberg zugehen „und uns erklären lassen, ob und inwieweit sie Prüfungen vornehmen, um entsprechende mögliche Sicherheitslücken zu finden und zu schließen.“

Auch die Datenschutzbehörde in Nordrhein-Westfalen meldete sich auf unsere Anfrage hin zurück und teilte mit, dass die Uni Düsseldorf trotz Meldepflicht keine Mitteilung über den Vorfall gemacht habe – man werde nachfragen.

Die Uni Göttingen, die Hochschule Anhalt, die FH Kiel sowie die Humboldt-Universität zu Berlin wiesen ebenfalls Schwachstellen auf, durch die wir an personenbezogene Daten wie Adressen und Rechnungen kamen sowie in Anhalt auch an Zugangsdaten zu internen Systemen, die möglicherweise ein tieferes Eindringen ermöglicht hätten. Das ist bezeichnend vor dem Hintergrund, dass die Hochschule Anhalt bereits im Februar 2022 Ziel eines Hackerangriffs war.

Die ganze Uni schien im Winterschlaf zu sein

Die Urlaubszeit zwischen den Jahren machte es uns ebenso wie Kriminellen nicht nur einfacher, in Systeme einzudringen – sie bremste auch die Schutzmaßnahmen. Denn die Sicherheitslücken zu melden, damit sie geschlossen werden können, erwies sich als nächste Herausforderung. Es war schwierig, überhaupt die richtigen Ansprechpartner zu ermitteln. Während manche umgehend antworteten und die angreifbaren Dienste vom Netz nahmen, wie die Uni Tübingen und die Hochschule Trier, ließen sich andere Zeit.

Besonders nervös wurden wir, als die Universität Düsseldorf auch nach 20 Stunden noch nicht reagiert hatte und die Lücke weiterhin offen war. Was, wenn sie nun Kriminelle entdecken? Wer um so eine massive Sicherheitslücke weiß, schläft schlecht, solange sie nicht geschlossen ist.

Unzählige Anrufe führten ins Leere: Die ganze Uni schien im Winterschlaf. Schließlich erreichten wir einen Mann, der reichlich erstaunt war über unseren Anruf: Er sei bereits seit drei Jahren in Rente – auch wenn er einst für IT-Sicherheit zuständig war und sogar manchmal noch aushelfe. Aber woher wir seine Nummer hätten? Sie stand offenbar seit drei Jahren ohne sein Wissen auf der Webseite der Uni Düsseldorf.

Immerhin kommt danach Bewegung in die Sache – offenbar hatte der Rentner noch gute Kontakte: Wenige Stunden nach dem Telefonat wird die Lücke geschlossen. Was war vorher geschehen? War unsere E-Mail übersehen worden? Wir erfahren von einem zusätzlichen Sicherheitsproblem: Die E-Mail-Adresse des Zuständigen für die IT-Sicherheit war nicht erreichbar – offenbar war die betreffende Person im Urlaub. So erfuhren die Verantwortlichen erst mit Verzögerung von der heiklen Sicherheitslücke.

Zeit spielt durchaus eine Rolle, wie andere Vorfälle zeigen. So habe eine der Universitäten, die Opfer der Hackergruppe Conti wurde, das Update für die Lücke in Microsofts Exchange-Servern nur wenige Minuten zu spät aufgespielt, sagt der Tübinger CIO Thomas Walter. Er selbst hat deshalb seit drei Jahren zwischen den Jahren keinen Urlaub mehr genommen: „Das ist eine so kritische Zeit.“

Hochschulen sind seit 2019 stärker im Fokus krimineller Banden

Walter erinnert sich noch gut daran, wann er eine Ahnung davon bekam, dass sich die Zeiten für Universitäten ändern würden. Der „Datenpunkt, an dem alle nervös wurden“, sei der 8. Dezember 2019 gewesen. Das war der zweite Advent. An diesem Tag wurde die Uni Gießen mit Emotet angegriffen – der Name bezeichnet eine kriminelle Bande ebenso wie eine berüchtigte Schadsoftware. „Das war der Erfolgsdurchbruch für Erpressungssoftware an Universitäten“, sagt Walter. Bis dahin habe man vor allem mit Kleinkriminellen zu tun gehabt, doch seither haben es Profis auf die Unis abgesehen. Gleichzeitig sei ihm klar geworden, dass es nahezu unmöglich sein würde, Universitäten vollständig abzusichern.

Die Hochschulen haben sich zwar zusammengetan: Das Deutsche Forschungsnetzwerk, in dem viele Hochschulen Mitglied sind, hat ein eigenes Computer Emergency Response Team (CERT), das vor Schwachstellen und aktuellen Angriffsmustern warnt. Viele Hochschulen blockieren bekannte IP-Adressen von Ransomwaregruppen.

Aber viele klassische Sicherheitsmaßnahmen versagen: So geben viele Unternehmen ihren Angestellten gesicherte Arbeitscomputer und lassen nur eine übersichtliche Auswahl an Programmen zu, die stets aktuell gehalten sind. Das ginge an der Uni nicht, sagt Walter: „Wir haben die Freiheit der Forschung und Lehre.“ Es sei kaum möglich, bestimmte Programme oder Geräte vorzuschreiben. „Eine Exzellenz-Uni lebt von der Offenheit, ich kann das Netz nicht so zumachen, wie ich wollte.“

60.000 unbetreute Geräte im System – jeden Tag

Allein die 30.000 Studierenden, von denen jeder im Schnitt zwei Geräte mit zur Uni bringt, seien eine Herausforderung. „Ich habe jeden Tag 60.000 unbetreute Geräte in meinem Netzwerk, das ist security-mäßig der Horror.“ Dazu kommen Spezialgeräte wie teure Elektronenmikroskope in der Medizin. „Die haben teilweise noch Windows XP auf dem Rechner“ – ein mehr als 20 Jahre altes Betriebssystem, das seit bald zehn Jahren keine Sicherheitsupdates mehr erhält. „Aber ich kann die ja nicht wegschmeißen, weil der Steuerungs-PC veraltet ist.“ Also baue er Schutzmaßnahmen drumherum. Neben den klassischen Ransomware-Banden beobachtet Walter zudem verstärkte Spionageangriffe auf die Corona-Forschung in Tübingen. So hätten Personen in diesem Bereich gezielte, auf sie persönlich zugeschnittene Phishing-E-Mails erhalten.

Gibt es also keine Chance? Kann man Unis nicht besser absichern?

IT-Experte Matthias Marx war selbst bis vor kurzem Mitarbeiter an der Uni Hamburg und weiß aus eigener Erfahrung, dass Wissenschaft Freiheit braucht. Dennoch findet er, dass der Konflikt zwischen Freiheit und Sicherheit kleiner ist, als ihn die befragten Unis zeichnen. „Man sollte im Blick haben, welche Infrastruktur man betreibt“, kommentiert er die Tübinger Aussage über die „vergessenen Server.“ Das ließe sich zum Beispiel durch technische Maßnahmen erreichen wie regelmäßiges Scannen der eigenen IP-Adressbereiche – oder durch organisatorische Maßnahmen. Universitäten hätten zwar wegen der vielen befristeten Verträge mehr Fluktuation als etwa Unternehmen: „Das führt häufig dazu, dass Dinge vergessen werden.“ Helfen würde aber eine gute Dokumentation der Fachbereiche, in der für jeden Server und jedes Projekt klare Verantwortliche benannt werden. „Verlassen diese die Universität, wird die Verantwortung entweder übertragen, oder der Server wird abgeschaltet.“ Das beeinträchtige nicht die Freiheit der Forschung.

Langsam beginnt ein Umdenken

Auch René Rehme, der ethische Hacker im Team, denkt, dass es besser gehen müsste. „Ich bin verwundert, dass wir in dieser kurzen Zeit so viele offensichtliche Probleme entdeckt haben. Wenn es von außen so einfach ist, massive Sicherheitslücken zu finden, frage ich mich, wieso die Unis diese nicht selbst finden. Es scheint, als haben sie keinen Überblick über ihre eigenen Netzwerke.“

In der Tat fallen alle Lücken, die wir gefunden haben, unter die so genannten OWASP-Top10 – die zehn in der Sicherheitsforschung allgemein anerkannten Risiken, die Verantwortliche um jeden Preis vermeiden sollten. Es sind also keine ausgefallenen Angriffe, sondern eher das, was Kriminelle als erstes ausprobieren. Diese Top-10-Liste wird vom Open Web Application Security Project (OWASP) – einer internationalen Non-Profit-Organisation, die sich der Sicherheit von Webanwendungen widmet – regelmäßig aktualisiert.

Vielleicht bewegt sich tatsächlich etwas. Nachdem wir Thomas Walter geschrieben haben, dass wir viele Jahre alte Hintertüren von kriminellen Angreifer:innen in den Netzen der Uni Tübingen gefunden haben, schiebt er Überstunden und baut das Netz grundlegend um. Das hätten er und sein Team ohnehin vorgehabt, nur war immer anderes wichtiger – jetzt ist die Dringlichkeit klar geworden.

Generell beobachtet Walter ein Umdenken: „Die Grenze verschiebt sich gerade von der Freiheit zu Sicherheit.“ Ein Grund ist die aktuelle Angriffswelle von Ransomware-Banden. Den Hochschulen wird klar, dass es so nicht weitergehen kann. Gleichzeitig werde die Situation mit der fortschreitenden Digitalisierung immer komplexer. „Wir sollten uns besser schützen, aber wir kriegen keine zusätzlichen guten Leute“ sagt Walter. Denn es gebe zu wenig Budget für IT-Sicherheit. „Wir fahren da fröhlich weiter auf Wände zu.“

Die ganze Uni schien im Winterschlaf zu sein

Die Urlaubszeit zwischen den Jahren machte es uns ebenso wie Kriminellen nicht nur einfacher, in Systeme einzudringen – sie bremste auch die Schutzmaßnahmen. Denn die Sicherheitslücken zu melden, damit sie geschlossen werden können, erwies sich als nächste Herausforderung. Es war schwierig, überhaupt die richtigen Ansprechpartner zu ermitteln. Während manche umgehend antworteten und die angreifbaren Dienste vom Netz nahmen, wie die Uni Tübingen und die Hochschule Trier, ließen sich andere Zeit.

Besonders nervös wurden wir, als die Universität Düsseldorf auch nach 20 Stunden noch nicht reagiert hatte und die Lücke weiterhin offen war. Was, wenn sie nun Kriminelle entdecken? Wer um so eine massive Sicherheitslücke weiß, schläft schlecht, solange sie nicht geschlossen ist.

Unzählige Anrufe führten ins Leere: Die ganze Uni schien im Winterschlaf. Schließlich erreichten wir einen Mann, der reichlich erstaunt war über unseren Anruf: Er sei bereits seit drei Jahren in Rente – auch wenn er einst für IT-Sicherheit zuständig war und sogar manchmal noch aushelfe. Aber woher wir seine Nummer hätten? Sie stand offenbar seit drei Jahren ohne sein Wissen auf der Webseite der Uni Düsseldorf.

Immerhin kommt danach Bewegung in die Sache – offenbar hatte der Rentner noch gute Kontakte: Wenige Stunden nach dem Telefonat wird die Lücke geschlossen. Was war vorher geschehen? War unsere E-Mail übersehen worden? Wir erfahren von einem zusätzlichen Sicherheitsproblem: Die E-Mail-Adresse des Zuständigen für die IT-Sicherheit war nicht erreichbar – offenbar war die betreffende Person im Urlaub. So erfuhren die Verantwortlichen erst mit Verzögerung von der heiklen Sicherheitslücke.

Zeit spielt durchaus eine Rolle, wie andere Vorfälle zeigen. So habe eine der Universitäten, die Opfer der Hackergruppe Conti wurde, das Update für die Lücke in Microsofts Exchange-Servern nur wenige Minuten zu spät aufgespielt, sagt der Tübinger CIO Thomas Walter. Er selbst hat deshalb seit drei Jahren zwischen den Jahren keinen Urlaub mehr genommen: „Das ist eine so kritische Zeit.“

Hochschulen sind seit 2019 stärker im Fokus krimineller Banden

Walter erinnert sich noch gut daran, wann er eine Ahnung davon bekam, dass sich die Zeiten für Universitäten ändern würden. Der „Datenpunkt, an dem alle nervös wurden“, sei der 8. Dezember 2019 gewesen. Das war der zweite Advent. An diesem Tag wurde die Uni Gießen mit Emotet angegriffen – der Name bezeichnet eine kriminelle Bande ebenso wie eine berüchtigte Schadsoftware. „Das war der Erfolgsdurchbruch für Erpressungssoftware an Universitäten“, sagt Walter. Bis dahin habe man vor allem mit Kleinkriminellen zu tun gehabt, doch seither haben es Profis auf die Unis abgesehen. Gleichzeitig sei ihm klar geworden, dass es nahezu unmöglich sein würde, Universitäten vollständig abzusichern.

Die Hochschulen haben sich zwar zusammengetan: Das Deutsche Forschungsnetzwerk, in dem viele Hochschulen Mitglied sind, hat ein eigenes Computer Emergency Response Team (CERT), das vor Schwachstellen und aktuellen Angriffsmustern warnt. Viele Hochschulen blockieren bekannte IP-Adressen von Ransomwaregruppen.

Aber viele klassische Sicherheitsmaßnahmen versagen: So geben viele Unternehmen ihren Angestellten gesicherte Arbeitscomputer und lassen nur eine übersichtliche Auswahl an Programmen zu, die stets aktuell gehalten sind. Das ginge an der Uni nicht, sagt Walter: „Wir haben die Freiheit der Forschung und Lehre.“ Es sei kaum möglich, bestimmte Programme oder Geräte vorzuschreiben. „Eine Exzellenz-Uni lebt von der Offenheit, ich kann das Netz nicht so zumachen, wie ich wollte.“

60.000 unbetreute Geräte im System – jeden Tag

Allein die 30.000 Studierenden, von denen jeder im Schnitt zwei Geräte mit zur Uni bringt, seien eine Herausforderung. „Ich habe jeden Tag 60.000 unbetreute Geräte in meinem Netzwerk, das ist security-mäßig der Horror.“ Dazu kommen Spezialgeräte wie teure Elektronenmikroskope in der Medizin. „Die haben teilweise noch Windows XP auf dem Rechner“ – ein mehr als 20 Jahre altes Betriebssystem, das seit bald zehn Jahren keine Sicherheitsupdates mehr erhält. „Aber ich kann die ja nicht wegschmeißen, weil der Steuerungs-PC veraltet ist.“ Also baue er Schutzmaßnahmen drumherum. Neben den klassischen Ransomware-Banden beobachtet Walter zudem verstärkte Spionageangriffe auf die Corona-Forschung in Tübingen. So hätten Personen in diesem Bereich gezielte, auf sie persönlich zugeschnittene Phishing-E-Mails erhalten.

Gibt es also keine Chance? Kann man Unis nicht besser absichern?

IT-Experte Matthias Marx war selbst bis vor kurzem Mitarbeiter an der Uni Hamburg und weiß aus eigener Erfahrung, dass Wissenschaft Freiheit braucht. Dennoch findet er, dass der Konflikt zwischen Freiheit und Sicherheit kleiner ist, als ihn die befragten Unis zeichnen. „Man sollte im Blick haben, welche Infrastruktur man betreibt“, kommentiert er die Tübinger Aussage über die „vergessenen Server.“ Das ließe sich zum Beispiel durch technische Maßnahmen erreichen wie regelmäßiges Scannen der eigenen IP-Adressbereiche – oder durch organisatorische Maßnahmen. Universitäten hätten zwar wegen der vielen befristeten Verträge mehr Fluktuation als etwa Unternehmen: „Das führt häufig dazu, dass Dinge vergessen werden.“ Helfen würde aber eine gute Dokumentation der Fachbereiche, in der für jeden Server und jedes Projekt klare Verantwortliche benannt werden. „Verlassen diese die Universität, wird die Verantwortung entweder übertragen, oder der Server wird abgeschaltet.“ Das beeinträchtige nicht die Freiheit der Forschung.

Langsam beginnt ein Umdenken

Auch René Rehme, der ethische Hacker im Team, denkt, dass es besser gehen müsste. „Ich bin verwundert, dass wir in dieser kurzen Zeit so viele offensichtliche Probleme entdeckt haben. Wenn es von außen so einfach ist, massive Sicherheitslücken zu finden, frage ich mich, wieso die Unis diese nicht selbst finden. Es scheint, als haben sie keinen Überblick über ihre eigenen Netzwerke.“

In der Tat fallen alle Lücken, die wir gefunden haben, unter die so genannten OWASP-Top10 – die zehn in der Sicherheitsforschung allgemein anerkannten Risiken, die Verantwortliche um jeden Preis vermeiden sollten. Es sind also keine ausgefallenen Angriffe, sondern eher das, was Kriminelle als erstes ausprobieren. Diese Top-10-Liste wird vom Open Web Application Security Project (OWASP) – einer internationalen Non-Profit-Organisation, die sich der Sicherheit von Webanwendungen widmet – regelmäßig aktualisiert.

Vielleicht bewegt sich tatsächlich etwas. Nachdem wir Thomas Walter geschrieben haben, dass wir viele Jahre alte Hintertüren von kriminellen Angreifer:innen in den Netzen der Uni Tübingen gefunden haben, schiebt er Überstunden und baut das Netz grundlegend um. Das hätten er und sein Team ohnehin vorgehabt, nur war immer anderes wichtiger – jetzt ist die Dringlichkeit klar geworden.

Generell beobachtet Walter ein Umdenken: „Die Grenze verschiebt sich gerade von der Freiheit zu Sicherheit.“ Ein Grund ist die aktuelle Angriffswelle von Ransomware-Banden. Den Hochschulen wird klar, dass es so nicht weitergehen kann. Gleichzeitig werde die Situation mit der fortschreitenden Digitalisierung immer komplexer. „Wir sollten uns besser schützen, aber wir kriegen keine zusätzlichen guten Leute“ sagt Walter. Denn es gebe zu wenig Budget für IT-Sicherheit. „Wir fahren da fröhlich weiter auf Wände zu.“

VGWort Pixel