Connect with us

Datenschutz & Sicherheit

Darauf müssen sich Eltern einstellen



Täglich um die Zeit am Handy streiten, Einstellungen prüfen, den Überblick behalten darüber, was das eigene Kind auf TikTok, Instagram oder YouTube sieht und tut – das sorgt bei vielen Eltern für Stress. Sie treten an gegen mächtige Tech-Konzerne, deren Produkte mit Finesse darauf optimiert sind, möglichst oft und lange die Aufmerksamkeit zu binden. Viele fühlen sich ohnmächtig angesichts dieser Anziehungskraft.

Ein Social-Media-Verbot verspricht da eine scheinbar schnelle Lösung. Statt selbst dem Teenagerkind TikTok zu verbieten und dafür Türenknallen zu kassieren, könnten Eltern einfach auf ein gesetzliches Verbot verweisen.

Zum Schutz von Kindern im Netz und als Entlastung für Eltern drängen gerade viele Politiker*innen international auf ein Social-Media-Verbot für Minderjährige. In Deutschland wollen es der Bundeskanzler und der Vize-Kanzler, ebenso die Ministerinnen für Familie und Justiz: Ein Social-Media-Verbot nach australischem Vorbild. Jungen Menschen bis zu einer festen Altersgrenze sollen dann keine Accounts mehr auf TikTok, YouTube oder Instagram haben dürfen – und auch alle Älteren müssten ihr Alter nachweisen, um dort weiterhin liken, posten oder kommentieren zu dürfen.

Politiker*innen der SPD hatten im Februar ein Forderungspapier veröffentlicht, in dem sie ein umfassendes Verbot sozialer Medien für Kinder bis 14 Jahre verlangten. Für unter 16-Jährige soll es demnach eine entschärfte Jugendversion geben. Die CDU hat sich auf ihrem Parteitag Ende Februar auf ein ähnliches Modell verständigt. Einig ist sich die Bundesregierung aber noch nicht: Wichtige Politiker*innen der CSU sind gegen ein Social-Media-Verbot.

Hört man den Politiker*innen zu, dann soll das gesetzliche Verbot nicht nur junge Menschen schützen, sondern auch Eltern entlasten. Familienministerin Karin Prien (CDU) spricht von einer „enormen Herausforderung“ für Eltern, die das digitale Aufwachsen ihrer Kinder begleiten müssen. „Wir bekommen es auch im Elternhaus nicht mehr reguliert“, sagt auch der Ministerpräsident von Rheinland-Pfalz, Alexander Schweitzer (SPD). Was dabei regelmäßig unter den Tisch fällt: Die im selben Zug geforderten Alterskontrollen für alle, die das Social-Media-Verbot durchsetzen sollen, können Eltern auch belasten.

Der genaue mögliche Ablauf solcher Kontrollen in Deutschland ist nicht bekannt; noch ist nichts beschlossen. Es gibt aber das australische Modell als Vorbild – und es gibt konkrete Konzepte, wie Kontrollen in Deutschland oder der EU aussehen könnten. Einige Methoden von Alterskontrollen gibt es sogar schon jetzt in Deutschland; sie werden bislang allerdings nur für den Zugang zu Pornoseiten genutzt.

Worauf genau müssten sich Eltern also einstellen, wenn ein Social-Media-Verbot und Alterskontrollen in Deutschland real werden? Hierfür haben wir mehrere, wahrscheinliche Szenarien formuliert.

  • Szenario 1: Ihr Kinder lässt sein Gesicht scannen
  • Szenario 2: Ihr Kind lädt seinen Ausweis hoch
  • Szenario 3: Sie schalten Ihr Kind mit Ihrem Account frei
  • Szenario 4: Was, wenn Sie keine Papiere haben?
  • Szenario 5: Was, wenn Sie keine (minderjährigen) Kinder haben?

Szenario 1: Ihr Kinder lässt sein Gesicht scannen

Stellen wir uns vor, Ihr 15-Jähriges Kind hat bereits Instagram und möchte es nach Einführung der verpflichtenden Altersgrenze weiter nutzen. Nach kurzer Zeit fordert die Plattform Ihr Kind auf, sein Alter zu verifizieren. Dafür bietet die Plattform eine Altersschätzung über einen biometrischen Gesichtsscan.

Ihr Kind muss der App dafür Zugriff auf die Handykamera erlauben und sein Gesicht abfilmen. Die Aufnahme wird von einem Unternehmen ausgewertet, das sich auf solche digitalen Alterskontrollen spezialisiert hat. Dort analysiert ein KI-Modell die biometrischen Daten und gibt eine Schätzung ab, wie alt Ihr Kind wahrscheinlich ist. Auf das Versprechen, dass der Anbieter diese Aufnahmen zügig wieder löscht, müssen Sie sich verlassen.

KI-basierte Alterseinschätzung macht häufig Fehler. Sie kann Menschen als zu alt oder zu jung einschätzen. Stellen wir uns vor, Ihr Kind hat in diesem Fall Pech gehabt: Weil seine Gesichtszüge für die Software zu kindlich aussehen, wird es vom System auf unter 14 Jahre geschätzt. (Stand aktuell ist das Mindestalter für Instagram noch 13 Jahre.) Die Plattform teilt Ihrem Kind mit, dass es seinen Account nicht länger nutzen darf; es kann sich nicht mehr einloggen. Gemeinsam wühlen Sie sich durch Infoseiten, um herauszufinden, wie Sie einer falschen Alterseinschätzung widersprechen können, und eine erneute Prüfung anstoßen.

Biometrische Daten wie jene zu einem Gesicht gelten als besonders sensibel, denn sie bleiben ein Leben lang gleich. Anders als ein Passwort können sie nicht „zurückgesetzt“ werden. Sollte eine Datenbank mit derart sensiblen Daten Sicherheitslücken haben, wie es in der Vergangenheit schon passiert ist, könnten Angreifer*innen die Daten erbeuten und etwa für Betrug oder Identitätsdiebstahl missbrauchen.

Viele Eltern posten vorsichtshalber keine Bilder ihrer Kinder im Internet und wollen auch nicht, dass deren Gesichter biometrisch gescannt werden.

Szenario 2: Ihr Kind lädt seinen Ausweis hoch

Stellen wir uns vor, Ihr Kind, 14 Jahre alt, folgt auf YouTube gerne Influencern und kommentiert dort deren Videos. Auf der Suche nach zu jungen Nutzer*innen analysiert YouTube in Hintergrund das Verhalten Ihres Kindes. Die Plattform prüft möglicherweise, welche Videos Ihr Kind schaut und mit welchen Accounts es interagiert. Dabei kommt YouTube zu dem Schluss, dass Ihr Kind vielleicht doch noch nicht 14 Jahre alt ist. Die Plattform schickt Ihrem Kind deshalb eine Nachricht mit der Aufforderung, sein Alter überprüfen zu lassen.

Wieder landet ihr Kind bei einem Unternehmen, das für digitale Alterskontrollen zuständig ist. Dieses Mal soll es dort ein Ausweisdokument hochladen. Einen eigenen Personalausweis hat ihr Kind noch nicht, aber einen Reisepass. Ihr Kind soll den Pass fotografieren; die Fotos landen dann auf den Servern des Unternehmens. Dort prüft eine Software das Dokument und liest das Geburtsdatum aus. YouTube selbst bekommt den Reisepass nicht zu sehen, sondern nur den Hinweis, dass Ihr Kind über 14 Jahre alt ist.

Staaten sollen Social-Media-Verbote stoppen

Möglicherweise muss Ihr Kind noch beweisen, dass es wirklich den eigenen Ausweis hochgeladen hat. Dafür soll es zusätzlich sein Gesicht vor die Kamera halten, sodass eine Software diese Aufnahme mit dem Gesicht auf dem Passfoto vergleichen kann. Mehrfach bittet die Software Ihr Kind, sein Gesicht aus einem anderen Winkel aufzunehmen. Auf diese Weise prüft die Software, dass Ihr Kind nicht bloß das Foto einer anderen Person präsentiert. Der Prozess, den Ihr Kind dabei durchläuft, heißt Lebenderkennung. Auch hier kommt sogenannte KI zum Einsatz.

Sie und Ihr Kind müssen sich nun darauf verlassen, dass der Drittanbieter die Daten Ihres Kindes und die Fotos seines Reisepasses wieder löscht. Im Herbst musste etwa die Team-Software Discord eingestehen: Ausweisdaten von rund 70.000 Menschen, die über einen Drittanbieter ihr Alter verifizieren ließen, sind einem Leak zum Opfer gefallen.

Szenario 3: Sie schalten Ihr Kind mit Ihrem Account frei

Ihr 15-Jähriger will endlich einen eigenen TikTok-Account, um dort Creator*innen zu folgen und Videos von Freund*innen zu kommentieren. Stellen wir uns vor, für diese Altersgruppe zwischen 14 und 16 Jahren gibt es eine verpflichtende Jugendversion, wie es Politiker*innen der SPD vorgeschlagen haben. In dieser Version darf es keinen personalisierten, optimierten Feed geben. Auch Funktionen wie endloses Scrollen gäbe es nicht. Außerdem gilt: „Der Zugang erfolgt ausschließlich nach Verifizierung durch die Erziehungsberechtigten über deren EUDI-Wallet.“

Diese europäische digitale Brieftasche soll bald allen EU-Bürger*innen zu Verfügung stehen. Sie können damit ihren Führerschein und Personalausweis auf dem Handy speichern oder ihr Alter im Internet nachweisen. In Deutschland soll eine erste Version Anfang 2027 eingeführt werden.

Als Elternteil sind sie jetzt in der Verantwortung nachzuweisen, dass ihr Kind bereits 14 ist und ein Konto auf der Plattform eröffnen darf. Dazu müssen sie sich allerdings zunächst selbst die App herunterladen und einen TikTok-Account anlegen. Dabei geben sie TikTok unter anderem Ihre E-Mail-Adresse und Telefonnummer preis, sowie möglicherweise Standortdaten und viele weitere Eckdaten über Ihr Handy.

Als nächstes müssen Sie TikTok mithilfe Ihrer staatlichen Ausweis-App beweisen, dass zumindest Sie schon erwachsen sind. Danach können Sie das Konto Ihres Kindes mit Ihrem eigenen Konto verknüpfen und dafür bürgen, dass es bereits über 14 Jahre alt sind. Möglicherweise möchte die Plattform noch prüfen, dass Sie wirklich erziehungsberechtigt sind und nicht einfach nur der große Bruder – wie das technisch funktionieren soll, ist bislang nicht geklärt. Ist Ihr Konto mit dem Ihres Kindes verbunden, können Sie künftig auch den Überblick über die Einstellungen und Bildschirmzeiten Ihres Kindes behalten.

Einen „begleiteten Modus“ für Accounts von Minderjährigen bietet TikTok bereits heute an. Eltern die ihn nutzen wollen, brauchen dazu auch jetzt schon einen eigenen TikTok-Account. Allerdings müssen Eltern bislang nicht beweisen, dass sie bereits erwachsen sind.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Szenario 4: Was, wenn Sie keine Papiere haben?

Die geplante digitale Brieftasche (EUDI-Wallet) ist für EU-Bürger*innen gedacht sowie für Menschen, die in der EU leben. Wer künftig sein Alter mit der digitalen Brieftasche nachweisen will, muss dafür wahrscheinlich eine App herunterladen und dort die eigenen Ausweisdaten hinterlegen. Stellen wir uns vor, Sie gehören zu den schätzungsweise Hunderttausenden Menschen in Deutschland, die schlicht keine oder keine passenden Ausweispapiere besitzen. Oder Sie haben kein Smartphone – oder finden es schlicht unangenehm, Ihre Ausweisdaten einer App auf dem Handy anzuvertrauen.

In beiden Fällen könnten weder Sie noch Ihr Kind die Alterskontrollen zu Facebook, Instagram oder YouTube auf die Weise überwinden, die viele andere nutzen. Sie können sich jedoch auf ein Recht berufen, dass die EU in der Verordnung für die digitale Brieftasche vorgesehen hat: Die Nutzung der Brieftasche muss demnach freiwillig sein. Es braucht also Alternativen. Möglicherweise bleibt ihnen also noch die Möglichkeit, Ihr Alter mit einem Gesichtsscan schätzen zu lassen.

Vielleicht ist das KI-Scan für Sie kein Problem und funktioniert einwandfrei. Vielleicht gehören Sie aber auch zu einer Gruppe von Personen, deren Alter von KI-Systemen überdurchschnittlich häufig falsch eingeschätzt wird. Denn KI-Systeme sind oftmals auf Gesichter von weißen Männern optimiert.

Szenario 5: Was, wenn Sie keine (minderjährigen) Kinder haben?

Stellen wir uns vor, Sie haben keine Kinder, oder Ihre Kinder sind schon längst erwachsen. Müssen Sie sich dann überhaupt mit Alterskontrollen herumschlagen? – Ja.

In der Debatte spielt das bislang nur eine Nebenrolle: Kommt ein Social-Media-Verbot mit Alterskontrollen, werden nicht nur Kinder und Jugendliche ihr Alter nachweisen müssen, damit sie Zutritt zu Plattformen bekommen, sondern alle.

Sie wollen ein Brettspiel-Video auf YouTube kommentieren; einer Köchin auf Instagram folgen? Möglicherweise bezweifelt die Plattform, ob sie bereits erwachsen sind, und bittet sie per Pop-up um einen Altersnachweis. Dann haben Sie wiederum die Wahl, ob Sie Ihr Gesicht biometrisch scannen lassen, Ihre digitale Brieftasche verwenden oder Ihre Ausweispapiere bei einem Anbieter hochladen wollen.

Alterskontrollen in Deutschland: So geht es jetzt weiter

Derzeit arbeitet eine von Bundesfamilienministerin Karin Prien eingesetzte Expert*innen-Kommission an Vorschlägen für einen effektiven Schutz von Kindern und Jugendlichen im Netz. Ergebnisse sollen es noch vor der parlamentarischen Sommerpause geben. Parallel arbeitet eine ähnliche Kommission auf EU-Ebene am gleichen Thema.

Sowohl SPD als auch CDU drängen auf eine EU-weite Lösung für ein Social-Media-Verbot. Sollte die EU jedoch bis Sommer „keine ausreichenden Fortschritte“ erzielen, hält Prien auch einen deutschen Alleingang für möglich. Die rechtlichen Spielräume für beide Vorhaben sind jedoch schmal.

Auf EU-Ebene gibt es derzeit keine Pflicht für Plattformen, das Alter ihrer Nutzer*innen zu überprüfen oder Kinder auszusperren. Es gelten lediglich Auflagen, die Risiken für Minderjährige auf den Plattformen zu mindern– im Rahmen des Gesetzes für digitale Dienste (DSA).

Kaum beachtet von der breiten Öffentlichkeit verhandeln Kommission, Parlament und Mitgliedstaaten zudem über ein neues Gesetz, das Alterskontrollen in der EU zur Pflicht machen könnte. Anlass ist die Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO. Demnach sollen Anbieter mit Chatfunktion flächendeckende Alterskontrollen einführen, um minderjährige Nutzer*innen etwa vor Grooming zu schützen, also die Anbahnung sexuellen Kontakts durch Erwachsene. Entschieden ist jedoch nichts: Während sich Kommission und Rat für solche Kontrollen einsetzen, ist das Parlament dagegen.

Viele Elternverbände in Deutschland haben Bedenken, dass Daten junger Menschen bei Alterskontrollen nicht ausreichend geschützt werden. Hier geht es zu unserem Bericht: Elternverbände sehen Daten von Kindern in Gefahr.





Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

OpenWrt: Service-Releases schließen kritische Sicherheitslücken


Das OpenWrt-Projekt hat die Service-Releases 25.12.1 und 24.10.6 veröffentlicht. Die korrigieren einige kleinere Fehler, aber auch als kritisches Risiko eingestufte Sicherheitslücken. Wer OpenWrt einsetzt, sollte daher zeitnah die Aktualisierungen anwenden.

Weiterlesen nach der Anzeige

Das OpenWrt-Projekt hat für das Release 25.12.1 und für Release 24.10.6 je eine Übersicht der Änderungen herausgegeben. Die Schwachstellen betreffen die Vorgängerversionen beider Entwicklungszweige gleichermaßen. Zwei Sicherheitslücken im mdnsd erhalten eine Einstufung als kritisches Risiko. Bei der einen handelt es sich um einen möglichen Pufferüberlauf auf dem Stack beim Verarbeiten bösartig präparierter PTR-Anfragen für Reverse-DNS-Domains. Die Schwachstelle lässt sich ausnutzen, sofern der Daemon Multicast-DNS-Queries auf UDP-Port 5353 empfängt (CVE-2026-30871, CVSS4 9.5, Risiko „kritisch“). Dasselbe kann beim Verarbeiten von IPv6-Rückwärtsauflösungen passieren (CVE-2026-30872, CVSS4 9.5, Risiko „kritisch“)

In der Oberfläche können Angreifer den WLAN-Scan-Modus für Cross-Site-Scripting-Angriffe missbrauchen, da die SSIDs in der Anzeige der Scan-Ergebnisse als roh-HTML behandelt werden, ohne jedwede Prüfung oder Filterung (CVE-2026-32721, CVSS 8.6, Risiko „hoch“). Zwei weitere Schwachstellen, die die Updates ausbessern, stellen jedoch lediglich ein niedriges Risiko dar (CVE-2026-30873, CVSS4 2.4; CVE-2026-30874, CVSS4 1.8; beides Risiko „niedrig“).

OpenWrt-Updates: Weitere Korrekturen

Die Release-Übersichten listen jeweils noch diverse weitere Verbesserungen und Korrekturen auf. Die Version 24.10.6 etwa aktualisiert OpenSSL und schließt somit mehrere Sicherheitslücken darin. Die 25.12.1-Fassung korrigiert außerdem weitere Schwachstellen ohne CVE-Einträge, konkret in odhcpd und procd. Interessierte finden dort zudem noch Hinweise zu Korrekturen, die bestimmte unterstützte Geräte oder Komponenten und Module des Betriebssystems betreffen. Aufgrund des Schweregrads der Lücken sollten OpenWrt-Nutzer und -Nutzerinnen die Updates zeitnah anwenden.

Die Version 25.12.0 von OpenWrt kam erst vor rund zwei Wochen heraus. Die herausstechendste Änderung darin war der Wechsel des Paketmanagers für die Softwareverwaltung.

Siehe auch:

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

„Operation Alice“: Internationaler Schlag gegen Pädokriminelle


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Weiterlesen nach der Anzeige

Mehr als 373.000 Darknet-Seiten haben internationale Strafverfolger bei der „Operation Alice“ abgeschaltet und mit Sperrbannern versehen. Die Plattformen haben mit kinderpornografischem Material Kunden gesucht. Dabei handelte es sich jedoch um Fake Shops – nach Zahlung gab es keine der erwarteten „Waren“.

Seit Dienstag, den 17. März 2026, zieren nun Sperrbanner der Strafermittler die hunderttausenden Webseiten, die auf mehr als hundert Servern gehostet wurden. Gegen den Betreiber gibt es einen Haftbefehl, gegen rund 600 Personen laufen Ermittlungen.

Kinderpornografisches Material als Köder

Die Seiten und Plattformen, mit denen der Betreiber Pädokriminelle angelockt hat, hatten Namen wie „Alice with Violence CP“, „Raped Bitches“ oder „Exclusive Baby Sluts CP“. Sie zeigten Bilder von teils schwerem sexuellen Missbrauch von Kleinkindern. Der Betreiber hat auf mehr als 90.000 Webseiten von 32 unterschiedlichen Plattformen etwa Bilder von „Boys“ für 23 US-Dollar oder „Girls“ für 45 US-Dollar angeboten. Die Preisspanne lag insgesamt zwischen 20 und 250 US-Dollar für die Zusendung von Downloadlinks zu Archiven mit wenigen Gigabyte bis zu mehreren Terabyte an kinderpornografischen Bildern und Videos.

Interessierte mussten mit der Kryptowährung Bitcoin zahlen und eine E-Mail-Adresse angeben. Trotz der Werbung auf den Seiten mit echtem kinderpornografischem Material hat der Betreiber nach den Zahlungen jedoch nichts geliefert. Auf den insgesamt 122 Plattformvarianten mit den 373.000 .onion-Domains gab es zudem auch vermeintliche Cybercrime-as-a-Service-Angebote wie Kreditkartendaten oder Zugänge zu kompromittierten Systemen. „Ziel war dabei stets, potenzielle Kunden ohne Gegenleistung zu einer Zahlung zu animieren“, erklärt das LKA aus Bayern.

Die Ermittler setzten auf Tools wie einen Dark Web Monitor – einer Suchmaschine für das Darknet – und GraphSense zur Verfolgung von Zahlungsströmen, mit denen sie dem Betreiber auf die Schliche gekommen sind. Die Kryptowährungsströme führten zu einem legalen Zahlungsdienstleister. Mithilfe der dort gespeicherten Daten konnten die Zugriffe der Beschuldigten auf die Plattformen belegt und den gekauften Datenpaketen zugeordnet werden. Die Ermittlungen laufen gegen den Betreiber der Plattformen, einen 35-jährigen chinesischen Staatsbürger mit Wohnsitz in China, und gegen etwa 600 Nutzer. Bisher konnten bereits 440 identifiziert werden, die zwischen Februar 2020 und Juli 2025 Zahlungen auf diesen Plattformen getätigt haben, erklärt das bayerische Landeskriminalamt.

Über die gesamte Verfahrensdauer haben die Ermittler bei akut erkannten Gefahren für Kinder direkt eingegriffen. Wurde bekannt, dass Kinder bei Tatverdächtigen wohnen, haben sie die Verfahren an die zuständigen Justiz- und Polizeibehörden abgegeben. Als Beispiel führt das LKA Bayern einen 31-jährigen Familienvater an, der für 20 US-Dollar ein 70 Gigabyte umfassendes Paket mit kinderpornografischem Material auf der Plattform „CP Video HD“ kaufen wollte. Bei der Durchsuchung konnte die Datenlöschung durch Auslösen eines Totmannschalters verhindert werden, der Mann wurde demnach anschließend rechtskräftig verurteilt.

Weiterlesen nach der Anzeige

Die „Operation Alice“ begann am 9. März 2026 als weltweite Aktion und lief bis zum 19. März. Daran waren 23 Staaten beteiligt, von Australien über Spanien bis nach Kanada. Die Koordination übernahm Europol. In Deutschland kam es zu 14 Durchsuchungen bei 14 Verdächtigen aus neun Bundesländern. Insgesamt seien im gesamten Ermittlungskomplex Verfahren gegen 89 Beschuldigte aus Deutschland geführt worden. Die Ermittlungen im Gesamtkomplex laufen noch mit Unterstützung von Interpol.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Lücke in CampusNet: Adressen von über einer Million Studierenden standen im Netz


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Eine Lücke in der Verwaltungssoftware CampusNet erlaubte das Abgreifen von Studentenadressen. Das fand ein Sicherheitsforscher heraus und meldete die Lücke dem Chaos Computer Club (CCC). Dieser koordinierte die Fehlerbehebung gemeinsam mit dem Hersteller – die meisten der betroffenen Institutionen reagierten schnell.

Weiterlesen nach der Anzeige

CampusNet ist, so sein Hersteller Datenlotsen, ein „integriertes Campus-Management-System, das [Bildungseinrichtungen] dabei hilft, die täglichen akademischen und administrativen Prozesse zu optimieren“. Viele der CampusNet-Funktionen sind auch über das Internet erreichbar – mit dem Suchbegriff „CampusNet“ finden sich seitenweise Zugangsportale. Mittels dieser Portale können Studierende etwa ihre Einschreibung an der Hochschule verwalten.

Doch über eine Suchmaske hätten Angreifer mit etwas Geduld oder einer Automatisierung die Adressen aller Studenten zusammensetzen können – insgesamt über eine Million. Das Hauptproblem: Über den Platzhalter „%“ erlaubte das Suchfeld auch eine Suche nach Wildcards und lieferte dann alle zutreffenden Datensätze zurück. Das waren etwa die Namen aller in den vergangenen Jahren und aktuell an der betroffenen Bildungseinrichtung eingeschriebenen Studierenden.

Probierten die Forscher nun Postleitzahlen, Straßennamen und Hausnummern durch, erhielten sie die Namen aller (Ex-)Studierenden, deren Adresse den jeweiligen Bestandteil erhielt. Über eine geschickte Bildung von Schnittmengen konnten die Sicherheitsforscher die vollständigen Adressen zusammensetzen. Dieser Vorgang lässt sich leicht automatisieren, um ein Studierendenverzeichnis zu erhalten. Einer Zählung des CCC zufolge sind insgesamt 1.140.919 ehemalige oder aktuelle Studierende vom Datenleck betroffen.

Hersteller und Hochschulen reagierten

Nachdem der CCC am 23. Februar den Hersteller Datenlotsen, das DFN-CERT (Deutsches Forschungsnetz – Computer Emergency Response Team) sowie die 22 betroffenen Bildungsinstitute informierte, reagierten diese prompt: Noch am selben Tag behoben die meisten Einrichtungen das Datenleck, mittlerweile schlägt der Zugriff auf die entsprechende Suchmaske bei allen gemeldeten Hochschulen fehl.

Wie der CCC in einem Blogbeitrag schreibt, schafften es einige Institutionen nicht, sich mit einer Vollzugsmeldung zurückzumelden, Sprecher Matthias Marx zeigt sich dennoch überwiegend zufrieden: „Es ist erfreulich, wie schnell und professionell die meisten Hochschulen reagierten. Nur bei vier Einrichtungen besteht offenbar wenig Interesse an künftigen Hinweisen.“

Flossen Daten ab? Auch Polizeiakademie betroffen

Weiterlesen nach der Anzeige

Für die meisten Studierenden dürfte das Datenleck ärgerlich sein – hilft es Kriminellen doch beim Identitätsdiebstahl. Für Eingeschriebene an der Akademie der Polizei Hamburg könnten sich jedoch weitere Sicherheitsrisiken ergeben. Ob tatsächlich über die offene Wildcard-Suche Daten in unbefugte Hände gerieten, ist jedoch unklar.

Die betroffenen Hochschulen und Bildungseinrichtungen waren im Einzelnen:

  • Akademie der Polizei Hamburg
  • Constructor University Bremen
  • EBS Universität für Wirtschaft und Recht
  • HCU Hamburg
  • HFK Bremen
  • Hochschule für nachhaltige Entwicklung Eberswalde
  • Hochschule Neubrandenburg
  • Hochschule Ruhr West
  • HS Osnabrück
  • Kalaidos Fachhochschule
  • Merz Akademie
  • New Design University
  • THH Friedensau
  • TU Darmstadt
  • TU Dresden
  • Uni Bremen
  • Uni Hamburg
  • Uni Leipzig
  • Uni Mainz
  • Uni Paderborn
  • University of Europe for Applied Sciences
  • Zentrum für Fernstudien im Hochschulverbund

Einige der betroffenen Hochschulen informierten die jeweiligen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), auch der CCC wandte sich an die Meldestellen.

Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

Eine ähnliche Sicherheitslücke in der Uni-Verwaltungssoftware der HIS deckte c’t im Jahr 2020 auf.


(cku)



Source link

Weiterlesen

Beliebt