Lücke in CampusNet: Adressen von über einer Million Studierenden standen im Netz

Eine Lücke in der Verwaltungssoftware CampusNet erlaubte das Abgreifen von Studentenadressen. Das fand ein Sicherheitsforscher heraus und meldete die Lücke dem Chaos Computer Club (CCC). Dieser koordinierte die Fehlerbehebung gemeinsam mit dem Hersteller – die meisten der betroffenen Institutionen reagierten schnell.

CampusNet ist, so sein Hersteller Datenlotsen, ein „integriertes Campus-Management-System, das [Bildungseinrichtungen] dabei hilft, die täglichen akademischen und administrativen Prozesse zu optimieren“. Viele der CampusNet-Funktionen sind auch über das Internet erreichbar – mit dem Suchbegriff „CampusNet“ finden sich seitenweise Zugangsportale. Mittels dieser Portale können Studierende etwa ihre Einschreibung an der Hochschule verwalten.

Doch über eine Suchmaske hätten Angreifer mit etwas Geduld oder einer Automatisierung die Adressen aller Studenten zusammensetzen können – insgesamt über eine Million. Das Hauptproblem: Über den Platzhalter „%“ erlaubte das Suchfeld auch eine Suche nach Wildcards und lieferte dann alle zutreffenden Datensätze zurück. Das waren etwa die Namen aller in den vergangenen Jahren und aktuell an der betroffenen Bildungseinrichtung eingeschriebenen Studierenden.

Probierten die Forscher nun Postleitzahlen, Straßennamen und Hausnummern durch, erhielten sie die Namen aller (Ex-)Studierenden, deren Adresse den jeweiligen Bestandteil erhielt. Über eine geschickte Bildung von Schnittmengen konnten die Sicherheitsforscher die vollständigen Adressen zusammensetzen. Dieser Vorgang lässt sich leicht automatisieren, um ein Studierendenverzeichnis zu erhalten. Einer Zählung des CCC zufolge sind insgesamt 1.140.919 ehemalige oder aktuelle Studierende vom Datenleck betroffen.

Hersteller und Hochschulen reagierten

Nachdem der CCC am 23. Februar den Hersteller Datenlotsen, das DFN-CERT (Deutsches Forschungsnetz – Computer Emergency Response Team) sowie die 22 betroffenen Bildungsinstitute informierte, reagierten diese prompt: Noch am selben Tag behoben die meisten Einrichtungen das Datenleck, mittlerweile schlägt der Zugriff auf die entsprechende Suchmaske bei allen gemeldeten Hochschulen fehl.

Wie der CCC in einem Blogbeitrag schreibt, schafften es einige Institutionen nicht, sich mit einer Vollzugsmeldung zurückzumelden, Sprecher Matthias Marx zeigt sich dennoch überwiegend zufrieden: „Es ist erfreulich, wie schnell und professionell die meisten Hochschulen reagierten. Nur bei vier Einrichtungen besteht offenbar wenig Interesse an künftigen Hinweisen.“

Flossen Daten ab? Auch Polizeiakademie betroffen

Für die meisten Studierenden dürfte das Datenleck ärgerlich sein – hilft es Kriminellen doch beim Identitätsdiebstahl. Für Eingeschriebene an der Akademie der Polizei Hamburg könnten sich jedoch weitere Sicherheitsrisiken ergeben. Ob tatsächlich über die offene Wildcard-Suche Daten in unbefugte Hände gerieten, ist jedoch unklar.

Die betroffenen Hochschulen und Bildungseinrichtungen waren im Einzelnen:

• Akademie der Polizei Hamburg
• Constructor University Bremen
• EBS Universität für Wirtschaft und Recht
• HCU Hamburg
• HFK Bremen
• Hochschule für nachhaltige Entwicklung Eberswalde
• Hochschule Neubrandenburg
• Hochschule Ruhr West
• HS Osnabrück
• Kalaidos Fachhochschule
• Merz Akademie
• New Design University
• THH Friedensau
• TU Darmstadt
• TU Dresden
• Uni Bremen
• Uni Hamburg
• Uni Leipzig
• Uni Mainz
• Uni Paderborn
• University of Europe for Applied Sciences
• Zentrum für Fernstudien im Hochschulverbund

Einige der betroffenen Hochschulen informierten die jeweiligen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), auch der CCC wandte sich an die Meldestellen.

Eine ähnliche Sicherheitslücke in der Uni-Verwaltungssoftware der HIS deckte c’t im Jahr 2020 auf.

(cku)