Eine Lücke in der Verwaltungssoftware CampusNet erlaubte das Abgreifen von Studentenadressen. Das fand ein Sicherheitsforscher heraus und meldete die Lücke dem Chaos Computer Club (CCC). Dieser koordinierte die Fehlerbehebung gemeinsam mit dem Hersteller – die meisten der betroffenen Institutionen reagierten schnell.

CampusNet ist, so sein Hersteller Datenlotsen, ein „integriertes Campus-Management-System, das [Bildungseinrichtungen] dabei hilft, die täglichen akademischen und administrativen Prozesse zu optimieren“. Viele der CampusNet-Funktionen sind auch über das Internet erreichbar – mit dem Suchbegriff „CampusNet“ finden sich seitenweise Zugangsportale. Mittels dieser Portale können Studierende etwa ihre Einschreibung an der Hochschule verwalten.

Doch über eine Suchmaske hätten Angreifer mit etwas Geduld oder einer Automatisierung die Adressen aller Studenten zusammensetzen können – insgesamt über eine Million. Das Hauptproblem: Über den Platzhalter „%“ erlaubte das Suchfeld auch eine Suche nach Wildcards und lieferte dann alle zutreffenden Datensätze zurück. Das waren etwa die Namen aller in den vergangenen Jahren und aktuell an der betroffenen Bildungseinrichtung eingeschriebenen Studierenden.

Probierten die Forscher nun Postleitzahlen, Straßennamen und Hausnummern durch, erhielten sie die Namen aller (Ex-)Studierenden, deren Adresse den jeweiligen Bestandteil erhielt. Über eine geschickte Bildung von Schnittmengen konnten die Sicherheitsforscher die vollständigen Adressen zusammensetzen. Dieser Vorgang lässt sich leicht automatisieren, um ein Studierendenverzeichnis zu erhalten. Einer Zählung des CCC zufolge sind insgesamt 1.140.919 ehemalige oder aktuelle Studierende vom Datenleck betroffen.

Hersteller und Hochschulen reagierten

Nachdem der CCC am 23. Februar den Hersteller Datenlotsen, das DFN-CERT (Deutsches Forschungsnetz – Computer Emergency Response Team) sowie die 22 betroffenen Bildungsinstitute informierte, reagierten diese prompt: Noch am selben Tag behoben die meisten Einrichtungen das Datenleck, mittlerweile schlägt der Zugriff auf die entsprechende Suchmaske bei allen gemeldeten Hochschulen fehl.

Wie der CCC in einem Blogbeitrag schreibt, schafften es einige Institutionen nicht, sich mit einer Vollzugsmeldung zurückzumelden, Sprecher Matthias Marx zeigt sich dennoch überwiegend zufrieden: „Es ist erfreulich, wie schnell und professionell die meisten Hochschulen reagierten. Nur bei vier Einrichtungen besteht offenbar wenig Interesse an künftigen Hinweisen.“

Flossen Daten ab? Auch Polizeiakademie betroffen

Für die meisten Studierenden dürfte das Datenleck ärgerlich sein – hilft es Kriminellen doch beim Identitätsdiebstahl. Für Eingeschriebene an der Akademie der Polizei Hamburg könnten sich jedoch weitere Sicherheitsrisiken ergeben. Ob tatsächlich über die offene Wildcard-Suche Daten in unbefugte Hände gerieten, ist jedoch unklar.

Die betroffenen Hochschulen und Bildungseinrichtungen waren im Einzelnen:

• Akademie der Polizei Hamburg
• Constructor University Bremen
• EBS Universität für Wirtschaft und Recht
• HCU Hamburg
• HFK Bremen
• Hochschule für nachhaltige Entwicklung Eberswalde
• Hochschule Neubrandenburg
• Hochschule Ruhr West
• HS Osnabrück
• Kalaidos Fachhochschule
• Merz Akademie
• New Design University
• THH Friedensau
• TU Darmstadt
• TU Dresden
• Uni Bremen
• Uni Hamburg
• Uni Leipzig
• Uni Mainz
• Uni Paderborn
• University of Europe for Applied Sciences
• Zentrum für Fernstudien im Hochschulverbund

Einige der betroffenen Hochschulen informierten die jeweiligen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), auch der CCC wandte sich an die Meldestellen.

Eine ähnliche Sicherheitslücke in der Uni-Verwaltungssoftware der HIS deckte c’t im Jahr 2020 auf.

(cku)

Die niederländische Gemeinde Heerlen baut mit fünf Millionen Euro Förderung der Europäischen Union ein KI-gestütztes System auf, das Kriminalität und Störungen der öffentlichen Ordnung vorhersagen soll. Das im letzten Jahr begonnene Projekt heißt „Pulse-Twin“. Noch in diesem Jahr soll eine erste Version fertiggestellt sein, die dann bis zum Frühjahr 2028 erprobt wird.

Vorhersagesoftware für Polizeibehörden wird seit rund zwei Jahrzehnten weltweit erprobt. Bisherige Systeme zielten vor allem auf die Prognose bestimmter Delikte wie Einbrüche oder Diebstähle. Künstliche Intelligenz soll diese Ansätze auf ein neues Niveau heben.

Technische Grundlage ist ein sogenannter digitaler Zwilling – eine kontinuierlich aktualisierte digitale Nachbildung der realen Stadt mit Daten aus sozialen, statistischen und polizeilichen Quellen. Ein Algorithmus verarbeitet diese Informationen und errechnet Wahrscheinlichkeiten für Ordnungsstörungen oder Straftaten. Auf Basis dieser Prognosen sollen Behörden dann „präventiv“ handeln können. Neben der Kriminalitätsvorhersage ist das System laut Projektverantwortlichen auch für Verkehrssteuerung und das Energiemanagement in Gebäuden einsetzbar.

Weltweit erstes Projekt im urbanen Raum

Die EU-Mittel für „Pulse-Twin“ stammen aus dem europäischen COVID-Wiederaufbaufonds. Das Projekt soll nach Angaben seiner Betreiber*innen „urbane Herausforderungen mit datengetriebenen Lösungen“ angehen. Heerlen gilt dabei als erste Stadt der Welt, die ein derartiges System einführt.

Die niederländische Sektion von Amnesty International kritisiert das Projekt: „Bei Systemen, die Belästigungen oder Kriminalität vorhersagen und für die Strafverfolgung durch die Polizei eingesetzt werden, besteht ein großes Risiko des ethnischen Profilings. Amnesty International hofft daher, dass die Gemeinde Heerlen den Einsatz von Pulse-Twin noch einmal überdenkt.“

Hintergrund dieser Warnung ist ein strukturelles Problem algorithmischer Systeme, die auf historischen Polizeidaten basieren: Wurden in der Vergangenheit bestimmte Bevölkerungsgruppen oder Stadtteile unverhältnismäßig stark kontrolliert, bildet das Modell diese Muster ab und reproduziert sie.

Das ist auch die Kritik an Systemen wie Gotham von Palantir, die bereits in vier deutschen Bundesländern eingeführt wurden oder werden. Nach Darstellung von Behörden und dem US-Hersteller kann Gotham aber nicht auf Daten im Internet zugreifen und funktioniert auch nicht nach dem Prinzip des digitalen Zwillings.

Frontex lädt Hersteller zu „Industrietag“

Das Konzept des digitalen Zwillings wird längst auch zur Entscheidungsfindung oder Befehlsführung im militärischen Bereich angewendet. Als virtuelle Repräsentation etwa von Panzern, Flugzeugen oder Truppenverbänden verknüpft die KI Sensordaten, um Einsätze vor dem Auslösen einer Waffe zu simulieren oder Probleme beim Nachschub vorherzusagen. Sie optimiert außerdem militärische Ausbildung und Wartungsbedarfe.

Auch die EU-Grenzagentur Frontex beschäftigt sich mit dem Konzept. Im Rahmen ihres Copernicus-Grenzüberwachungsdienstes arbeitet die Behörde daran, digitale Zwillingsmodelle der EU-Außengrenzen zu entwickeln. Diese sollen Beamt*innen ermöglichen, spezifische Szenarien zu simulieren – etwa irreguläre Grenzübertritte unter verschiedenen Wetterbedingungen.

Frontex will damit Ressourcen gezielter einsetzen sowie die Überwachungstechnik effizienter nutzen. Das System soll geografisch skalierbar sein und unterschiedliche Grenztypen abbilden können, von Flussläufen über Küstenabschnitte bis hin zu Waldgebieten und Gebirgsregionen.

Im vergangenen Juni hat Frontex einen zweitägigen, mit insgesamt 180.000 Euro dotierten Wettbewerb durchgeführt, bei dem die drei Firmen Kondorcad Landsurv aus Rumänien, GMV aus Spanien sowie das Institut für Geodäsie und Kartographie aus Polen „digitale Zwillingslösungen“ für ein Geländegebiet nahe des rumänischen Dubova präsentierten. Für die mögliche Beschaffung digitaler Zwillinge für Grenztruppen in den EU-Mitgliedstaaten hat Frontex im Februar europäische Hersteller zu einem „Industrietag“ eingeladen.

Am Donnerstag hat Google aktualisierte Versionen des Webbrowsers Chrome herausgegeben. Sie schließen 26 Sicherheitslücken. Drei davon gelten als kritisches Risiko – Nutzer und Nutzerinnen sollten daher sicherstellen, die aktuellen Softwareversionen einzusetzen.

In der Nacht zum Freitag hat Google die zunächst leere Versionsankündigung mit den darin ausgebesserten Schwachstellen befüllt. Zwei der gravierendsten Sicherheitslücken betreffen die WebGL-Komponente. Einmal können Angreifer mit manipulierten HTML-Seiten aufgrund von dabei auftretenden Speicherzugriffen außerhalb vorgesehener Grenzen aus einer Sandbox in Android ausbrechen (CVE-2026-4439, kein CVSS-Wert, Risiko laut Google „kritisch“). Die zweite Lücke darin klingt ähnlich, hier sollen Angreifer jedoch Lese- und Schreibzugriffe außerhalb der vorgesehenen Speicherbereiche mit sorgsam präparierten Webseiten ausführen können. Der Schweregrad der Lücke weist jedoch darauf hin, dass so das Einschleusen und Ausführen von Schadcode möglich ist (CVE-2026-4440, kein CVSS-Wert, Risiko laut Google „kritisch“).

Dann hat sich noch eine Schwachstelle des Typs „Use-after-free“ in der Base-Komponente von Chrome manifestiert. Dadurch können bösartige Akteure mit präparierten Webseiten Speicherstörungen auf dem Heap provozieren. Derartige Lücken erlauben oftmals das Ausführen von eingeschleustem Code (CVE-2026-4441, kein CVSS-Wert, Google-Risikoeinstufung „kritisch“). 22 weitere Schwachstellen haben als Bedrohungsgrad die Einschätzung „hoch“ erhalten, lediglich eine den Schweregrad „mittel“.

Google Chrome: Aktuellen Softwarestand sicherstellen

Die Entwickler schreiben immerhin nichts davon, dass bereits Angriffe auf die Schwachstellen in freier Wildbahn beobachtet worden wären. Dennoch sollten Nutzer und Nutzerinnen von Chrome sicherstellen, dass der aktuelle Softwarestand aktiv ist. Das sind derzeit Chrome für Android und Linux 146.0.7680.153 sowie 146.0.7680.153/154 für macOS und Windows.

Das gelingt lokal etwa durch den Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Pfad über „Hilfe“ hin zu „Über Google Chrome“. Das öffnet den Versionsdialog, der die derzeit laufende Softwareversion anzeigt und gegebenenfalls die Aktualisierung herunterlädt, installiert und zum schließlich nötigen Browser-Neustart auffordert. Unter Linux ist dazu in der Regel der Aufruf der Softwareverwaltung der Distribution nötig. In den App-Stores auf Mobilgeräten ist die aktuelle Version nicht immer umgehend verfügbar, oftmals lassen sich hier Verzögerungen von mehreren Tagen beobachten.

Die Lücken finden sich regelmäßig auch in der Chromium-Basis und darauf basierenden Webbrowsern wie Microsoft Edge oder Brave. Hierfür dürften die Anbieter in Kürze ebenfalls Updates anbieten, die die Lücken schließen. Hier sollten Nutzer ebenfalls prüfen, ob bereits Aktualisierungen verfügbar sind.

Derzeit sind die Chrome-Entwickler bei Google äußerst aktiv beim Beseitigen von Sicherheitsproblemen. Am Freitag vergangener Woche gab es ein Notfall-Update, um aktiv attackierte Schwachstellen im Chrome-Browser auszubügeln. Entgegen der ersten Ankündigung hatte jedoch die Fehlerkorrektur für eine zweite angegriffene Sicherheitslücke noch gefehlt, die ein weiteres Chrome-Notfall-Update in der Nacht zum Samstag nachlieferte.

(dmk)