1. Saarland
  2. Hochschule

Datenleck an vielen deutschen Hochschulen

Persönliche Daten von Studierenden im Netz : Sicherheitslücke in den Systemen vieler deutscher Hochschulen

Persönliche Daten von Studierenden im ganzen Land konnten wegen eines fehlerhaften Softwaremoduls über viele Jahre frei im Netz aufgerufen werden.

Wegen einer Sicherheitslücke im Informationssystem vieler deutscher Hochschulen standen persönliche Daten von Hunderttausenden Studierenden über Jahre offen im Internet. Das hat das IT-Fachmagazin c’t aufgedeckt. Wie Heise online berichtet, waren davon die Systeme der Hochschul-Informations-System eG (HIS) betroffen, die auch an der Saar-Universität zum Einsatz kommen.

Durch eine fehlerhafte Komponente in der Software erfolgte bei der Abfrage persönlicher Daten der Studierenden keine Berechtigungsprüfung, sodass sie nicht nur für bestimmte Mitarbeiter sondern auch für Dritte zugänglich waren, erklärt Heise online. Dazu gehören Name, Adresse, Geburtsdatum, Matrikelnummer sowie der Immatrikulationsstatus.

Die Sicherheitslücke, die Anfang März bekannt wurde, ist laut Anbieter HIS zwischenzeitlich geschlossen. Den Hochschulen sei bereits am 9. März, drei Tage nach Bekanntwerden des Datenlecks, ein Sicherheitsupdate zur Verfügung gestellt worden, das den unbefugten Abruf von Daten verhindert. Der fehlerhafte Quellcode in einem der Softwaremodule sei seit Juni 2011 vorhanden gewesen und bislang niemandem aufgefallen.

Der Leiter des IT-Hochschulinformationszentrum an der Saar-Universität, Martin Pilger, sagt, dass das entsprechende Modul von der Saar-Uni nicht aktiv genutzt worden sei. Nach Bekanntwerden der Sicherheitslücke an der Saarbrücker Hochschule sei das gesamte System umgehend blockiert und das entsprechende Sicherheitsupdate eingespielt worden. Eine erste Analyse von Daten habe ergeben, dass es nur am 6. und 12. März Zugriffe gegeben habe, sodass davon auszugehen sei, dass diese nur im Rahmen der Recherche der Zeitschrift c’t stattgefunden haben und es zu keinem Datenmissbrauch in größerem Umfang gekommen sei. 

Der Saarbrücker Fall ist an die Landesbeauftragte für Datenschutz und Informationssicherheit gemeldet worden. Gegenüber den Datenschützern gab die Saar-Universität an, es bestünde keine Gefahr, dass Daten manipuliert oder gelöscht worden seien.

Wie viele persönliche Daten von Studierenden bundesweit tatsächlich von Dritten eingesehen wurden, lasse sich nicht mehr nachvollziehen, erklärte HIS gegenüber Heise online. Üblicherweise würden die Log-Dateien, die die Zugriffe protokollieren, nur ein bis vier Wochen zurückreichen.