Über 50 Universitäten gehacked - Project Westwind

Wie man vor wenigen Tagen bereits bei verschiedenen Portalen lesen konnte, ist es einer Gruppe von Hackern wohl gelungen, in die Server von mehr als 50 Universitäten einzusteigen und dort Datensätze abzugreifen. Bei heise.de bin ich persönlich auf diesen Bericht gestoßen und konnte mir im ersten Moment ein Schmunzeln nicht verkneifen. War es doch eigentlich nur eine Frage der Zeit, bis es auf den Servern der vielen Universitäten einmal kracht. Im Bericht wird erwähnt, dass sich die Ghostshell-Gruppe zu den Angriffen bekannte und diverse Datensätze öffentlich verfügbar machte.

Nachdem ich einen kurzen Blick auf das Pastebin geworfen habe, fiel mir auf, dass dort einige Universitäten aufgelistet werden, die von mir bereits in den vergangenen Monaten mehrmals Sicherheitshinweise erhalten und teilweise ignoriert haben. Da wäre zum Beispiel die Harvard Universität in Cambridge, das Harvard MIT Datencenter, die TU München, die TU Berlin, die Ruhr-Universität Bochum (Lehrstuhl für Netz- und Datensicherheit), sowie viele weitere „Opfer“ dieser Aktion.

Nachdem ich bei heise.de einen Kommentar zum oben verlinkten Beitrag geschrieben und dort auch die Sicherheitsproblematik bei gewissen Universitäten angesprochen habe, erhielt ich divere E-Mails von Universitäten, die mehr über die jeweiligen Fälle erfahren wollten. Die TU München war recht schnell und fragte nach Details zu den damals übersandten Sicherheitshinweisen. Ich hatte dort noch eine Runde „Nyan Cat“ im Hinterkopf und auch gleich die entsprechenden Informationen übersandt. Nach den Anfragen musste ich aber selbst erst das Archiv durchforsten und die jeweiligen Schwachstellen auf Aktualität überprüfen.

Ein wenig lustig fand ich die Reaktion der Ruhr-Universität Bochum, dem Lehrstuhl für Netz- und Datensicherheit. Da hat man sich wohl ein wenig geschämt, als plötzlich hunderte Leser eine Live-Demonstration von Schwachstellen bei der Website dieser Uni erhalten haben, um sich selbst davon zu überzeugen, dass die Uni Bochum seit über einem Jahr Sicherheitslücken ignoriert, die sehr wohl dort bekannt waren. Diese Peinlichkeit hat wohl dann doch noch dazu geführt, dass man über ein Jahr nach den Sicherheitshinweisen, eine Beseitigung der Sicherheitsproblematik für nötig empfunden hat. Die Schwachstelle bei der Ruhr-Universität Bochum ist also in ihrer demonstrierten Form nicht mehr vorhanden. Gemeldet hat sich aus Bochum natürlich niemand, kein Mucks, kein Danke, nichts (wie erwartet).

Die TU München hat mir gegenüber geäußert, dass erst seit kurzer Zeit ein zentrales Meldewesen für Sicherheitswarnungen existiert und man davon ausgeht, dass die damaligen Warnungen „lediglich“ die jeweiligen Betreiber erreicht haben und man diese dort nicht weiter bearbeiten konnte/wollte (wer weiß). Ich persönlich finde die Reaktion der TUM hier sehr vorbildlich. Man fragt nach, bevor man vielleicht doch einen Skandal nachlesen kann. Das ist dann wohl das blanke Gegenteil der Uni in Bochum und auch des Ignoranz-Kompetenzzentrums in Cambridge.

Über die Sicherheitsproblematik bei der Harvard Universität bzw. deren MIT Datencenter, habe ich erst vor wenigen Tagen berichtet. Die Sicherheitslücke, die einen Eingriff in diverse Datenbanken ermöglicht ist übrigens weiterhin unbehandelt. Die Schwachstelle im Portal des „Institut of Politics“ ist allerdings schon beseitigt. Ich bin gespannt, wie lange man dort noch brauchen wird, um die Datensätze vor Angreifern zu schützen. Nun, ich möchte nicht arrogant wirken, aber finde es dennoch ein wenig „arm“ für eine Universität die weltweit als Art „Elite“ anerkannt wird. Dazu frage ich mich auch, warum man Sicherheitswarnungen einfach schlichtweg ignoriert, bis es zu spät ist. Wenn ich eine Sicherheitswarnung erhalten würde, wäre die Antwort spätestens nach einer Stunde draußen und das Problem bereits beseitigt. Ich meine, Sicherheitslücken gibt es eigentlich überall. Es nur im eine Frage, wie man darauf reagiert. Ich persönlich würde dem Hinweisgeber meinen größten Dank aussprechen und auch gerne öffentlich darüber schreiben. Darin sehe ich absolut kein Problem. Einfach stur zu bleiben und jede Warnung zu ignorieren, ist aber sicherlich nicht die beste Lösung.

Ein Kandidat der Hochschulen ist auch die Hochschule Landshut, die meine Sicherheitshinweise vor einigen Monaten zum Teil genutzt hat, um Schwachstellen zu schließen, jedoch keine Rückmeldung für nötig empfunden hat. Das Ganze hat allerdings auch einige Zeit gebraucht. Scheinbar ist man bei derartigen Einrichtungen einfach zu beschäftigt. Da sind so ein paar Sicherheitslücken eine untragbare Last.

Die TU Berlin hat zumindest auf die Bitte zur Kontaktaufnahme reagiert und mir geantwortet. Ich habe dort vor einigen Monaten eine SQL Injection Schwachstelle aufgedeckt, die Zugriff auf Datenbanken ermöglichte. Leider hat man es auch dort nicht für nötig empfunden, eine weitere Rückmeldung zu übersenden. Darum habe ich erst einige Zeit später – bei einer Nachkontrolle – festgestellt, dass die Sicherheitslücke dort beseitigt war. Es handelte sich allerdings um eine Sicherheitslücke im Hauptportal der TU Berlin und nicht – wie bei heise.de im Update nachzulesen – um einen Fachbereich, der getrennt vom Hauptsystem war. Ich bin daher besonders froh, dass mein Hinweis bei der TU Berlin zur Schließung der Schwachstelle geführt hat. Vielleicht konnte ich dadurch verhindern, dass man bei „Project Westwind“ auch in die Hauptsysteme eindringt. Ich klopfe mir an dieser Stelle einfach mal selbst auf die Schulter, wenn es schon sonst niemand macht. :o)

Das Julius Kühn-Institut, eine Einrichtung des Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, hat in der Vergangenheit mehrere Monate verstreichen lassen, ehe man dort eine höchst kritische Sicherheitslücke beseitigt hat. Damals habe ich den Kontakt zum BSI (Bundesamt für Sicherheit in der Informationstechnik) aufgenommen, da man meine Hinweise nicht beantwortet und zunächst auch die Schwachstelle nicht beseitigt hat. Selbst in Zusammenarbeit mit dem BSI und mehreren Aufforderungen, hat die Beseitigung der Sicherheitslücke dort, mehrere Monate gedauert.

Auch „Fraunhofer“ konnte in der Vergangenheit Schwachstellen beseitigen, die unter Umständen eine erhebliche Gefahr dargestellt hätten. Man hat auch in diesem Fall eine längere Zeit benötigt, um überhaupt auf die Sicherheitswarnung zu reagieren und die Sicherheitsproblematik zu beseitigen.

Ich könnte diese Liste hier noch ewig fortführen, jedoch ist der Beitrag meiner Meinung nach schon lang genug. Es macht ja auch keinen wirklichen Sinn, nun hunderte Universitäten an den Pranger zu stellen. Ich wollte nur einmal bröckchenweise aus den letzten Monaten berichten, was Universitäten und deren Einstellung zum Thema Sicherheitslücken angeht.

Nun, was das „Project Westwind“ betrifft, bin ich natürlich mit vielen Lesern und Experten da draußen einer Meinung. Die Aktion war sinnlos und hat im Prinzip keine Auswirkung auf die angesprochenen Probleme. Vielmehr hat man die Studenten angegriffen, für die man ja eigentlich diese Aktion gestartet hatte. Zumindest habe ich dies so wahrgenommen. Etwas unpassend finde ich aber, dass man nun die vielen Universitäten als „arme Opfer“ darstellen möchte. Immerhin sind einige der „Opfer“ bewusst das Risiko eingegangen und haben Sicherheitswarnungen – sogar nach öffentlicher Berichterstattung – schlichtweg ignoriert. Da sollte man vielleicht einmal überlegen, ob es nicht doch Sinn macht, sich früher mit dem Thema Sicherheit beschäftigt. Aber offenbar ist es wirklich so, dass der Mensch erst handelt, wenn es bereits zu spät ist – leider.

5.00 avg. rating (90% score) - 3 votes