Logo

» aktuelles/PULS: Schweres Datenleck ermöglichte unbefugte Zugriffe


Bereits am 28. November wurde im HPImgzn, einem studentischen Weblog des Hasso-Plattner-Instituts (HPI), veröffentlicht, dass es in einem unbestimmten Zeitraum zu einem erheblichen Datenschutzproblem „Potsdamer Universitätslehr- und Studienorganisationsportal (PULS)“ kam. An dieser Stelle dokumentieren wir zunächst den Artikel – mit freundlicher Genehmigung des Autoren:

Schweres Datenleck im PULS-System

Die Matrikelnummer ist, wenn man mal so darüber nachdenkt, ein vertrauliches Merkmal eines Studierenden. Mal angenommen jemand hätte eine Liste mit Matrikelnummern und korrespondierenden Namen und würde diese veröffentlichen. Das ist datenschutzrechtlich in Deutschland verboten, da die Matrikelnummer nicht nur eine Verwaltungsnummer ist, sondern auch zur Pseudonymisierung benutzt wird. Mit so einer Liste könnte dann jeder durch die Uni laufen, Notenaushänge abschreiben und jedem Studenten eine persönliche Leistungsübersicht erstellen.

Das PULS-System machte es bis vor kurzem Datensammlern wesentlich einfacher: Eine Sicherheitslücke ermöglichte es jedem eingeloggten Studenten ohne weitere Hilfsmittel direkt im Browser zu einer beliebigen Matrikelnummer den dazugehörigen Name, das Geburtsdatum, die Adresse, den Stundenplan, die Semesterbescheinigung und die Leistungsübersicht zu einem beliebigen Semester anzeigen zu lassen.

Bei bestimmten Aufrufen in PULS enthalten die Parameter der URL die Matrikelnummer des eingeloggten Studenten. Durch einfaches Ändern der Nummer in der Browsereingabe bekam man die Daten von anderen Studenten zu sehen. Der HPI-Student Michael Frister entdeckte das Datenleck:

    Die Sicherheitslücke habe ich zufällig bemerkt. Mir ist aufgefallen, dass die Matrikelnummer in der URL übergeben wird. Da habe ich mich schon gewundert, da man sich bereits einloggen musste, wodurch die Übergabe der Matrikelnummer überflüssig war. Ein großer Experte muss man dazu nicht sein, jeder der schon etwas Webprogrammierung gemacht hat, hätte das bemerken können.

Er meldete den Fehler am 18.10. an das PULS-Team, welches die Lücke innerhalb weniger Stunden schloss. Dennoch bleibt ein ungutes Gefühl, da die Lücke offenbar schon länger bestand und nicht gerade schwer zu entdecken ist. Niemand kann wissen, ob das Datenleck schon länger aktiv ausgenutzt wurde. Michaels Einschätzung:

    Ich hoffe das nicht, aber auszuschließen ist es angesichts der Einfachheit der Lücke nicht. Die Frage ist auch, wie lange es den Fehler schon gab. Bei so vielen Informatik und HPI Studenten kann ich mir nicht vorstellen, dass bisher keiner etwas ähnliches ausprobiert hat.

Bedauerlich ist auch die Reaktion des PULS-Teams. Eine Anfrage meinerseits (Ticketnr. 1014858) wurde mehr als zwei Wochen ignoriert, obwohl weiterhin wichtige Fragen offen stehen. Das Ausmaß ist zwar groß, aber die oben aufgezählten, verfügbaren Daten könnten unter Umständen nur die Spitze des Daten-Eisbergs sein. Auf folgende Fragen fand das PULS-Team bisher keine Antworten:

  • Wie lange bestand die Lücke?
  • Waren evt. weitere Daten betroffen?
  • Kann ausgeschlossen werden, dass Benutzerkonten kompromittiert wurden?
  • Wer ist für die Entwicklung und Wartung verantwortlich?
  • Lag der Fehler in der Systembasis und wird diese evt. auch an anderen Unis eingesetzt?

Außerdem hatte ich gefragt, ob es in einem solchen Fall vorgesehen ist, einen Datenschutzbeauftragten oder ein Studierenden-Gremium zu benachrichtigen. Mehr als zwei Wochen später kam dann am 12.11.2007 eine Antwort, welche die restlichen Fragen einfach ignorierte und lapidar darauf hinwies, dass der Datenschutzbeauftragte der Universität Potsdam informiert wurde. Nach einigem Suchen fand ich heraus, dass das Dr. Jochen Bley von der juristischen Fakultät ist. Den hab ich jetzt mal angeschrieben, vielleicht ist Herr Dr. Bley ja mitteilungsfreudiger als das PULS-Team.

Keine Reaktion von der Universität

Wie nicht anders zu erwarten war, hüllte sich die Uni gegenüber dem Blogautoren aus dem HPImgzn weitgehend in Schweigen. Inzwischen wurde allerdings der AStA informiert und wir erlaubten uns noch einmal mit folgenden Fragenkatalog an die Verantwortlichen nachzuhaken:

    Meine sehr verehrten Damen und Herren,

    heute ging mir ein Schreiben von Dennis B. (Name geändert), Student des Studienganges IT-Systems Engineering am Hasso-Plattner-Institut, zu, in dem mir mitgeteilt wurde, dass Mitte Oktober 2007 ein Student der Informatik in PULS ein Datenleck entdeckte. Weiterführende Informationen zum Ihnen sicherlich bekannten Sachverhalt sind der Veröffentlichung von Herrn B. zu entnehmen unter: http://student.hpi.uni-potsdam.de/zeitung/

    Die Verantwortlichen – also sie – wurden von den oben erwähnten Studenten informiert und das Problem konnte binnen weniger Stunden behoben werden. Anstelle einer ausführlichen Stellungnahme zu diesem Vorfall, wurde ausschließlich eine kurze Bestätigungsmail verfasst und darauf hingewiesen, dass der Datenschutzbeauftrgte der Uni Potsdam (wenn ich richtig in der Annahme gehe, ist dieser im Moment Herr Dr. Jochen Bley) informiert worden sei.

    Da uns die Einhaltung der Datenschutzbestimmungen und der sichere Umgang mit persönlichen Daten der Studierendenschaft äußerst wichtig sind, bittet der AStA um eine zeitnahe Stellungnahme.

    Wir wünschen uns, genauso wie der benannte Student, die Beantwortung der nachfolgenden Fragen:

    1. Wie lange schätzen Sie bestand die Sicherheitslücke schon?
    2. Können Sie ausschließen, dass alle verfügbaren Daten ausgelesen wurden?
    3. Werden Aktivitäten im PULS-System (personenbezogen) protokolliert?
    4. Ist es vorgesehen, dass bei einem solchen Zwischenfall offizielle Stellen (Datenschutzbeauftragter, Studierenden-Gremien) benachrichtigt werden?
    5. Waren weitere Daten außer Name, Geburtsdatum, Adresse, Stundenplan und Leistungsübersicht von der Sicherheitslücke betroffen?
    6. Können Sie ausschließen, dass Accounts kompromitiert worden sind?
    7. Wer ist für die Entwicklung und Wartung des Basis-Systems, sowie etwaiger eigener Komponenten verantwortlich? (hier weiß der AStA bereits, dass dies von der IT-Firma HIS geleistet wird)
    8. Lag der Fehler in dem Basis-System für PULS und sind ggf. andere Universitäten betroffen?
    9. Wie stufen Sie selbst die Sicherheitslücke ein?

    Auf Antwort ihrerseits freut sich

    Martin Seiffert

    AStA-Referent für Campuspolitik

Das ist der viel beschworene „kurze Dienstweg“, den wir als Studierendenvertretung gegnüber der Hochschulverwaltung einschlagen, wenn es um Eure konkreten Belange geht. Die eMail vom AStA ist datiert auf den 4. Dezember und gleich drei Tage später erhielten wir dann auch eine Antwort – auch hier lassen wir einmal den Absender aus dem Spiel:

    Sehr geehrter Herr Seiffert,

    wie Sie selbst schreiben, wurde das Problem, auf das ein Studierender aufmerksam gemacht hat, innerhalb kürzester Zeit behoben. Darüber hinaus wurde der Datenschutzbeauftragte informiert, dem gegenüber wir melde- und berichtspflichtig sind. Der Datenschutzbeauftragte Dr. Bley prüft und bewertet den Sachverhalt. Bei allem Dank gegenüber Herrn B. (Name geändert), der uns auf eine Sicherheitslücke hinwies, entsteht daraus aber doch kein Anspruch auf Rechenschaftslegung; dieser besteht im Übrigen auch nicht gegenüber dem ASTA, der gemäß § 62 BbgHG Stellungnahmen abgeben, aber nicht einfordern kann.

    Mit freundlichen Grüßen

    Horst R. (Name geändert)


Der AStA lässt nicht locker: Was ist mit unseren Daten passiert?

Der letzte Satz in der Antwort der Universität ist schlichtweg eine Frechheit. Dies teilten wir dann auch dem entsprechendemn Absender der eMail mit. Da uns also diese „inoffziellen“ und darüber hinaus sehr unkomplizierten Wege verschlossen blieben, beschlossen wir unser Rede- und Antragsrecht im akademischen Senat der Universität Potsdam wahrzunehmen und die Hochschulleitung so offiziell zu einer Stellungnahme zu bewegen.

Da uns Euer und unser Recht auf Datenschutz gerade bei solchen Systemen wie PULS, welches mit einer Fülle von hochsensiblen Daten arbeitet, haben wir darüber hinaus die Landesdatenschutzbeauftragte um eine eigenständige Überprüfung des Sachverhaltes gebeten. Solche Vorkommnisse müssen unserer Ansicht nach von einer objektiven Instanz geprüft werden und nicht etwa von eigenen Angestellten. Nur so ist gewährleitstet, dass dieses Problem nicht unter den Teppcih gekehrt wird.

Dem Senat und der Landesdatenschutzbeauftragten sind unsere Anfragen diesbezüglich seit dieser Woche bekannt. Über Ergebnisse und Stellungnahmen werden wir Euch an dieser Stelle informieren.

Link zur Pressemitteilung

Tamás Blénessy  [12. Dezember 2007]

« zurück zur letzen Seite | zum Seitenanfang