Hunderttausende Adress- und Immatrikulationsdaten offen im Netz

Seit Jahren klaffte eine erhebliche Lücke in Systemen der HIS Hochschul-Informations-System eG, die an deutschen Hochschulen weit verbreitet sind. Durch eine fehlerhafte Berechtigungsprüfung war es möglich, persönliche Daten hunderttausender Studierender per Browser abzufragen, darunter Name, Adresse, Matrikelnummer, Geburtsdatum und Immatrikulationsstatus.

Die HIS eG wurde nach eigenen Angaben am 6. März 2020 vom Administrator einer betroffenen Hochschule auf die Sicherheitslücke hingewiesen. Man habe noch am selben Tag einen Workaround an die eigenen Kunden kommuniziert und am Montag, den 9. März ein Sicherheitsupdate zur Verfügung gestellt, erklärte das Unternehmen gegenüber c’t.

Allerdings spielten nicht alle Universitäten das Update der HIS eG unverzüglich ein. c’t – von einem anonymen Tippgeber auf das Problem aufmerksam gemacht – überprüfte am 12. März insgesamt 58 Hochschulen und konnte noch mehrere anfällige Systeme finden. Daten von über 600.000 Studierenden der Universitäten in Bonn, Düsseldorf, Hildesheim und dem Saarland waren online abrufbar, wofür allein die Kenntnis der URL genügte. c’t informierte die vier Universitäten noch am selben Tag und einige Tage später hatten auch sie die Lücke geschlossen. Abrufbar waren teilweise Daten vom Wintersemester 1991/92 bis zum aktuellen Sommersemester 2020. Als Grund, warum jahrzehntealte Daten überhaupt noch gespeichert werden, gaben mehrere Universitäten gegenüber c’t den Nachweis von Studien- und Versicherungszeiten an.

Lücke seit 2011 vorhanden

Laut Angaben der HIS eG bestand die Lücke seit 2011. Unklar ist, wie viele Universitäten tatsächlich betroffen waren und ob bereits Unbefugte auf die Daten zugegriffen haben. Entsprechende Log-Dateien reichten oft nur einige Wochen zurück und nicht alle Kunden der HIS eG setzten die fehlerhafte Komponente auch tatsächlich ein, teilte das Unternehmen mit. Zumindest potenziell betroffen sind wahrscheinlich Millionen Studierende und Absolventen.

Die Namen, Adressen und Geburtsdaten lassen sich mitunter zum Identitätsdiebstahl missbrauchen. Über die Matrikelnummern ließen sich auch Noten und Beurteilungen zuordnen, die an Unis – zumindest früher – oft öffentlich aushingen. Ebenso ließe sich über den Immatrikulationsstatus unter anderem nachvollziehen, wann und bis zu welchem Semester eine Person an einer Uni studiert hat.

Rechtliche Fragen

Betroffene Universitäten müssen die für sie zuständigen Datenschutzbehörden umgehend über die Lücke informieren. Alle von c’t kontaktierten Hochschulen gaben an, das unverzüglich getan zu haben. Die betroffenen Studierenden müssen von den Hochschulen vermutlich nicht informiert werden, denn dafür müsste von dem Datenleck eine „erhebliche Gefahr“ ausgehen. Letztendlich entscheidet die jeweilige Datenschutzaufsichtsbehörde, ob das der Fall ist. Wer will kann natürlich von sich aus eine datenschutzrechtliche Selbstauskunft von seiner Alma Mater erfragen, zum Beispiel mit der Vorlage unter ct.de/y2f2. So eine Auskunft wird aber kaum enthalten, ob die Daten in einem betroffenen System gespeichert waren und dadurch abgegriffen werden konnten – um diese Information kann man die eigene Hochschule nur freundlich bitten.

Übrigens können die Aufsichtsbehörden gegenüber (staatlichen) Hochschulen keine Bußgelder verhängen, genauso wenig wie gegenüber anderen Behörden. Der Staat würde in solchen Fällen ohnehin nur an sich selbst zahlen. Schadenersatzansprüche werden dadurch zwar nicht verhindert, aber in einem Fall wie diesem wird sich ein tatsächlicher Schaden kaum beweisen lassen.

Die HIS eG erklärte gegenüber c’t, mit jedem Release „umfangreiche Qualitätssicherungsmaßnahmen“ durchzuführen, sowie „regelmäßige Sicherheitsüber­prüfungen durch externe Spezialisten“. Diese Maßnahmen wird man künftig verbessern müssen, damit solche gravierenden Fehler nicht jahrelang unentdeckt bleiben. Und die Universitäten müssen Sicherheitspatches umgehend einspielen oder zumindest Workarounds sofort umsetzen. (syt@ct.de)

Vorlage für datenschutzrechtliche Selbstauskunft: ct.de/y2f2