Thread zur aktuellen Recherche (€): @ReneReh1 und ich haben den Unis und Hochschulen auf den Zahn gefühlt. Das Ergebnis ist erschreckend: Wir haben viele kritische Sicherheitslücken gefunden. Und Daten, die wirklich niemand zu Gesicht bekommen sollte. zeit.de/2023/04/it-sic…

Wir haben 73 Hochschulen getestet - die Wikipedia-Liste aller dt Hochschulen, sortiert nach Größe. Eine erste kühne Idee war, alle 421 zu testen. Aber die Recherche lief völlig aus dem Ruder, weil 15 der ersten 73 (jede fünfte Uni!) schon teils massive Sicherheitslücken aufwiesen

Bei mindestens drei Unis fanden wir potentielle Einfallstore für #Ransomware-Banden mit teils unverschlüsselt abgelegten Passwörtern etc. Viele Unis hatten massive Datenlecks. Die Daten zu sichten und vor allem die Lücken zu melden, war extrem zeitaufwendig. Und schockierend.

Nicht nur wegen der vielen sensiblen Dokumente, die Unis offen ins Netz gestellt hatten - vom Psychotherapie-Attest über geheime Forschungsdokumente bis hin zu Noten etc. Sondern auch, weil es teils kaum möglich war, Ansprechpartner:innen zu erreichen. #cybersecurity

An der Uni Düsseldorf zb war die E-Mail-Adresse, an die man IT-Sicherheitsprobleme melden kann, nicht erreichbar. Das hat uns Nerven gekostet, weil es eine gefährliche Lücke war und wir Angst hatten, dass sie womöglich noch von Kriminellen gefunden wird.

Auch bei der Uni Tübingen fanden wir eine massive Lücke, durch die es möglich war, ein eigenes Programm auf dem Server laufen zu lassen (Remote Code Execution) und weitere Zugänge auszuspionieren. Diese Lücke bestand seit 8 (!) Jahren,

weil ein Installationstool auf einer Webseite vergessen worden war - die dann ihrerseits "völlig vergessen" wurde, wie mir der CIO sagte. Er könne nicht ausschließen, dass wir durch diese Lücke Zugang zu zentralen Systemen hätten bekommen können.
#cybersecurity

Das Thema der "dezentralen Server" zog sich durch diese Recherche. Viele Unis fanden es weniger problematisch, weil: sind ja keine zentralen Server. Allerdings starten #Ransomware-Banden meis genau dort - bei der HAW Hamburg bot auch ein dezentraler Server den Einstieg.

Es gibt natürlich Verbindungen zu zentralen Servern - und seien es nur User, die das gleiche Passwort für mehrere Dienste verwenden. (Und das machen nach wie vor viele Leute!) Dank unverschüsselt abgelegter Passwörter wären wir da vermutlich fündig geworden.
#itsicherheit

Die Reaktionen der Unis waren...interessant. Eine drohte uns mit dem Hackerparagrafen, eine andere mit dem Presserecht. Manche schlossen die Sicherheitslücken nur langsam, andere nahmen sofort die betroffenen Server vom Netz.

Besonders beeindruckt hat mich die Hochschule Trier, die Sonntags innerhalb von 2 Stunden reagierte, die Lücke schloss und den Vorfall sofort mit ausführlicher Erklärung veröffentlichte: hochschule-trier.de/rzht/it-dienst…

Update: Mindestens zwei Unis haben in Interviews mit Lokalzeitungen Dinge anders dargestellt, als wir sie in Erinnerung hatten. Beim Nachschauen haben wir bei der einen eine weitere kritische Lücke gefunden. Und die andere hatte die erste Lücke noch nicht geschlossen. 🤨#cyber

"...haben wir versehentlich eine weitere Sicherheitslücke bei Ihnen entdeckt..." Ansprechpartner:innen kenne ich ja zum Glück jetzt schon.