02.10.2008

Schrift:

-

+

Uni Göttingen

Datenpanne mit Namen von 26.000 Studenten

Hacker haben die Universität Göttingen auf ein peinliches Leck aufmerksam gemacht: Offenbar monatelang waren die Namen von 26.000 Studenten ungeschützt auf einem Server zugänglich - und hätten zu einem riesigen E-Mail-Verteiler werden können.

Durch eine Sicherheitslücke auf einem zentralen Server der Universität Göttingen waren bis zur Nacht von Mittwoch auf Donnerstag Daten von rund 26.000 Studenten öffentlich zugänglich. Offenbar blieb kein Göttinger Student von der Panne verschont - "das waren dann wohl alle", sagte Uni-Pressesprecherin Marietta Fuhrmann-Koch.

Aus dem offenen Verzeichnis konnte eine Liste mit allen Vor- und Zunamen heruntergeladen werden. Daraus hätte man leicht eine Sammlung der E-Mail-Adressen aller Studenten zusammenstellen können: Sie setzen sich aus dem Vor- und Zunamen zusammen, dahinter die Adresse der Universität mit der Ergänzung "stud".

Fuhrmann-Koch versicherte aber, dass keine Passwörter oder sonstige persönliche Daten zugänglich waren. Die Universität habe am Mittwochabend von dem Sicherheitsproblem erfahren, nach sechs Stunden sei es dann beseitigt worden.

Hacker hatten die Lücke entdeckt. Unter dem Namen "Marten S. Greedy & Workgroup" veröffentlichten sie die Serveradresse und einen Auszug aus der Liste, die Nachnamen kürzten sie ab. Nach ihren Angaben bestand das Leck bereits seit mindestens einem halben Jahr. Zudem sei der IT-Service studIT, der für den Server zuständig ist, schon vor einem Monat informiert worden.

Uni will zweite Firewall einrichten

StudiIT bestreitet das: "Konkrete Warnhinweise zu dieser Sicherheitslücke sind uns nicht bekannt geworden", sagte Thomas Dirks, Leiter des IT-Services, SPIEGEL ONLINE. Die Universität sei erst Mittwoch durch einen Bericht des Internetmagazins netzpolitik.org auf die Panne aufmerksam geworden. Noch in der Nacht sei der Fehler behoben worden.

Dirks erklärte das Datenleck mit einem "Konfigurationsfehler in der Firewall". Künftig geht die Universität auf Nummer sicher: Um weitere Datenpannen zu verhindern, soll in den nächsten Tagen eine zweite Firewall eingerichtet werden.

Im Mai hatte bereits die Universität Magdeburg eine Datenpanne einräumen müssen: Zehn Tage lang waren Personendetails von rund 44.000 aktiven und ehemaligen Studenten für jedermann im Internet einsehbar - Daten wie Name, Geburtsdatum, Anschrift, Telefonnummer oder Herkunft. Die Hochschule erklärte den Vorfall damit, dass ein Mitarbeiter an der Uni-Datenbank werkelte und die sensiblen Informationen versehentlich auf einem öffentlichen Server zugänglichen parkte.

bim