In einem Atemzug mit Harvard, Cambridge, Stanford oder Princeton genannt zu werden, ist für deutsche Universitäten normalerweise eine Auszeichnung. Allerdings bezweifle ich, dass sich die Rektoren der Unis in Freiburg, Heidelberg, Göttingen und Berlin (TU) über die jüngste Erwähnung im Kreis verschiedener internationaler Eliteanstalten freuen werden.
Wie ich heute morgen im Bits-Blog der New York Times lesen konnte, ist ein Hacker-Team namens GhostShell so eben mal in die Server von 53 Unis eingedrungen und hat den Datensauger angeworfen. Mehr als 36.000 E-Mail-Adressen, Nutzernamen, Passwörter, Adressen und Telefonnummern wurden dabei aus den Servern der Hochschulen kopiert und öffentlich auf pastebin.com ins Netz gestellt.
Vieles davon ist zwar auch so irgendwie frei zugänglich, einiges aber eben auch nicht. Ich habe mich gerade einmal kurz durch die auf diversen Servern gespiegelten Listen der deutschen Unis geklickt und zum Beispiel eine Aufstellung mit Studenten der TU Berlin gefunden. Mehr als 1.200 Studenten sind dort jeweils mit Vor- und Nachname, Benutzername, privater E-Mail-Adresse, Datum des Studienbeginns, Matrikelnummer (!), teils Mobilfunknummer (!) und Studienfach verzeichnet.
Auf einer zweiten Liste mit 19 Einträgen sind sogar Passwörter im Klartext zu sehen – wozu diese konkret gehören, ist mir zwar unklar, allerdings dürfte sich das ebenfalls recht schnell herausfinden lassen. Ich habe gerade mal bei der TU Berlin angerufen, um nachzuhaken, ob bereits Maßnahmen ergriffen worden sind. Leider konnte man mir dort noch keine Auskunft geben. Sobald ich etwas höre, liefere ich euch ein Update.
<Update> Mittlerweile hat sich die Pressesprecherin der TU Berlin bei uns gemeldet und den Angriff bestätigt. Betroffen gewesen sei aber nicht der zentrale Server der Universität, sondern der Server eines Fachbereiches. Dieser sei vom Netz genommen worden. Man habe die Nutzer zudem angeschrieben und gebeten, ihre Passwörter zu ändern. </Update>
Allerdings: Würde ich dort studieren, wäre ich jetzt etwas angespannt. Denn in dieser Geballtheit lässt sich mit den Daten sicherlich auch Unfug treiben – auch wenn kaum nachgeprüft werden kann, wie aktuell die Informationen sind. Die IT-Abteilungen der betroffenen Hochschulen sollte sich jedenfalls schleunigst daran machen, die jeweils ausgenutzten Sicherheitslücken zu schließen. Laut Bits handelt es dabei um Schwachstellen im Zusammenhang mit den SQL-Datenbanken. Stichwort: SQL-Injection.
Die Hacker selbst haben zwar zugesichert, mit den Daten nichts weiter anstellen zu wollen. Die gesamte Aktion solle vielmehr als Protest gegen die weltweite aktuelle Bildungs- und Hochschulpolitik verstanden werden, erklärt GhostShell. Warum die von den politischen Fehlentscheidungen betroffenen, nämlich eben die Studierenden, dann aber mit der Veröffentlichung privater Details quasi doppelt bestraft werden, erschließt sich mir jedoch nicht.
