Daten von Studierenden standen 9 Jahre offen im Internet

Universitätshörsaal
Wie viele Datensätze insgesamt offen lagen, ist unklar. Quelle: Wikimedia Commons (CC BY-SA 4.0, cropped)

Eine Sicherheitslücke im Hochschulinformationssystem vieler deutscher Universitäten führte dazu, dass Daten von hunderttausenden Studierenden offen im Internet verfügbar waren. Dazu zählten Name, Adresse, Geburtsdatum, Matrikelnummer, sowie Immatrikulationsstatus. Die Daten waren offen über den Browser zugänglich, wenn die richtige Internetadresse bekannt war, berichtet das Fachmagazin c’t.

Verantwortlich war die fehlerhafte Implementierung einer Abfragefunktion in zwei Softwareprodukten der HIS Hochschul-Informations-System eG. Dadurch ließen sich die Daten ohne Zugangsprüfung abrufen. Die HIS, der über 200 Hochschulen angehören, hat das Problem bestätigt.

Die Sicherheitslücke wurde der Genossenschaft demnach am 6. März 2020 von einem Hochschuladministrator gemeldet. Noch am selben Tag habe man eine Zwischenlösung angeboten; am 9. März habe man ein Update zur Verfügung gestellt.

Sicherheitslücke bestand offenbar über viele Jahre

Die Daten sollen von heute bis zum Wintersemester 1991/92 zurückgereicht haben.

Brisant ist auch, dass die Sicherheitslücke offenbar bereits seit 2011 in der Software enthalten war. Laut HIS und der von der Redaktion kontaktierten Universitäten lässt sich nicht nachvollziehen, inwiefern die Sicherheitslücke in den vergangenen neun Jahren ausgenutzt und Daten abgefragt wurden. Die c’t weist darauf hin, dass sich die Daten etwa für Identitätsdiebstahl missbrauchen ließen.

Zahl der Betroffenen unbekannt

Unklar ist, wie viele Studierende insgesamt von dem Datenleck betroffen sind. In der Mitteilung der HIS eG heißt es, man habe die betroffenen Hochschulen am 9. März informiert.

Laut Datenschutzgrundverordnung (DSGVO) müssen die Hochschulen das Datenleck an die für sie zuständige Datenschutzaufsichtsbehörde melden. Ein Bußgeld haben Hochschulen hingegen nicht zu befürchten, denn im Gesetz sind keine Bußgelder für “Behörden und sonstige öffentliche Stellen” vorgesehen. (js)