Datenleck bei Erfurter Hochschulen

Ein Fehler in einer Verwaltungssoftware hat bei vielen Hochschulen zu einem Datenleck geführt. Auch die Fachhochschule und die Universität in Erfurt waren betroffen. Daten von Studierenden standen offen im Netz.

Wie das Computermagazin c‘t berichtete, ermöglichte der Softwarefehler unbeschränkten Zugang zu persönlichen Daten wie Name, Adresse, Matrikelnummer, Geburtsdatum und Immatrikulationsstatus. Um auf die Daten zuzugreifen, mussten Interessierte lediglich die richtige Internetadresse kennen. Das c‘t-Magazin konnte so 600.000 Datensätze von Studierenden aus Bonn, Düsseldorf, Hildesheim und dem Saarland abrufen. Dabei ist nicht nur betroffen, wer zurzeit studiert. Die ältesten Daten stammten von Personen, die vor fast 30 Jahren eingeschrieben waren.

Verantwortlich für das Datenleck ist die HIS Hochschul-Informations-System eG, die sich selbst als „das Softwarehaus der Hochschulen“ bezeichnet. Über 200 Hochschulen sind Mitglied der gemeinnützigen Genossenschaft. Dementsprechend verbreitet sind ihre Programme. Auch in Erfurt kommen sie zum Einsatz. Sowohl Fachhochschule als auch Universität gaben auf Nachfrage an, von der Sicherheitslücke betroffen gewesen zu sein.

Unberechtigter Zugriff auf Daten möglich

Die Universität sei demnach am 10. März informiert worden und habe direkt ein Update installiert. Auch die Fachhochschule versichert, den Fehler umgehend behoben zu haben. Laut ihren Pressestellen gehen beide Hochschulen davon aus, dass keine Daten in unberechtigte Hände gelangt sind. Das ergebe die Auswertung der Log-Dateien, in denen jeder Zugriff protokolliert ist. Trotzdem lässt es sich wohl nicht ausschließen, dass jemand von außen die Daten abgerufen hat.

Denn Log-Dateien werden normalerweise regelmäßig gelöscht. Die Sicherheitslücke existierte laut der HIS eG aber schon seit 2011. Ob die Erfurter Hochschulen die Zugriffe so weit zurückverfolgen können, ist unklar. Die Fachhochschule verrät nicht, wie lange sie die entsprechenden Log-Dateien speichert. Es handle sich dabei um „sicherheitsrelevante Betriebsinformationen“, die „nicht an Dritte herausgegeben werden dürfen“. Eine Antwort der Universität dazu steht noch aus.