Sicherheitslücken, die es ermöglichen, Daten, Noten und Atteste von Studierenden oder Mitarbeiterinnen und Mitarbeiter auszuspionieren - und das zum Teil jahrelang. Zu diesem Ergebnis kommt eine Recherche von "DIE ZEIT". Ein IT-Experte hatte sich im Rahmen der Recherche Zugang zu den Systemen von Hochschulen in ganz Deutschland verschafft und Sicherheitslücken aufgedeckt. Jede fünfte der untersuchten Hochschulen wurde dabei auffällig. Die zweitgrößte Sicherheitslücke wurde in Baden-Württemberg gefunden.
Gravierende Sicherheitslücke an Uni Tübingen
Unter anderem die Universität Tübingen stand im Fokus der Recherche. "Nur in Düsseldorf haben wir eine noch größere Lücke gefunden", erzählt die Journalistin und Autorin der Recherche, Eva Wolfangel, dem SWR. "Hacker hätten die Sicherheitslücke ohne größere Probleme ausnutzen können". Sie hätten Daten verschlüsseln können, um zum Beispiel Lösegeld zu fordern. Auch Zugriffsrechte hätten erschlichen oder Daten heruntergeladen werden können. "Diese Lücke bestand seit acht Jahren, weil ein Installationstool auf einer Webseite vergessen worden war", so Eva Wolfangel.
Die Universität Tübingen bestätigt den Vorfall dem SWR. Es habe es sich dabei vor allem um eine Webseite gehandelt, die von einem Projekt der Universität betrieben wurde und unzureichend geschützt war. Als man von der Sicherheitslücke erfahren habe, habe man die Lücke geschlossen. Das bestätigt auch Eva Wolfangel: "Als wir die Uni darauf aufmerksam gemacht haben, wurden die entsprechenden Systeme direkt am nächsten Tag vom Netz genommen. Sie haben das Problem sofort erkannt." Das sei bei anderen Hochschulen in Deutschland anders gewesen.
Auch Probleme an der Universität in Stuttgart
Während an anderen Universitäten ganze Systeme hätten eingesehen werden können, hat es laut der Recherche in Stuttgart nur ein Bereich der Universität getroffen. Dennoch seien dort ungeschützte Webmailer (das sind Mailprogramme, die das Abrufen von E-Mails über einen Browser erlauben) gefunden worden, wodurch unter anderem E-Mail-Anhänge wie Atteste, Personalausweise, private Daten oder unveröffentlichte Forschungsarbeiten mit teils geschützten Daten deutscher Unternehmen einsehbar gewesen wären.
Die Universität Stuttgart bestätigt dem SWR zwar den Vorfall - in der Tat sei ein Webmailer unzureichend geschützt gewesen - inwiefern aber tatsächlich Dokumente einsehbar gewesen wären, könne man nicht sagen. Man habe nach Bekanntwerden die Systemlücke umgehend geschlossen, so die Universität. Der Stellvertretende Vorstandsvorsitzende der Studierendenvertretung der Uni Stuttgart, Tobias Nerz, widersprach dagegen der Darstellung von "DIE ZEIT": Es habe sich weder um E-Mail-Anhänge gehandelt, noch seien persönliche Daten einsehbar gewesen. "Bei dem Bereich der Universität Stuttgart handelte es sich um die Verfasste Studierendenschaft. Allerdings waren die Daten, auf die der Angreifer zugreifen konnte, nicht schwerwiegend", so Nerz. Die Studierendenvertretung habe den Vorfall umgehend an den eigenen Datenschutzbeauftragten und den Datenschutzbeauftragten der Universität gemeldet. "Beide haben zugestimmt, dass der Vorfall nicht schwerwiegend und nicht meldepflichtig ist."
Immer wieder Hackerangriffe an Hochschulen in Baden-Württemberg
"Diese Art von Lücken gibt es oft. Auf sie sind wir am häufigsten in unserer Recherche gestoßen", so Eva Wolfangel. Ob noch mehr Hochschulen in Baden-Württemberg betroffen seien, könne sie nicht mit Sicherheit sagen. In ihrer Recherche wurden nur die 73 größten Hochschulen Deutschlands untersucht, von denen bei 15 Sicherheitslücken gefunden wurden.
In der Vergangenheit kam es immer wieder zu Hackerangriffen an Hochschulen in Baden-Württemberg. Erst im November 2022 gab es einen Cyberangriff an der Hochschule Heilbronn, der Teile des Systems vorübergehend lahmlegte. Die Hochschule selbst teilt dazu auf ihrer Homepage aktuell mit: "Derzeit laufen Analysen und Bewertungen und die ersten Hinweise auf eine kriminelle Cyberattacke haben sich verhärtet." Gemeinsam mit der Cybersicherheitsagentur Baden-Württemberg sowie dem Landeskriminalamt würden Ermittlungen laufen und die digitalen Spuren würden ausgewertet werden. "Erst mit Abschluss der Untersuchungen kann eine vollumfängliche Aussage zur Angriffssituation getroffen werden." Auch 2018 wurde die Universität Ulm bereits Ziel einer Cyberattacke. Laut Universität sei der Angriff damals von einem Studenten ausgegangen, aber es seien offenbar keine Daten manipuliert oder missbraucht worden.
E-Mail-Verkehr und Bewerbungen wieder möglich Nach Cyberangriff auf Hochschule Heilbronn: Erste Strukturen wiederhergestellt
Nach dem Cyberangriff auf die Hochschule Heilbronn sind erste IT-Systeme wiederaufgebaut.