Heidelberg/Rhein-Neckar, 14. Oktober 2012. (red/xmu) Anfang Oktober gab die Hackergrippe „Ghost Shell“ bekannt, die Server von 53 Universitäten auf der ganzen Welt „gehackt“ zu haben. Auch die deutschen Hochschulen Heidelberg, Freiburg, TU Berlin und Göttingen waren betroffen. Die Sicherheitslücke, die die erfolgreiche Attacke der Hacker ermöglicht hatte, scheint an den deutschen Universitäten menschlicher Natur zu sein.
Von Xiaolei Mu
Hackerangriffe passieren ständig, aber selten erreichen sie mediale Präsenz. Die Hackergruppe „Ghost Shell“ hat es aber darauf angelegt, Aufmerksamkeit zu erregen. Sie hatten sich öffentlich dazu bekannt, einen Datenklau im großen Stil begangen zu haben. Diese Proklamation veröffentlichten sie auf einer Textablageplattform im Internet, die Programmierer gerne nutzen. Diese Plattform ist aber offenbar populär genug, dass sogar die renommierte US-amerikanische Zeitung „New York Times“ das Thema aufgriff. Von dort aus verbreitete sich die Botschaft der Hacker schnell auch nach Europa.
Protest gegen Missstände
Eine Entwicklung, die ganz im Sinne der Hacker gewesen sein dürfte. „Ghost Shell“ versteht ihren digitalen Massenangriff als Protestaktion gegen die Missstände in der internationalen Universitätslandschaft. Sie kritisieren unter anderem, dass die Studiengebühren in USA zu hoch seien, aber auch die rapiden politischen Änderungen der Hochschulsysteme in Europa.
Die Software-Sicherheitsfirma Identity Finder bestätigte den Datenklau von mehr als 36.000 E-Mail-Adressen, zehntausende Namen, tausender UserIDs, Passwörtern, Wohnadressen und Mobilfunknummern.
Von den deutschen Hochschulen traf es die TU Berlin besonders hart: Nach einem Artikel des Technikblogs „Basic Thinking“ sind von 1.200 Studenten Vor- und Nachname, Benutzername, private E-Mail-Adresse, Datum des Studienbeginns, Matrikelnummer, teils Mobilfunknummer und Studienfach verzeichnet.“ Die von Ghost Shell veröffentlichten Links zu den Datensätzen sind jedoch mittlerweile vom Netz genommen.
Wenig auskünftfreudig
Die Pressestelle der TU Berlin gab auf unsere Anfrage hin keine genauen Auskünfte zur Zahl der betroffenen Studierenden oder der Natur der gesaugten Daten. Sie verwies lediglich auf ihre Presssemitteilung. Demzufolge traf der Angriff nicht ihren Zentralserver, sondern einen Fachserver, bei dem kurzerhand „der Stecker gezogen wurde“.
In Freiburg ist man mitteilsamer: „Wir sind glimpflich davon gekommen“, erklärt Gerhard Schneider, Direktor des Rechenzentrums der Uni Freiburg. Auch hier handelte es sich um einen Angriff auf einen dezentralen Fakultätsserver, aber die mitgenommenen Daten seien ohnehin öffentlich einsehbar gewesen. Gerhard Schneider fügte hinzu:
Wir möchten aber auch nicht auf die Kollegen woanders mit dem Finger zeigen. Wir waren nicht irgendwie klüger, sondern hatten nur Glück, dass in der angegriffenen Datenbank nicht irgendwie andere Daten gelegen haben.“
Weder die Pressestelle der Universität Heidelberg noch Hartmut Heldt, Leiter für die Abteilung Datennetze im Universitätsrechenzentrum Heidelberg, haben bisher auf unsere Anfrage geantwortet. Auf der Homepage des Rechenzentrums gibt es eine kurze Erwähnung des Hackerangriffs. Demnach hat „Ghost Shell“ hier offenbar UserIDs inklusive den entsprechenden Passwörtern mitgehen lassen.
Sicherheitslücke Mensch
Die Mitarbeiter haben die betroffenen Nutzer kontaktiert und sie gebeten ihre Passwörter zu ändern. Auch in Heidelberg betraf der Angriff nicht die zentralen Server. Wieder waren es wenige dezentrale Institutsserver, bei denen die Hacker fündig wurden. Steckt hier eine Sicherheitslücke?
„Ghost Shell“ nutzte für ihre Aktion eine sogenannte SQL-Injection. Für IT-Fachleute ist das nichts Neues. Unseren Recherchen zufolge hat Hartmut Heldt trotz Anfragen der Presse und sogar des Landeskriminalamts nicht vor am technischen Standard etwas zu ändern. Im Falle des Universitätsrechenzentrums ist das auch nicht nötig. Dort arbeiten IT-Experten mit fester Anstellung, die genug Erfahrung im Umgang mit Datenbanken besitzen, so dass ein Angriff mit einer alten Methode wie der SQL-Injection wohl ins Leere laufen würde.
Bei den Fakultätsservern sieht das anders aus. An den Fakultäten kümmern sich oft Hilfswissenschaftler mit vergleichsweise schlecht bezahlten Zeitverträgen um IT-Systeme und Datenbanken. Außerdem können solche Hilfswissenschaftler oft nicht das notwendige Wissen mitbringen – gerade wenn sie aus einem IT-fernen Fach kommen.
Ghost Shell machte in seiner Erklärung darauf aufmerksam, dass manche der von ihnen attackierten Webserver bereits mit „Malware“ verseucht gewesen seien. Für Mitarbeiter und Nutzer ist das besonders ärgerlich – verlassen Sie sich doch auf vermeintlich sichere Systeme.