13. März 2020

Sicherheitslücke in Campus-Software entdeckt und geschlossen Sicherheitslücke in Campus-Software entdeckt und geschlossen

Personenbezogene Daten waren potentiell für Dritte sichtbar

In der Hochschulmanagement-Software, die die Universität Bonn und zahlreiche andere Hochschulen nutzen, ist eine gravierende Sicherheitslücke entdeckt worden. Aus Sicherheitsgründen war das elektronische Vorlesungsverzeichnis BASIS deswegen kurzfristig außer Betrieb. Inzwischen konnte das Problem mit Hilfe des Softwareherstellers behoben werden. BASIS ist wieder verfügbar.

Symbolfoto
Symbolfoto © Foto: colourbox.de

Personenbezogene Daten von Studierenden wie Namen, Matrikelnummern, Adressen und Geburtsdaten seien durch die Sicherheitslücke für einen längeren Zeitraum potentiell sichtbar gewesen, bestätigte das Hochschulrechenzentrum (HRZ) der Universität Bonn, das von externen Fachleuten auf das Problem aufmerksam gemacht worden. Auch Daten von ehemaligen Studierenden, die vom System weiter vorgehalten werden müssen, waren betroffen. Dritte konnten während des Bestehens der Sicherheitslücke auf die Daten zugreifen, diese aber nicht manipulieren. Ob es tatsächlich zu Zugriffen gekommen ist, lässt sich laut HRZ nicht nachvollziehen.

Das Rechenzentrum hat nach Bekanntwerden der Lücke das elektronische Vorlesungsverzeichnis BASIS vorsorglich vom Netz genommen. Mit einem von Softwarehersteller HIS eG zur Verfügung gestellten Patch konnte die Bresche in der Sicherheitsarchitektur der Campus-Software wieder geschlossen werden. Seit Freitagnachmittag läuft BASIS nun wieder einwandfrei und sicher.

Die Universität Bonn hat die Datenpanne unverzüglich der zuständigen Aufsichtsbehörde mitgeteilt, der Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen. Das für den Betrieb der Software zuständige Hochschulrechenzentrum will Konsequenzen aus dem Vorgang ziehen. Leiter Dr. Rainer Bockholt sagte: „Das Team des Hochschulrechenzentrums bedauert den Vorfall sehr. Wir werden den Vorfall genau analysieren und sowohl unsere internen Prozesse als auch die Zusammenarbeit mit dem Softwarehersteller weiter optimieren, damit sowas zukünftig verhindert wird.“

Wird geladen