Student hackt Server der Uni Ulm
Offenbar keine Daten manipuliert oder missbraucht – Hacker wollte Sicherheitslücke nachweisen
ULM - Die Universität Ulm ist im Mai zum Ziel eines Hackerangriffes aus den eigenen Reihen geworden, durch den ein Student der Hochschule auf Sicherheitslücken hinweisen wollte: Schaden sei nicht entstanden, sagte eine Sprecherin am Mittwoch auf Anfrage der „Schwäbischen Zeitung“. Daten von Universitätsmitgliedern seien nach dem aktuellen Kenntnisstand weder verändert noch missbraucht worden.
Das Universitätsklinikum mit hochsensiblen Patientendaten sei nicht betroffen, bestätigte die Sprecherin, dort gebe es ein eigenes, technisch von der Universität getrenntes Netz.
Mit der IT-Attacke hat der Student, dessen Namen und Studien- gang die Uni aus Datenschutzgründen nicht nennen will, eine Sicherheitslücke im IT-Netz der Hochschule aufgedeckt: „Das ist ihm gelungen, doch hätte er sich mit seinen Erkenntnissen besser vor seiner Aktion mit unserem Rechenzentrum in Verbindung gesetzt“, sagte die Sprecherin. Jetzt seien 8000 User möglicherweise betroffen und angeschrieben worden.
Ende Mai hatte der Hacker die Universität über sein Vorgehen informiert und umfassende Informationen über den Angriff zur Verfügung gestellt. „Die Sicherheitslücke ist daraufhin schnellstmöglich geschlossen und der zuständigen Aufsichtsbehörde gemeldet worden“, teilt die Universität mit. Seither werde der Vorfall technisch sowie juristisch aufgearbeitet.
Der Student hatte sich als Mitarbeiter des universitätseigenen Kommunikations- und Informationszentrums (kiz) im System angemeldet und so erweiterte Rechte erhalten. Im Betriebssystem Unix (Linux) hätte er Verzeichnisse, in denen womöglich auch private Informationen abgelegt werden, einsehen können. Auch hätte er Portale, über die man sich zu Prüfungen anmelden kann, hacken können. Auf die deutliche Mehrheit der Rechner an der Universität mit dem Betriebssystem Windows habe der Hacker keinen Zugriff gehabt, betont die Universität.
Da der Mann den Vorgang selbst angezeigt habe und zur Aufklärung beitrage, werde von einer Strafanzeige oder Schadensersatzansprüchen nach derzeitigem Kenntnisstand abgesehen, sagte die Sprecherin weiter.