Sie sind hier: Startseite News & Störmeldungen Nachrichten Archiv Potentielles Datenleck an …

Potentielles Datenleck an Hochschulen

Auch die Albert-Ludwigs-Universität war von einem Softwarefehler des Systemherstellers ihrer Campus-Management-Systeme betroffen.

Im Internet wird über ein potentielles Datenleck bei Hochschul-Informationssystemen berichtet. Auch an der Albert-Ludwigs-Universität war eines der Campus-Management-Systeme von diesem Softwarefehler des Systemherstellers betroffen. Betroffen war das alte Campus-Management-System HIS-LSF (QIS-SOSPOS). In dem uns vorliegenden Artikel vom 17. März 2020 wird berichtet, dass die Systeme einiger Hochschulen bis vor kurzem weiter angreifbar waren. Wir möchten Sie insofern über die spezifische Situation an der Albert-Ludwigs-Universität informieren.

Der in der Herstellersoftware immanente Systemfehler wurde am 06. März 2020 durch eine der Landesuniversitäten entdeckt. Die Herstellerfirma der Software wurde benachrichtigt. Die Albert-Ludwigs-Universität wurde ebenfalls im Laufe des 06. März 2020 informiert und in den Überprüfungsprozess involviert, in dem ermittelt wurde, ob ein lokales Problem vorliegt oder ob es sich um einen allgemeinen Fehler des Systems handelt. Daraufhin wurde das an der Universität Freiburg potentiell betroffene Campus-Management-System HIS-LSF (QIS-SOSPOS) umgehend vorsorglich vom Netz genommen und komplett abgeschaltet, so dass die Möglichkeit eventueller Fremdzugriffe unmittelbar ausgeschlossen wurde.

Die interne Prüfung ergab, dass auch das System der Universität Freiburg von dem Softwarefehler betroffen war. Beim neuen Campus-Management-System HISinOne trat das Problem nicht auf, da die betroffene Datenbank dort grundsätzlich deaktiviert ist. Trotzdem wurde das System bei allen Maßnahmen mitberücksichtigt.

Am Montag, den 09. März 2020 wurden vom Systemhersteller Sicherheitshotfixe veröffentlicht. Nach lokalen Tests und Überprüfungen wurde das LSF der Universität Freiburg nach dem Einspielen des Sicherheitshotfixes am 09. März 2020 wieder hochgefahren. Durch Abschalten des betroffenen Systems war die Lücke aber bereits am 06. März 2020 unmittelbar geschlossen worden.

Die Universität hat keinen Hinweis darauf, dass eine unautorisierte Nutzung des Sicherheitslecks und ein Zugang zum System der Universität Freiburg erfolgt ist. Es wird davon ausgegangen, dass die Sicherheitslücke nicht ohne weiteres auffindbar war.
Aufgrund der datenschutzrechtlichen Bewertung des Vorfalls wurde dieser am 09. März 2020 an die zuständige Aufsichtsbehörde, den Landesbeauftragten für Datenschutz und Informationsfreiheit, gemeldet. Die Benachrichtigung der betroffenen Personen konnte im Ergebnis unterbleiben. Eine Rückmeldung der Aufsichtsbehörde liegt aktuell noch nicht vor.
 

Sollten Sie Fragen zu diesem Thema haben, wenden Sie ich bitte an datenschutz@uni-freiburg.de. Den Datenschutzbeauftragten der Universität erreichen Sie unter datenschutzbeauftrager@uni-freiburg.de.