34  

Karlsruhe 20.000 verschickte Liebesmails: Hochschule Karlsruhe stellt Strafanzeige

Eine Sicherheitslücke, ein Kongress des Chaos Computer Clubs (CCC) in Hamburg und 20.000 E-Mails - was haben diese drei Dinge gemeinsam? Im Dezember nu tzten unbekannte Besucher des CCC-Kongresses eine Sicherheitslücke der Hochschule Karlsruhe, um 20.000 Mails zu verschicken. Die Hochschule stellte nun Strafanzeige zu diesem Vorfall und strich kurzerhand Constanze Kurz aus dem Rednerprogramm für die "Lange Nacht der Mathematik". Sie ist Sprecherin des CCC.

"Hi, ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen." So lautete der Anfang der zwanzigtausendfach versendeten Liebesmails - alle versendet über den Mailserver der Hochschule Karlsruhe. "Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!"

Liebegrüße vom Professor an die Studentin

Man könnte es als einen "Streich" abtun, dass solche Mails versendet werden, doch die Art und Weise wie dies geschah hatte weniger amüsante Konsequenzen, vor allem für die unerwartet Angeschriebenen. Versendet wurden 20.000 Mails unter den Mailadressen von Studenten, Professoren und anderen Mitarbeitern der Hochschule. Und zwar an Studenten, Professoren und andere Mitarbeiter der Hochschule. Erfolgt ist das nach dem Zufallsprinzip: Die vermeintliche Liebesnachricht wurde von Mann zu Frau, aber auch von Mann zu Mann oder gar von Professor zu Studentin versendet.

Spätestens bei letzterem hörte der Spaß für die Hochschule auf. Sie erstattete Anzeige. Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt. Diese speichern Verbindungsdaten. Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

Doch gänzlich unschuldig ist auch die Hochschule nicht. Möglich wurde das Ganze durch eine winzige Tatsache mit großer Wirkung: Wer eine Mail von einer Hochschuladresse zur anderen schickt, muss sich nicht via Passwort authentifizieren. Solange eine gültige Adresse als Absender angegeben war, war das Verschicken von Mails kinderleicht. In der Regel dient diese Authentifizierung via Nutzernamen und Kennwort dazu, den Missbrauch des Mailservers (in diesem Fall der Hochschule mit der Domain hs-karlsruhe.de) für Spam zu verhindern. Das heißt, die Mails konnten auch ohne Kenntnis der Kennwörter, aber unter fremden Mailadressen, über den Server abgeschickt werden.

Vortrag unpassend: Hochschule lädt CCC-Rednerin aus

Wie aber kamen der oder die Täter an die Mailadressen? Der hochschuleigene Server ist teilweise öffentlich zugänglich, sodass es für die Hacker in diesem Fall ein leichtes war, Vor- und Nachnamen sowie die zugehörige Mailadresse herauszufinden. Das ist datenschutztechnisch nicht mehr bedenklich als ein Telefonbuch. Doch es reichte aus, damit die Hacker sich ihren "Spaß" erlauben konnten, da sie die Passwörter nicht brauchten.

Laut einem Schreiben der Hochschule Karlsruhe an Constanze Kurz, Sprecherin des CCC und eingeplante Rednerin auf der "Langen Nacht der Mathematik", das ka-news vorliegt, haben Nutzer teilweise sehr sensible und persönliche Informationen von sich preis gegeben. "Außerdem kam es beispielsweise zu sehr unangenehmen Auswirkungen für Mitglieder der Professorenschaft, denen Flirtabsichten mit Studierenden unterstellt wurden", heißt es weiter in dem Schreiben.

Eben jene Folgen sorgten dafür, dass die Hochschule Kurz auslud. "Da die Hochschule ihre Fürsorgepflicht gegenüber den (...) geschädigten Empfängern wahrnehmen muss und Vorträge von Vertretern des Chaos Computer Clubs (...) von der Hochschulöffentlichkeit als unpassend empfunden werden könnten", solle Kurz bitte Verständnis für ihre Ausladung haben. Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen. Laut einem Studenten an der Hochschule ist die Authentifizierung bei der Mailversendung aber mittlerweile eingerichtet.

Mehr zum Thema
Studieren in Karlsruhe:
Haben Sie einen Fehler entdeckt?
Das wird gerade bei ka-news heiß diskutiert
Die besten Themen
Kommentare (34)
Hinweis: Kommentare geben nicht die Meinung von ka-news wieder.
Bitte beachten Sie die Kommentarregeln und unsere Netiquette!
  •   geradeauskurve
    (147 Beiträge)

    03.03.2014 11:24
    Aha...
    Telekom und Kabel BW speichern also immer noch Verbindungsdaten.....obwohl die Vorratsdatenspeicherung in Deutschland verboten ist!
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (46 Beiträge)

    03.03.2014 13:51
    Abrechnungsdaten dürfen gespeichert werden
    Wer einen volumenbezogenen Vertrag hat, dessen Daten dürfen für Abrechnungszwecke gespeichert werden.
    Wer eine hat Flatrate hat, bei dem benötigt man keine Verbindungsdaten zur Abrechnung. Hier wäre eine Speicherung also tatsächlich illegal.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (46 Beiträge)

    02.03.2014 16:09
    Lange Nacht der Mathematik offenbar komplett abgesagt
    Siehe
    http://www.hs-karlsruhe.de/LaNaMahttp://www.hs-karlsruhe.de/LaNaMa
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (46 Beiträge)

    02.03.2014 15:39
    Wo hat die Hochschule den CCC verklagt?
    Zitat: "Die Hochschule klagt nun gegen den Club und [...]"
    In der Einleitung steht, die Hochschule habe den CCC verklagt. Das geht aber nicht aus dem Text hervor.

    @ka-news: Bitte um Klarstellung, ob die Hochschule den CCC verklagt hat oder nicht.
    Oder hat sich die Hochschule einfach nur über den CCC beklagt?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (46 Beiträge)

    02.03.2014 16:00
    Anzeige gegen unbekannt statt Klage gegen CCC?
    Zitat im Text:"Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen."

    Ist es nicht vielmehr so, dass die Hochschule Anzeige gegen Unbekannt gestellt hat und im Zuge der Ermittlungen heraus kam, dass die Mails von einem Server des CCC abgeschickt wurden?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  • 0
    unbekannt
    (41 Beiträge)

    03.03.2014 08:48
    Hier waren
    die unterschiedlichen Informationsquellen zu diesem Artikel schwierig. Und da die HS Karlsruhe sich gar nicht zu diesem Thema äußern wollte, ging das auch nie klar hervor. Auf jeden Fall ist es so, dass die HS wegen des Vorfalls Anzeige erstattet hat, dort ermittelt wurde, dass die Mails vom CCC-Kongress stammen und daraufhin Frau Kurz ausgeladen wurde. Ob nun der CCC daraufhin direkt verklagt werden soll ist derzeit noch unklar.

    Entsprechend wurde es im Artikel bzw. der Überschrift relativiert.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   NeoTiger
    (351 Beiträge)

    03.03.2014 09:02
    Präziser bitte
    "Anzeigen" bedeutet Strafrecht. "Verklagen" bedeutet Zivilrecht. Ersteres geht nur gegen natürliche Personen, nicht gegen ganze Vereine.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  • 0
    unbekannt
    (41 Beiträge)

    03.03.2014 10:25
    Strafrechtliches Ermittlungsverfahren
    Laut aktuellem Erkenntnisstand und Aussage der HS ist ein strafrechtliches Ermittlungsverfahren in Gang.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   CurlChaos
    (673 Beiträge)

    02.03.2014 10:53
    die Hochschule sollte dankbar sein dafür,
    dass der CCC hier auf diese massive Verletzung des Datenschutzes seitens der Hochschule hingewiesen hat, ohne sie gleich dafür zu verklagen.

    Statt dessen den CCC zu verklagen sorgt nur dafür, dass das in die Öffentlichkeit kommt, und dadurch Schadensersatz-Forderungen gegen die Hochschule selbst als Mitschuldigen zu eröffnen, halte ich für recht sinnfrei.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   franky4you
    (1330 Beiträge)

    02.03.2014 08:09
    Windige Betrüger hätten sicherlich mehr draus gemacht
    und der Schaden wäre für die UNI größer gewesen. Bei 80.000.000 gehakten eMail Accounts und dem Schmoder der über BKA & Parlamentsserver abgeschlossen werden kann, sollte dem Thema Sicherheit zugehört und nicht totgeschwiegen werden.
    Außerdem sind solche Mails nicht nur für die Profs. peinlich! Andere Leute sind auch Menschen! Aber besser so nen kitschigen Schmunz wie der andere Dreck ....
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten

Seite : 1 2 3 4 (4 Seiten)

Schreiben Sie Ihre Meinung
Ein neues Posting hinzufügen
Fett Kursiv Link Zitat
Sie dürfen noch Zeichen schreiben