"Hi, ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen." So lautete der Anfang der zwanzigtausendfach versendeten Liebesmails - alle versendet über den Mailserver der Hochschule Karlsruhe. "Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!"

Liebegrüße vom Professor an die Studentin

Man könnte es als einen "Streich" abtun, dass solche Mails versendet werden, doch die Art und Weise wie dies geschah hatte weniger amüsante Konsequenzen, vor allem für die unerwartet Angeschriebenen. Versendet wurden 20.000 Mails unter den Mailadressen von Studenten, Professoren und anderen Mitarbeitern der Hochschule. Und zwar an Studenten, Professoren und andere Mitarbeiter der Hochschule. Erfolgt ist das nach dem Zufallsprinzip: Die vermeintliche Liebesnachricht wurde von Mann zu Frau, aber auch von Mann zu Mann oder gar von Professor zu Studentin versendet.

Spätestens bei letzterem hörte der Spaß für die Hochschule auf. Sie erstattete Anzeige. Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt. Diese speichern Verbindungsdaten. Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

Doch gänzlich unschuldig ist auch die Hochschule nicht. Möglich wurde das Ganze durch eine winzige Tatsache mit großer Wirkung: Wer eine Mail von einer Hochschuladresse zur anderen schickt, muss sich nicht via Passwort authentifizieren. Solange eine gültige Adresse als Absender angegeben war, war das Verschicken von Mails kinderleicht. In der Regel dient diese Authentifizierung via Nutzernamen und Kennwort dazu, den Missbrauch des Mailservers (in diesem Fall der Hochschule mit der Domain hs-karlsruhe.de) für Spam zu verhindern. Das heißt, die Mails konnten auch ohne Kenntnis der Kennwörter, aber unter fremden Mailadressen, über den Server abgeschickt werden.

Vortrag unpassend: Hochschule lädt CCC-Rednerin aus

Wie aber kamen der oder die Täter an die Mailadressen? Der hochschuleigene Server ist teilweise öffentlich zugänglich, sodass es für die Hacker in diesem Fall ein leichtes war, Vor- und Nachnamen sowie die zugehörige Mailadresse herauszufinden. Das ist datenschutztechnisch nicht mehr bedenklich als ein Telefonbuch. Doch es reichte aus, damit die Hacker sich ihren "Spaß" erlauben konnten, da sie die Passwörter nicht brauchten.

Laut einem Schreiben der Hochschule Karlsruhe an Constanze Kurz, Sprecherin des CCC und eingeplante Rednerin auf der "Langen Nacht der Mathematik", das ka-news vorliegt, haben Nutzer teilweise sehr sensible und persönliche Informationen von sich preis gegeben. "Außerdem kam es beispielsweise zu sehr unangenehmen Auswirkungen für Mitglieder der Professorenschaft, denen Flirtabsichten mit Studierenden unterstellt wurden", heißt es weiter in dem Schreiben.

Eben jene Folgen sorgten dafür, dass die Hochschule Kurz auslud. "Da die Hochschule ihre Fürsorgepflicht gegenüber den (...) geschädigten Empfängern wahrnehmen muss und Vorträge von Vertretern des Chaos Computer Clubs (...) von der Hochschulöffentlichkeit als unpassend empfunden werden könnten", solle Kurz bitte Verständnis für ihre Ausladung haben. Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen. Laut einem Studenten an der Hochschule ist die Authentifizierung bei der Mailversendung aber mittlerweile eingerichtet.