34  

Karlsruhe 20.000 verschickte Liebesmails: Hochschule Karlsruhe stellt Strafanzeige

Eine Sicherheitslücke, ein Kongress des Chaos Computer Clubs (CCC) in Hamburg und 20.000 E-Mails - was haben diese drei Dinge gemeinsam? Im Dezember nu tzten unbekannte Besucher des CCC-Kongresses eine Sicherheitslücke der Hochschule Karlsruhe, um 20.000 Mails zu verschicken. Die Hochschule stellte nun Strafanzeige zu diesem Vorfall und strich kurzerhand Constanze Kurz aus dem Rednerprogramm für die "Lange Nacht der Mathematik". Sie ist Sprecherin des CCC.

"Hi, ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen." So lautete der Anfang der zwanzigtausendfach versendeten Liebesmails - alle versendet über den Mailserver der Hochschule Karlsruhe. "Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!"

Liebegrüße vom Professor an die Studentin

Man könnte es als einen "Streich" abtun, dass solche Mails versendet werden, doch die Art und Weise wie dies geschah hatte weniger amüsante Konsequenzen, vor allem für die unerwartet Angeschriebenen. Versendet wurden 20.000 Mails unter den Mailadressen von Studenten, Professoren und anderen Mitarbeitern der Hochschule. Und zwar an Studenten, Professoren und andere Mitarbeiter der Hochschule. Erfolgt ist das nach dem Zufallsprinzip: Die vermeintliche Liebesnachricht wurde von Mann zu Frau, aber auch von Mann zu Mann oder gar von Professor zu Studentin versendet.

Spätestens bei letzterem hörte der Spaß für die Hochschule auf. Sie erstattete Anzeige. Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt. Diese speichern Verbindungsdaten. Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

Doch gänzlich unschuldig ist auch die Hochschule nicht. Möglich wurde das Ganze durch eine winzige Tatsache mit großer Wirkung: Wer eine Mail von einer Hochschuladresse zur anderen schickt, muss sich nicht via Passwort authentifizieren. Solange eine gültige Adresse als Absender angegeben war, war das Verschicken von Mails kinderleicht. In der Regel dient diese Authentifizierung via Nutzernamen und Kennwort dazu, den Missbrauch des Mailservers (in diesem Fall der Hochschule mit der Domain hs-karlsruhe.de) für Spam zu verhindern. Das heißt, die Mails konnten auch ohne Kenntnis der Kennwörter, aber unter fremden Mailadressen, über den Server abgeschickt werden.

Vortrag unpassend: Hochschule lädt CCC-Rednerin aus

Wie aber kamen der oder die Täter an die Mailadressen? Der hochschuleigene Server ist teilweise öffentlich zugänglich, sodass es für die Hacker in diesem Fall ein leichtes war, Vor- und Nachnamen sowie die zugehörige Mailadresse herauszufinden. Das ist datenschutztechnisch nicht mehr bedenklich als ein Telefonbuch. Doch es reichte aus, damit die Hacker sich ihren "Spaß" erlauben konnten, da sie die Passwörter nicht brauchten.

Laut einem Schreiben der Hochschule Karlsruhe an Constanze Kurz, Sprecherin des CCC und eingeplante Rednerin auf der "Langen Nacht der Mathematik", das ka-news vorliegt, haben Nutzer teilweise sehr sensible und persönliche Informationen von sich preis gegeben. "Außerdem kam es beispielsweise zu sehr unangenehmen Auswirkungen für Mitglieder der Professorenschaft, denen Flirtabsichten mit Studierenden unterstellt wurden", heißt es weiter in dem Schreiben.

Eben jene Folgen sorgten dafür, dass die Hochschule Kurz auslud. "Da die Hochschule ihre Fürsorgepflicht gegenüber den (...) geschädigten Empfängern wahrnehmen muss und Vorträge von Vertretern des Chaos Computer Clubs (...) von der Hochschulöffentlichkeit als unpassend empfunden werden könnten", solle Kurz bitte Verständnis für ihre Ausladung haben. Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen. Laut einem Studenten an der Hochschule ist die Authentifizierung bei der Mailversendung aber mittlerweile eingerichtet.

Mehr zum Thema
Studieren in Karlsruhe:
Haben Sie einen Fehler entdeckt?
Unsere Sonderthemen
Das wird gerade bei ka-news heiß diskutiert
Die besten Themen
Kommentare (34)
Hinweis: Kommentare geben nicht die Meinung von ka-news wieder.
Bitte beachten Sie die Kommentarregeln und unsere Netiquette!
  •   Laetschebachschorsch
    (3059 Beiträge)

    02.03.2014 08:07 Uhr
    CCC
    Der CCC könnte sich aber mal mit der NSA befassen. Da hat er dann einen ernst zu nehmenden Gegner.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Laetschebachschorsch
    (3059 Beiträge)

    02.03.2014 08:05 Uhr
    Die HS sollte doch froh sein,
    dass sie in einer so vorsichtigen weise auf ihr Sicherheitslöcher hingewiesen wird. Aber es ist ja leichter solche Hinweise anzugreifen
    als sich bereits im Vorfeld um Sicherheit Gedanken zu machen. Dieses bequeme, um nicht zu sagen unfähige Verhalten findet man über all - von Behörden bis zu Wirtschaftsbetrieben. Und wenn dann was passiert ist das Geschrei groß und die anderen sind die Bösen.
    Nein, dieser leichtfertige Umgang mit der Sicherheit müsste bestraft werden.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   kawai
    (121 Beiträge)

    02.03.2014 08:21 Uhr
    Holzhammermethode
    Meistens sehe ich das in solchen Fällen ja auch so. Aber hier ist die Lage eine andere. Hier wurden massenweise Mailbenutzer in sehr unangenehme Situationen gebracht. Mit anderen Worten es wurde Schaden angerichtet. Und das bei Leuten, die mit der Sicherheitslücke selbst gar nichts zu tun hatten.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9562 Beiträge)

    02.03.2014 08:38 Uhr
    oben steht doch für jeden zu lesen:
    Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

    Das eigentliche Problem liegt doch darin, dass der CCC vor lauter Datenschutzgedanken den Täter nicht angeben kann, der sich immerhin einer vom CCC zur Verfügung gestellten Möglichkeit bediente.
    Datenschutz ist Täterschutz trifft somit mal den CCC. Es sei denn - ich kenne deren Serversystem nicht - man kann von dort doch feststellen wer es war. Und falls es eine Amtsperson machte? Schweigt der CCC dann auch?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9562 Beiträge)

    02.03.2014 07:22 Uhr
    an timo und ElAnduri
    Kann es sein, dass ihr da etwas nicht ganz verstanden habt?

    Bei einigen Behörde ist es so, dass man Mitarbeiter anschreiben kann, wenn man die Namen kennt. Das geht so: Name plus Behördenadresse.
    So wird die Vergabe von Mailadressen an der H-T Karlsruhe auch sein.
    Insofern könnte sich theoretisch jeder ein Späßchen erlauben und sich als derjenige ausgeben und irgendwen sonst anschreiben. Das ist aber kein Späßchen, sondern die unzulässige Benutzung fremder Identität.

    In dem Fall oben geht es damit weiter, dass jemand den Zugang zur Versendung über den CCC nahm, der CCC keine IP angeben kann, um den Verursacher zu finden. Es kann doch auch jemand gewesen sein, der offiziell Zugang zu den Daten hatte und den CCC somit vorführen will.

    Für manche Leute ist es schwierig, bei den vielen Möglichkeiten die es gibt, zu erkennen, ob die Absenderadresse, die bei ihm erscheint, auch tatsächlich stimmt. Selbst habe ich auch gerade so etwas bekommen und antworte entsprechend vorsichtig.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   timo
    (3041 Beiträge)

    02.03.2014 14:22 Uhr
    Nein, du hast etwas nicht verstanden.
    Warum rechtfertigt der "Hack" die Ausladung von Frau Kurz?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (65 Beiträge)

    02.03.2014 16:04 Uhr
    Statt CCC auch jedes Internet-Cafe möglich
    Eben.

    Statt eines Servers des CCC hätte es auch jedes beliebige Internet-Cafe getan mit eben demselben Ergebnis, dass die eigentlichen Absender nicht ermittelt werden können.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (65 Beiträge)

    02.03.2014 16:50 Uhr
    ... Kaffeeautomaten abmontieren
    Annahme, die Mails wären von einem Internet-Cafe abgeschickt worden.
    Dann hätte die Hochschule mit ähnlicher Logik alle Kaffeeautomaten der Hochschule abgebaut wegen Cafe?

    Seit wann ist ein Internet-Provider für die Taten seiner Nutzer verantwortlich?

    PS: Schade, dass man Kommentare nachträglich nicht überarbeiten kann.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   timo
    (3041 Beiträge)

    02.03.2014 22:32 Uhr
    Nicht nur Internetcafes
    auch große Provider speichern teilweise nicht. Würden deren Sprecher dann auch ausgeladen werden wenn über deren Service ein Hack durchgeführt worden wäre? silberahorn versteht wohl selbst nicht was sie schreibt.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9562 Beiträge)

    03.03.2014 05:23 Uhr
    jJa, deswegen habe ich dich gebeten
    zu antworten. Es ist für Außenstehende, die nicht in der Materie sind immer schwer die Zusammenhänge genau zu verstehen.

    Also ich fasse zusammen:
    Der CCC hatte die Hochschule bereits vorgewart und zwar über Jahre hinweg, dass es eine Sicherheitslücke gibt. Dazu stellt sich mir die Frage: gab es damals auch schon keine rechtliche Grundlge einen Versender zu ermitteln?
    Im Dezember 2013 wurde über einen Server des CCC von einer unbekannten Person eine so große Aufmerksamkeit erzeugt (hätte sowieso auch aus einer ausländischen nicht nachvollziehbaren Richtung kommen können!), dass Klage gegen Unbekannt kam.
    Frage:
    Ist also das Internet doch ein rechtsfreier Raum - und zwar für diejenigen, die sich auskennen und für andere nicht?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten

Seite : 1 2 3 4 (4 Seiten)

Schreiben Sie Ihre Meinung
Ein neues Posting hinzufügen
Fett Kursiv Link Zitat
Sie dürfen noch Zeichen schreiben