34  

Karlsruhe 20.000 verschickte Liebesmails: Hochschule Karlsruhe stellt Strafanzeige

Eine Sicherheitslücke, ein Kongress des Chaos Computer Clubs (CCC) in Hamburg und 20.000 E-Mails - was haben diese drei Dinge gemeinsam? Im Dezember nu tzten unbekannte Besucher des CCC-Kongresses eine Sicherheitslücke der Hochschule Karlsruhe, um 20.000 Mails zu verschicken. Die Hochschule stellte nun Strafanzeige zu diesem Vorfall und strich kurzerhand Constanze Kurz aus dem Rednerprogramm für die "Lange Nacht der Mathematik". Sie ist Sprecherin des CCC.

"Hi, ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen." So lautete der Anfang der zwanzigtausendfach versendeten Liebesmails - alle versendet über den Mailserver der Hochschule Karlsruhe. "Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!"

Liebegrüße vom Professor an die Studentin

Man könnte es als einen "Streich" abtun, dass solche Mails versendet werden, doch die Art und Weise wie dies geschah hatte weniger amüsante Konsequenzen, vor allem für die unerwartet Angeschriebenen. Versendet wurden 20.000 Mails unter den Mailadressen von Studenten, Professoren und anderen Mitarbeitern der Hochschule. Und zwar an Studenten, Professoren und andere Mitarbeiter der Hochschule. Erfolgt ist das nach dem Zufallsprinzip: Die vermeintliche Liebesnachricht wurde von Mann zu Frau, aber auch von Mann zu Mann oder gar von Professor zu Studentin versendet.

Spätestens bei letzterem hörte der Spaß für die Hochschule auf. Sie erstattete Anzeige. Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt. Diese speichern Verbindungsdaten. Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

Doch gänzlich unschuldig ist auch die Hochschule nicht. Möglich wurde das Ganze durch eine winzige Tatsache mit großer Wirkung: Wer eine Mail von einer Hochschuladresse zur anderen schickt, muss sich nicht via Passwort authentifizieren. Solange eine gültige Adresse als Absender angegeben war, war das Verschicken von Mails kinderleicht. In der Regel dient diese Authentifizierung via Nutzernamen und Kennwort dazu, den Missbrauch des Mailservers (in diesem Fall der Hochschule mit der Domain hs-karlsruhe.de) für Spam zu verhindern. Das heißt, die Mails konnten auch ohne Kenntnis der Kennwörter, aber unter fremden Mailadressen, über den Server abgeschickt werden.

Vortrag unpassend: Hochschule lädt CCC-Rednerin aus

Wie aber kamen der oder die Täter an die Mailadressen? Der hochschuleigene Server ist teilweise öffentlich zugänglich, sodass es für die Hacker in diesem Fall ein leichtes war, Vor- und Nachnamen sowie die zugehörige Mailadresse herauszufinden. Das ist datenschutztechnisch nicht mehr bedenklich als ein Telefonbuch. Doch es reichte aus, damit die Hacker sich ihren "Spaß" erlauben konnten, da sie die Passwörter nicht brauchten.

Laut einem Schreiben der Hochschule Karlsruhe an Constanze Kurz, Sprecherin des CCC und eingeplante Rednerin auf der "Langen Nacht der Mathematik", das ka-news vorliegt, haben Nutzer teilweise sehr sensible und persönliche Informationen von sich preis gegeben. "Außerdem kam es beispielsweise zu sehr unangenehmen Auswirkungen für Mitglieder der Professorenschaft, denen Flirtabsichten mit Studierenden unterstellt wurden", heißt es weiter in dem Schreiben.

Eben jene Folgen sorgten dafür, dass die Hochschule Kurz auslud. "Da die Hochschule ihre Fürsorgepflicht gegenüber den (...) geschädigten Empfängern wahrnehmen muss und Vorträge von Vertretern des Chaos Computer Clubs (...) von der Hochschulöffentlichkeit als unpassend empfunden werden könnten", solle Kurz bitte Verständnis für ihre Ausladung haben. Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen. Laut einem Studenten an der Hochschule ist die Authentifizierung bei der Mailversendung aber mittlerweile eingerichtet.

Mehr zum Thema
Studieren in Karlsruhe:
Haben Sie einen Fehler entdeckt?
Unsere Sonderthemen
Das wird gerade bei ka-news heiß diskutiert
Die besten Themen
Kommentare (34)
Hinweis: Kommentare geben nicht die Meinung von ka-news wieder.
Bitte beachten Sie die Kommentarregeln und unsere Netiquette!
  •   aha
    (47 Beiträge)

    02.03.2014 22:53 Uhr
    Keine Speicherung bei Flatrates?
    Gerade komme ich ins Grübeln...
    Die Vorratsdatenspeicherung wurde nicht umgesetzt.
    Internet-Provider speichern nur die Daten, die sie für die Abrechnung brauchen - richtig? D.h. bei einer Flatrate gar nichts.

    Dann ist die Aussage im Text so nicht richtig?
    "Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt."
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9491 Beiträge)

    03.03.2014 05:35 Uhr
    Hallo aha,
    das verstehe ich als blutiger Laie so, dass es dann einfach ist, wenn jemand seinen eigenen Namen benutzt und nicht die Identität einer anderen Person als Absender hat, also z.B. robert.mueller(at) hs-karlsruhe.de .
    Aber wie ich weiter unten schrieb kann man auch bei falschen Absendern zumindest noch nachvollziehen, von wo das verschickt wurde. Ich hatte sowas nämlich mal , das aus Korea kam.

    Insofern regt diese Aktion hier tatsächlich zu einer Diskussion über größere Zusammenhänge an. Ich hoffe ich konnte dazu beitragen ein wenig Licht in die Zusammenhänge zu bringen. Normalerweise kann man mit mir gut lösungsorientiert diskutieren. zwinkern
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (47 Beiträge)

    03.03.2014 15:31 Uhr
    Professoren der Hochschule blamieren sich zweimal
    Siehe http://www.ahrens.de/?p=21822
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   aha
    (47 Beiträge)

    03.03.2014 15:26 Uhr
    Erklärungen zu den Liebesgrüßen
    Unter folgendem Blog gibt es eine gute Analyse des Mailheaders der Liebesgrüße-Mail und ich denke, die ermittelnde Behörde hat in etwa das gleiche herausbekommen.
    Mehr Spuren gibt es nicht.

    http://blog.debuglevel.de/liebesgruesse-vom-congress/
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Makamabesi
    (2965 Beiträge)

    02.03.2014 11:40 Uhr
    Das
    beseutet, das Anton Müller at xy.ka als Max Mustermann at xy.ka Mails an joe Doe at xy.ka verschicken kann?
    Prima für Mobbing etc. so eon System! zwinkern
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9491 Beiträge)

    02.03.2014 11:54 Uhr
    Nein, das bedeutet es nicht. Ob ich alles richtig verstanden habe ist mir auch nicht ganz klar. Aber ich behaupte auch nicht in dem Bereich auf dem neuesten Stand zu sein.

    Ich stelle mir das so vor:
    Es kann jeder relativ leicht Mailadressen herausbekommen, ohne zuvor Kontakt gehabt zu haben. Wenn er der Person auf einem Amt dann etwas schreibt, dann ist jedoch seine Absenderadresse nachvollziehbar und auch die IP. Es sei denn, es wird so etwas von einem Server aus einem anderen Land gemacht, mit dem kein Abkommen besteht um an die IP zu kommen.

    In dem Fall oben hat aber jemand einen Absender vorgetäuscht, dessen Name und Endung real besteht und es wurde innerhalb der Hochschule - also gleiche Endung - eine andere Person angeschrieben. Das aber von einem Server des CCC aus, der in Deutschland steht. Das hat man ja wohl bisher schon nachvollziehen können, weil sonst der CCC nicht aufgefordert wäre mittels IP die Identität des Schreibers herausfinden zu können.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9491 Beiträge)

    02.03.2014 11:58 Uhr
    Fortsetzung
    Gegenseitige Schuldzuweisungen bringen gar nichts.
    Wenn jemand auf eine Sicherheitslücke aufmerksam machen will, dann kann er dort anrufen oder eine Mail mit Fachkenntnissen an den zuständigen Verantwortlichen schicken.
    20.000 Spams sind der falsche Weg. Es sei denn man will eine öffentliche Diskussion über die Gefahren des Internets.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  • unbekannt
    (6 Beiträge)

    02.03.2014 14:40 Uhr
    Wenns denn mal so einfach wäre...
    Das Informationszentrum der HS (IZ, das Rechenzentrum der HS) wurde vor mindestens 4 Jahren das erste Mal offiziell über diese Sicherheitslücke informiert. (so mit Brief, mit fachlich fundierter Erklärung der Sicherheitslücke. Passiert ist ... du wirst es erraten haben, da die Lücke 2013 immernoch existierte: garnix. 2013 im Sommer gab es schon mal eine Mail an alle Accounts, mit dem Hinweis, dass man da Mails verschicken kann ... Reaktion: KEINE. Und nun, beim 3. Mal, war die Reaktion der Mailempfänger dann (endlich) groß genug, dass das IZ reagieren musste. Aber statt zuzugeben, dass das eine ihnen bekannte Lücke ist, zeigen nun alle auf den CCC. Die Vorratsdatenspeicherung wurde in DE gekippt, der CCC ist also nicht mehr verpflichtet, Daten über die Nutzer von IPs vorzuhalten, genauso wie das kein anderer ISP mehr ist.

    So, und nun beantworte mir doch mal wer, was Frau Constanze Kurz dafür kann, wass einer der tausenden Congress Besucher oder die IZ-Admins da verbockt haben?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9491 Beiträge)

    02.03.2014 15:30 Uhr
    Das kann ich mir gut vorstellen, dass man beim Hinweis auf Ignoranz gestoßen ist. Das ist allgemein ein Problem, nicht nur in diesen Bereichen. Insofern war es doch gut, dass ich dies angesprochen hatte.

    Ich habe übrigens an der damailgen FH (was jetzt diese Hochschule ist) vor vielen Jahren eine Veranstaltung besucht, bei der man Schulkinder eine gefakte Verbindung vorführen ließ. So doof um das nicht zu merken, dass man dem Publikum etwas vorspielen musste, ist kein Kind.

    Ihr habt mich zumindest in der Hinsicht überzeugt: Frau Kurz wieder auszuladen, das zeugt eher von schwacher Brust.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   timo
    (3024 Beiträge)

    02.03.2014 05:26 Uhr
    Wie aber kamen der oder die Täter an die Mailadressen?
    Als ich noch Student an der HS war wurde ein Mal eine Massenmail an alle Stunden verteilt - mit ALLEN Adressen sichtbar für jeden. Die Liste habe ich immer noch...
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten

Seite : 1 2 3 4 (4 Seiten)

Schreiben Sie Ihre Meinung
Ein neues Posting hinzufügen
Fett Kursiv Link Zitat
Sie dürfen noch Zeichen schreiben