34  

Karlsruhe 20.000 verschickte Liebesmails: Hochschule Karlsruhe stellt Strafanzeige

Eine Sicherheitslücke, ein Kongress des Chaos Computer Clubs (CCC) in Hamburg und 20.000 E-Mails - was haben diese drei Dinge gemeinsam? Im Dezember nu tzten unbekannte Besucher des CCC-Kongresses eine Sicherheitslücke der Hochschule Karlsruhe, um 20.000 Mails zu verschicken. Die Hochschule stellte nun Strafanzeige zu diesem Vorfall und strich kurzerhand Constanze Kurz aus dem Rednerprogramm für die "Lange Nacht der Mathematik". Sie ist Sprecherin des CCC.

"Hi, ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen." So lautete der Anfang der zwanzigtausendfach versendeten Liebesmails - alle versendet über den Mailserver der Hochschule Karlsruhe. "Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!"

Liebegrüße vom Professor an die Studentin

Man könnte es als einen "Streich" abtun, dass solche Mails versendet werden, doch die Art und Weise wie dies geschah hatte weniger amüsante Konsequenzen, vor allem für die unerwartet Angeschriebenen. Versendet wurden 20.000 Mails unter den Mailadressen von Studenten, Professoren und anderen Mitarbeitern der Hochschule. Und zwar an Studenten, Professoren und andere Mitarbeiter der Hochschule. Erfolgt ist das nach dem Zufallsprinzip: Die vermeintliche Liebesnachricht wurde von Mann zu Frau, aber auch von Mann zu Mann oder gar von Professor zu Studentin versendet.

Spätestens bei letzterem hörte der Spaß für die Hochschule auf. Sie erstattete Anzeige. Üblicherweise ist es mittels IP-Adressen heutzutage ein leichtes den Absender einer Mail - oder 20.000 Mails - ausfindig zu machen. Sofern er einen Internetprovider wie Telekom oder KabelBW nutzt. Diese speichern Verbindungsdaten. Doch in diesem Fall wurde das Internet über den CCC bezogen - der sich wiederrum dem Speichern der Daten schlicht verweigert und somit keine IP-Adresse herausgeben kann, weil sie nicht gespeichert wurden.

Doch gänzlich unschuldig ist auch die Hochschule nicht. Möglich wurde das Ganze durch eine winzige Tatsache mit großer Wirkung: Wer eine Mail von einer Hochschuladresse zur anderen schickt, muss sich nicht via Passwort authentifizieren. Solange eine gültige Adresse als Absender angegeben war, war das Verschicken von Mails kinderleicht. In der Regel dient diese Authentifizierung via Nutzernamen und Kennwort dazu, den Missbrauch des Mailservers (in diesem Fall der Hochschule mit der Domain hs-karlsruhe.de) für Spam zu verhindern. Das heißt, die Mails konnten auch ohne Kenntnis der Kennwörter, aber unter fremden Mailadressen, über den Server abgeschickt werden.

Vortrag unpassend: Hochschule lädt CCC-Rednerin aus

Wie aber kamen der oder die Täter an die Mailadressen? Der hochschuleigene Server ist teilweise öffentlich zugänglich, sodass es für die Hacker in diesem Fall ein leichtes war, Vor- und Nachnamen sowie die zugehörige Mailadresse herauszufinden. Das ist datenschutztechnisch nicht mehr bedenklich als ein Telefonbuch. Doch es reichte aus, damit die Hacker sich ihren "Spaß" erlauben konnten, da sie die Passwörter nicht brauchten.

Laut einem Schreiben der Hochschule Karlsruhe an Constanze Kurz, Sprecherin des CCC und eingeplante Rednerin auf der "Langen Nacht der Mathematik", das ka-news vorliegt, haben Nutzer teilweise sehr sensible und persönliche Informationen von sich preis gegeben. "Außerdem kam es beispielsweise zu sehr unangenehmen Auswirkungen für Mitglieder der Professorenschaft, denen Flirtabsichten mit Studierenden unterstellt wurden", heißt es weiter in dem Schreiben.

Eben jene Folgen sorgten dafür, dass die Hochschule Kurz auslud. "Da die Hochschule ihre Fürsorgepflicht gegenüber den (...) geschädigten Empfängern wahrnehmen muss und Vorträge von Vertretern des Chaos Computer Clubs (...) von der Hochschulöffentlichkeit als unpassend empfunden werden könnten", solle Kurz bitte Verständnis für ihre Ausladung haben. Zu eben jenem Schreiben, dem Vorfall Ende Dezember sowie der Sicherheitslücke möchte die Hochschule aufgrund des aktuellen strafrechtlichen Verfahrens keine Stellung nehmen. Laut einem Studenten an der Hochschule ist die Authentifizierung bei der Mailversendung aber mittlerweile eingerichtet.

Mehr zum Thema
Studieren in Karlsruhe:
Haben Sie einen Fehler entdeckt?
Unsere Sonderthemen
Das wird gerade bei ka-news heiß diskutiert
Die besten Themen
Kommentare (34)
Hinweis: Kommentare geben nicht die Meinung von ka-news wieder.
Bitte beachten Sie die Kommentarregeln und unsere Netiquette!
  •   timo
    (3041 Beiträge)

    02.03.2014 05:20 Uhr
    Traurig wie meine ehemalige Hochschule hier reagiert.
    Den Vortrag von C. Kurz hatte ich mir sogar mal in den Kalender eingetragen und wollte ich eigentlich.

    Es bei der Sicherheit der eigenen Stunden verk***en und dann gegen die "Guten" querschießen, PEINLICH!
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9562 Beiträge)

    02.03.2014 07:28 Uhr
    Wer Frau Kurz kennt, der ahnt, dass in diesem Fall die Hochschule für Technik und Wirtschaft auch ihr gegenüber fürsorglich war.

    Es würde mich deine Meinung zu dem interessieren, was ich in einem gesonderten Post weiter oben schrieb.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   ElAnduri
    (309 Beiträge)

    02.03.2014 03:11 Uhr
    Dabei von "Hacker" zu reden...
    ist eigentlich eher lustig :D

    1.) Haben wir in der Vorlesung demonstirert bekommen, wie dieser "Hack" funktioniert und
    2.) war das ein "Hack" bei dem sozusagen die Flügeltüren des Haupteingangs des Mail-Servers weit offen standen.

    Ist eigentlich jemand im Gegenzug auf die Idee gekommen und die Hochschule zu verklagen wegen unzureichender Absicherung persönlicher Daten (müsste man natürlich juristisch noch feilen :P )?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   silberahorn
    (9562 Beiträge)

    02.03.2014 07:22 Uhr
    siehe oben
    was ich dazu meine
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten

Seite : 1 2 3 4 (4 Seiten)

Schreiben Sie Ihre Meinung
Ein neues Posting hinzufügen
Fett Kursiv Link Zitat
Sie dürfen noch Zeichen schreiben