Potentielles Datenleck an Hochschulen   [19.03.20]

Im Internet wird über ein potentielles Datenleck bei Hochschul-Informationssystemen berichtet. Auch an der Universität Hohenheim war mit dem alten Campus-Management-System „Studium Online“ (QIS-SOSPOS) ein System von diesem Softwarefehler des Systemherstellers betroffen. In dem uns vorliegenden Artikel vom 17. März 2020 wird berichtet, dass die Systeme einiger Hochschulen bis vor kurzem weiter angreifbar waren. Wir möchten Sie insofern über die spezifische Situation an unserer Universität informieren.

Der in der der Herstellersoftware immanente Systemfehler wurde am 06. März 2020 durch eine der Landesuniversitäten entdeckt. Die Herstellerfirma der Software wurde benachrichtigt. Die Universität Hohenheim wurde ebenfalls im Laufe des 06. März 2020 informiert.  Nach Überprüfung des Systems „Studium Online“ (QIS-SOSPOS) wurde es umgehend vom Netz genommen, so dass die Möglichkeit eventueller Fremdzugriffe unmittelbar ausgeschlossen wurde.

Soweit man über einen bestimmten Link verfügte, konnte man in der betroffenen Datenbank aufbewahrungspflichtige Stammdaten einsehen. Daten zu Studien- und Prüfungsleistungen waren nicht betroffen. Die Überprüfung ergab auch, dass die Sicherheitslücke offenbar nicht ohne weiteres bzw. für jedermann auffindbar war. Anhaltspunkte dafür, dass auf die betroffene Datenbank unbefugt zugegriffen wurde, liegen nicht vor.

Beim neuen Campus-Management-System HISinOne trat das Problem nicht auf, da die betroffene Datenbank dort grundsätzlich deaktiviert ist. Trotzdem wurde das System bei allen Maßnahmen mitberücksichtigt.

Am Montag, den 09. März 2020 wurden vom Systemhersteller Sicherheitshotfixe veröffentlicht. Nach lokalen Tests und Überprüfungen wurde „Studium Online“ nach Einspielen des Sicherheitshotfixes am 09. März 2020 wieder hochgefahren. Die Universität hat keinen Hinweis darauf, dass eine unautorisierte Nutzung des Sicherheitslecks und ein Zugang zum System der Universität Hohenheim erfolgt ist.

Der Vorfall wurde sofort nach der Entdeckung an die Stabsstelle Datenschutz und den Datenschutzbeauftragten der Universität Hohenheim gemeldet.

Sollten Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an den Datenschutzbeauftragten der Universität, Herrn Bernhard Witt (bernhard.witt@uni-hohenheim.de).

 

Zurück zu Alle News