18.03.2020 17:03

Personenbezogene Daten waren möglicherweise für Dritte sichtbar

Sicherheitslücke in Campus-Management-Software entdeckt und geschlossen

Von: Achim Zolke

In der Campus-Management-Software, die die Heinrich-Heine-Universität Düsseldorf (HHU) und zahlreiche andere Hochschulen nutzen, ist eine gravierende Sicherheitslücke entdeckt worden. Aus Sicherheitsgründen hatte das Zentrum für Informations- und Medientechnologie (ZIM) der HHU das Campus-Management-System „HIS-LSF“ deswegen kurzzeitig am 13. März 2020 außer Betrieb gesetzt. Am gleichen Tag konnte das Problem mit Hilfe des Softwareherstellers behoben und HIS-LSF wieder genutzt werden.

In der Hochschulmanagement-Software, die die Heinrich-Heine-Universität Düsseldorf (HHU) und zahlreiche andere Hochschulen nutzen, ist eine gravierende Sicherheitslücke entdeckt worden. Aus Sicherheitsgründen hatte das Zentrum für Informations- und Medientechnologie (ZIM) der HHU das Campus-Management-System „HIS-LSF“ deswegen kurzzeitig am 13. März 2020 außer Betrieb gesetzt. Am gleichen Tag konnte das Problem mit Hilfe des Softwareherstellers behoben und HIS-LSF wieder genutzt werden.

Personenbezogene Daten von Studierenden wie Namen, Matrikelnummern, Adressen und Geburtsdaten seien durch die Sicherheitslücke für einen längeren Zeitraum potentiell sichtbar gewesen, bestätigt das ZIM. Es sei von externen Fachleuten auf das Problem aufmerksam gemacht worden. Auch Daten von ehemaligen Studierenden, die vom System weiter vorgehalten werden müssen, waren betroffen.

Dritte konnten während des Bestehens der Sicherheitslücke auf die Daten zugreifen, diese aber nicht manipulieren. Ob es tatsächlich zu justiziablen Zugriffen gekommen ist, lässt sich laut ZIM nicht nachvollziehen. Mit einem von Softwarehersteller HIS eG zur Verfügung gestellten Patch konnte die Lücke in der Sicherheitsarchitektur der Campus-Management-Software wieder geschlossen werden.

Seit 13. März 2020, 17:45 Uhr, läuft HIS-LSF wieder einwandfrei und sicher. Die HHU hat die Datenpanne unverzüglich der zuständigen Aufsichtsbehörde mitgeteilt, der Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen. Das für den Betrieb der Software zuständige ZIM wird Konsequenzen aus dem Vorgang ziehen und die Zusammenarbeit mit Softwareherstellern optimieren.

Verantwortlich für den Inhalt: E-Mail sendenStabsstelle Presse und Kommunikation