«Dicke Post» für Zehntausende ehemalige Studentinnen und Studenten der Eidgenössisch Technischen Hochschule (ETH): Ihre persönlichen Daten hätten in falsche Hände fallen können – und dies wegen einer schweren Sicherheitslücke beim Internet-Auftritt der ETH-Alumni-Vereinigung.
Recherchen zeigen, dass die Verantwortlichen schnell reagiert haben, um die von einem Informatiker entdeckte Schwachstelle zu beheben, doch die potenziell Betroffenen wurden während Monaten nicht darüber informiert.
Die Hintergründe zur ungewöhnlichen Geschichte finden sich auf der Website des ETH-Alumnus Andreas Kuster. Dort informiert der Computerwissenschaftler über eine schwerwiegende Schwachstelle bei der ETH-Alumni-Website, die er im vergangenen November zufällig entdeckte. Sein Blog-Beitrag datiert vom 10. Februar 2023.
Es geht um eine inzwischen stillgelegte Suchfunktion namens «Who is Who», die es ehemaligen Studentinnen und Studenten ermöglichte, andere Alumni-Mitglieder online zu finden und sich mit ihnen in Verbindung zu setzen.
Das Problem: Die Zugriffskontrolle für die Suchfunktion funktionierte gemäss Kusters Abklärungen nicht, sodass man ohne Authentifizierung User-Daten abgreifen konnte.
Mit solchen persönlichen Daten könnten Kriminelle gezielte Phishing-Mail-Attacken («Spearfishing») durchführen. Ausserdem könnten die auf dem Server gespeicherten «gehashten Passwörter» zu Folgeproblemen führen.
Computerwissenschaftler Kuster ruft in seinem Blog-Beitrag die Problematik in Erinnerung, dass manche User das gleiche Passwort mehrfach verwenden. Wenn es Hackern gelingt, ein gehashtes Passwort zu knacken, könnten sie damit auch andere Online-Dienste kompromittieren.
Die ETH-Verantwortlichen wüssten zudem nicht genau, ob und wie viele Daten extrahiert wurden, bevor die «Who is Who»-Suchfunktion offline genommen wurde.
An dieser Stelle ist es wichtig zu betonen, dass der ETH-Informatiker verantwortungsbewusst und korrekt handelte. Er beschreibt sein Vorgehen im erwähnten Blog-Beitrag.
Kuster dokumentierte die IT-Schwachstellen und informierte zunächst ausschliesslich die Verantwortlichen innerhalb der Eidgenössischen Technischen Hochschule.
Er habe sich entschieden, den «Erstbericht» an die Geschäftsstelle der ETH Alumni als primäre Empfängerin sowie an den technischen Kontakt (ETH-Informatikdienste) und deren Datenschutzkontakt (ETH-Rechtsdienst) zu senden. Schliesslich habe er die Schwachstelle auch dem Nationalen Zentrum für Cybersicherheit, kurz NCSC, gemeldet.
Die Zentrale von ETH Alumni habe sehr schnell und vorausschauend reagiert, hält Kuster fest. Die betroffene Suchfunktion sei umgehend deaktiviert worden und die Informatik-Zuständigen hätten weitere Schwachstellen behoben.
Gleichzeitig wissen wir, dass eine externe Cybersicherheitsfirma beigezogen wurde und eine Meldung an den Eidgenössischen Datenschutzbeauftragten (EDÖB) erfolgte.
In einer «Timeline» listet der Informatiker auf, was nach dem Schliessen der Sicherheitslücke nicht geschah: Die Verantwortlichen der ETH-Alumni-Vereinigung verpassten es, ihre Mitglieder zeitnah zu informieren und das sofortige Ändern der Passwörter zu veranlassen. Und auch im monatlichen Newsletter blieb das Problem unerwähnt.
Weiter würde sich Kuster wünschen, dass sich die Hochschule und die ETH-Alumni-Vereinigung einem Bug-Bounty-Programm anschliesst. Dass es also für ehrliche Hacker und Sicherheitsforscher einen Anreiz gäbe, ausfindig gemachte Schwachstellen zu melden.
Der Informatiker gibt zu bedenken, dass es sonst aus finanzieller Sicht viel lohnenswerter wäre, «einen riesigen Datensatz, einschliesslich Adressen, Abschlüssen und Passwort-Hashes im Darknet oder anderswo zu verkaufen».
Kuster geht in seinem Blog-Beitrag auch auf die vergleichsweise laschen Schweizer Datenschutz-Bestimmungen und die deutlich schärferen EU-Regeln (DSGVO) ein.
Abschliessend gibt der Informatiker zu bedenken:
watson hat bei der ETH-Alumni-Vereinigung nachgefragt.
Anita Kendzia, Verantwortliche Kommunikation, bestätigt, dass eine Sicherheitslücke identifiziert wurde, die angeblich «unmittelbar geschlossen werden konnte».
Die ETH-Alumni-Sprecherin betont:
Am vergangenen Dienstag (14. Februar) seien alle Alumni in einem separaten Mail informiert worden.
Diese Aussage bezieht sich auf die Auswertung von Server-Logfiles, so die ETH-Alumni-Sprecherin. Das Zurücksetzen der Passwörter sei ebenfalls am Dienstag veranlasst worden.
Auf Nachfrage präzisiert sie, dass kein automatischer Passwort-Reset für alle Alumni-Mitglieder durchgeführt worden sei. Man habe sie aufgefordert, «ihr Passwort individuell zurückzusetzen».
Das Email vom 14. Februar hat als Betreff «Information zur behobenen myAlumni Sicherheitslücke», wobei der letzte Teil des Betreffs in der Gmail-App abgeschnitten wird. Die Aufforderung zum Passwortwechsel kommt erst zuunterst im Mail als Fliesstext. Will nicht wissen, wievielen es geht wie mir und das völlig übersehen. Ich hätte ein Mail «Aufforderung zum Passwortwechsel» oder so ähnlich bevorzugt. Anweisung zuerst, dann die Gründe.
Das zeigt mir einfach, dass man es jetzt noch nicht genau weiss ob Daten abgeflossen sind und man es totschweigen wollte. Unprofessionell!