Schwere Sicherheitslücke beunruhigt ETH-Absolventen – das steckt dahinter
«Dicke Post» für Zehntausende ehemalige Studentinnen und Studenten der Eidgenössisch Technischen Hochschule (ETH): Ihre persönlichen Daten hätten in falsche Hände fallen können – und dies wegen einer schweren Sicherheitslücke beim Internet-Auftritt der ETH-Alumni-Vereinigung.
Recherchen zeigen, dass die Verantwortlichen schnell reagiert haben, um die von einem Informatiker entdeckte Schwachstelle zu beheben, doch die potenziell Betroffenen wurden während Monaten nicht darüber informiert.
Was ist passiert?
Die Hintergründe zur ungewöhnlichen Geschichte finden sich auf der Website des ETH-Alumnus Andreas Kuster. Dort informiert der Computerwissenschaftler über eine schwerwiegende Schwachstelle bei der ETH-Alumni-Website, die er im vergangenen November zufällig entdeckte. Sein Blog-Beitrag datiert vom 10. Februar 2023.
Es geht um eine inzwischen stillgelegte Suchfunktion namens «Who is Who», die es ehemaligen Studentinnen und Studenten ermöglichte, andere Alumni-Mitglieder online zu finden und sich mit ihnen in Verbindung zu setzen.
Das Problem: Die Zugriffskontrolle für die Suchfunktion funktionierte gemäss Kusters Abklärungen nicht, sodass man ohne Authentifizierung User-Daten abgreifen konnte.
Mit solchen persönlichen Daten könnten Kriminelle gezielte Phishing-Mail-Attacken («Spearfishing») durchführen. Ausserdem könnten die auf dem Server gespeicherten «gehashten Passwörter» zu Folgeproblemen führen.
Wenn sich jemand online registriert, wird das eingegebene Passwort gehasht, das heisst, ein Algorithmus wandelt es in eine Zeichenfolge (einen «String») mit fester Länge um und legt diese auf dem Server ab. Wenn sich der gleiche User später erneut anmelden möchte und sein Passwort eingibt, wird daraus wieder der Hash berechnet und mit dem auf dem Server gespeicherten Wert verglichen.
Allerdings verwenden noch immer viele User ein (zu) einfaches Passwort, wie etwa einen Vornamen oder ein anderes gängiges Wort. Wenn Angreifer gehashte Passwörter erbeuten, können sie versuchen, diese mit einer Brute-Force-Attacke bzw. einem Wörterbuchangriff zu knacken. Das heisst, sie generieren mit leistungsfähiger Hardware Millionen gehashte Passwörter und vergleichen diese mit den erbeuteten Hash-Werten. Stimmen zwei überein, haben sie ein Passwort identifiziert.
Zudem verkaufen Kriminelle Tabellen mit bereits generierten oder gestohlenen Hash-Werten. Diese «Rainbow Tables» ermöglichen eine strukturierte und darum schnelle Suche nach dem Passwort, das zum Hash passt.
Computerwissenschaftler Kuster ruft in seinem Blog-Beitrag die Problematik in Erinnerung, dass manche User das gleiche Passwort mehrfach verwenden. Wenn es Hackern gelingt, ein gehashtes Passwort zu knacken, könnten sie damit auch andere Online-Dienste kompromittieren.
Die ETH-Verantwortlichen wüssten zudem nicht genau, ob und wie viele Daten extrahiert wurden, bevor die «Who is Who»-Suchfunktion offline genommen wurde.
Was lief schief?
An dieser Stelle ist es wichtig zu betonen, dass der ETH-Informatiker verantwortungsbewusst und korrekt handelte. Er beschreibt sein Vorgehen im erwähnten Blog-Beitrag.
Kuster dokumentierte die IT-Schwachstellen und informierte zunächst ausschliesslich die Verantwortlichen innerhalb der Eidgenössischen Technischen Hochschule.
Er habe sich entschieden, den «Erstbericht» an die Geschäftsstelle der ETH Alumni als primäre Empfängerin sowie an den technischen Kontakt (ETH-Informatikdienste) und deren Datenschutzkontakt (ETH-Rechtsdienst) zu senden. Schliesslich habe er die Schwachstelle auch dem Nationalen Zentrum für Cybersicherheit, kurz NCSC, gemeldet.
Die Zentrale von ETH Alumni habe sehr schnell und vorausschauend reagiert, hält Kuster fest. Die betroffene Suchfunktion sei umgehend deaktiviert worden und die Informatik-Zuständigen hätten weitere Schwachstellen behoben.
Gleichzeitig wissen wir, dass eine externe Cybersicherheitsfirma beigezogen wurde und eine Meldung an den Eidgenössischen Datenschutzbeauftragten (EDÖB) erfolgte.
In einer «Timeline» listet der Informatiker auf, was nach dem Schliessen der Sicherheitslücke nicht geschah: Die Verantwortlichen der ETH-Alumni-Vereinigung verpassten es, ihre Mitglieder zeitnah zu informieren und das sofortige Ändern der Passwörter zu veranlassen. Und auch im monatlichen Newsletter blieb das Problem unerwähnt.
Weiter würde sich Kuster wünschen, dass sich die Hochschule und die ETH-Alumni-Vereinigung einem Bug-Bounty-Programm anschliesst. Dass es also für ehrliche Hacker und Sicherheitsforscher einen Anreiz gäbe, ausfindig gemachte Schwachstellen zu melden.
Der Informatiker gibt zu bedenken, dass es sonst aus finanzieller Sicht viel lohnenswerter wäre, «einen riesigen Datensatz, einschliesslich Adressen, Abschlüssen und Passwort-Hashes im Darknet oder anderswo zu verkaufen».
Kuster geht in seinem Blog-Beitrag auch auf die vergleichsweise laschen Schweizer Datenschutz-Bestimmungen und die deutlich schärferen EU-Regeln (DSGVO) ein.
Abschliessend gibt der Informatiker zu bedenken:
Was sagen die Verantwortlichen?
watson hat bei der ETH-Alumni-Vereinigung nachgefragt.
Anita Kendzia, Verantwortliche Kommunikation, bestätigt, dass eine Sicherheitslücke identifiziert wurde, die angeblich «unmittelbar geschlossen werden konnte».
Die ETH-Alumni-Sprecherin betont:
Am vergangenen Dienstag (14. Februar) seien alle Alumni in einem separaten Mail informiert worden.
Diese Aussage bezieht sich auf die Auswertung von Server-Logfiles, so die ETH-Alumni-Sprecherin. Das Zurücksetzen der Passwörter sei ebenfalls am Dienstag veranlasst worden.
Auf Nachfrage präzisiert sie, dass kein automatischer Passwort-Reset für alle Alumni-Mitglieder durchgeführt worden sei. Man habe sie aufgefordert, «ihr Passwort individuell zurückzusetzen».
Quellen
- andreaskuster.ch: A personal responsible disclosure experience of a data breach in the Swiss cyber landscape in 2022/23
- alumni.ethz.ch: Website der ETH Alumni Vereinigung
- datenschutzexperte.de: Passwort Hashing & Salted Password Hashing
- expert.de: Passwort-Hashing: Hoher Schutz vor Passwortdiebstahl
