Schwere Sicherheitslücke beunruhigt ETH-Absolventen

"Dicke Post" für Zehntausende ehemalige Studentinnen und Studenten der Eidgenössisch Technischen Hochschule (ETH): Ihre persönlichen Daten hätten in falsche Hände fallen können – und dies wegen einer schweren Sicherheitslücke beim Internet-Auftritt der ETH-Alumni-Vereinigung.

Recherchen von Watson zeigen, dass die Verantwortlichen schnell reagiert haben, um die von einem Informatiker entdeckte Schwachstelle zu beheben, doch die potenziell Betroffenen wurden während Monaten nicht darüber informiert.

Was ist passiert?

Die Hintergründe zur ungewöhnlichen Geschichte finden sich auf der Website des ETH-Alumnus Andreas Kuster. Dort informiert der Computerwissenschaftler über eine schwerwiegende Schwachstelle bei der ETH-Alumni-Website, die er im vergangenen November zufällig entdeckte. Sein Blog-Beitrag datiert vom 10. Februar 2023.

Es geht um eine inzwischen stillgelegte Suchfunktion namens «Who is Who», die es ehemaligen Studentinnen und Studenten ermöglichte, andere Alumni-Mitglieder online zu finden und sich mit ihnen in Verbindung zu setzen.

Ausschnitt des Blogs von Andreas Kuster (Source: Screenshot)

Das Problem: Die Zugriffskontrolle für die Suchfunktion funktionierte gemäss Kusters Abklärungen nicht, sodass man ohne Authentifizierung User-Daten abgreifen konnte.

"Ohne jegliche Autorisierung über das Internet konnten mindestens 35418 Mitgliederprofile extrahiert werden, einschliesslich des vollständigen Namens, der Postanschrift, der Nationalität, des Titels, des Abschlussbereichs, des Studienbeginns, des Geschlechts, des Profilbilds und der gehashten Passwörter", heisst es im Blogbeitrag.

Mit solchen persönlichen Daten könnten Kriminelle gezielte Phishing-Mail-Attacken ("Spearfishing") durchführen. Ausserdem könnten die auf dem Server gespeicherten "gehashten Passwörter" zu Folgeproblemen führen.

Computerwissenschaftler Kuster ruft in seinem Blog-Beitrag die Problematik in Erinnerung, dass manche User das gleiche Passwort mehrfach verwenden. Wenn es Hackern gelingt, ein gehashtes Passwort zu knacken, könnten sie damit auch andere Online-Dienste kompromittieren.

Die ETH-Verantwortlichen wüssten zudem nicht genau, ob und wie viele Daten extrahiert wurden, bevor die "Who is Who"-Suchfunktion offline genommen wurde.

Was lief schief?

An dieser Stelle ist es wichtig zu betonen, dass der ETH-Informatiker verantwortungsbewusst und korrekt handelte. Er beschreibt sein Vorgehen im erwähnten Blog-Beitrag.

Kuster dokumentierte die IT-Schwachstellen und informierte zunächst ausschliesslich die Verantwortlichen innerhalb der Eidgenössischen Technischen Hochschule.

Er habe sich entschieden, den «Erstbericht» an die Geschäftsstelle der ETH Alumni als primäre Empfängerin sowie an den technischen Kontakt (ETH-Informatikdienste) und deren Datenschutzkontakt (ETH-Rechtsdienst) zu senden. Schliesslich habe er die Schwachstelle auch dem Nationalen Zentrum für Cybersicherheit, kurz NCSC, gemeldet.

Die Zentrale von ETH Alumni habe sehr schnell und vorausschauend reagiert, hält Kuster fest. Die betroffene Suchfunktion sei umgehend deaktiviert worden und die Informatik-Zuständigen hätten weitere Schwachstellen behoben.

Gleichzeitig wissen wir, dass eine externe Cybersicherheitsfirma beigezogen wurde und eine Meldung an den Eidgenössischen Datenschutzbeauftragten (EDÖB) erfolgte.

In einer «Timeline» listet der Informatiker auf, was nach dem Schliessen der Sicherheitslücke nicht geschah: Die Verantwortlichen der ETH-Alumni-Vereinigung verpassten es, ihre Mitglieder zeitnah zu informieren und das sofortige Ändern der Passwörter zu veranlassen. Und auch im monatlichen Newsletter blieb das Problem unerwähnt.

Weiter würde sich Kuster wünschen, dass sich die Hochschule und die ETH-Alumni-Vereinigung einem Bug-Bounty-Programm anschliesst. Dass es also für ehrliche Hacker und Sicherheitsforscher einen Anreiz gäbe, ausfindig gemachte Schwachstellen zu melden.

Der Informatiker gibt zu bedenken, dass es sonst aus finanzieller Sicht viel lohnenswerter wäre, «einen riesigen Datensatz, einschliesslich Adressen, Abschlüssen und Passwort-Hashes im Darknet oder anderswo zu verkaufen».

Kuster geht in seinem Blog-Beitrag auch auf die vergleichsweise laschen Schweizer Datenschutz-Bestimmungen und die deutlich schärferen EU-Regeln (DSGVO) ein.

Abschliessend gibt der Informatiker zu bedenken: "Eine strengere Datenschutzverordnung, einschliesslich einer Meldepflicht und eines Prozesses zur Sicherstellung der Einhaltung, würde den Datenschutz und die Widerstandsfähigkeit gegenüber den immer grösser werdenden Bedrohungen im Internet erheblich erhöhen und wäre daher von öffentlichem Interesse."

Was sagen die Verantwortlichen?

Watson hat bei der ETH-Alumni-Vereinigung nachgefragt. Anita Kendzia, Verantwortliche Kommunikation, bestätigt, dass eine Sicherheitslücke identifiziert wurde, die angeblich "unmittelbar geschlossen werden konnte".

Die ETH-Alumni-Sprecherin sagt: "Wir haben keine Anzeichen dafür gefunden, dass in der kurzen Zeit, in der die Sicherheitslücke bestand, Daten an unberechtigte Personen abgeflossen sind. Potenziell sind in der Datenbank ca. 35‘000 Datensätze von Mitgliedern vorhanden." Am vergangenen Dienstag (14. Februar) seien alle Alumni in einem separaten Mail informiert worden: "Da wir in der kurzen Zeit keine Anzeichen für einen Datenabfluss feststellen konnten, haben wir auf eine entsprechende Meldung im November 2022 verzichtet." Diese Aussage bezieht sich auf die Auswertung von Server-Logfiles, so die ETH-Alumni-Sprecherin. Das Zurücksetzen der Passwörter sei ebenfalls am Dienstag veranlasst worden. Auf Nachfrage präzisiert sie, dass kein automatischer Passwort-Reset für alle Alumni-Mitglieder durchgeführt worden sei. Man habe sie aufgefordert, "ihr Passwort individuell zurückzusetzen".

Dieser Artikel erschien zuerst bei "Watson".

Auch der Nachbar der ETH an der Rämibühlstrasse, die Universität Zürich, hat mit einer Sicherheitslücke zu kämpfen. Anfang Februar wurde die Universität Opfer einer Cyberattacke, mehr dazu lesen Sie hier.