Newsticker

Teil-Lockdown bis 10. Januar 2021 verlängert - Söder deutet Verschärfung an
  1. Startseite
  2. Bayern
  3. Lernplattform Mebis: So halfen Hacker, Sicherheitslücken zu schließen

Phishing

23.08.2020

Lernplattform Mebis: So halfen Hacker, Sicherheitslücken zu schließen

Eine Gruppe von Hackern aus Nürnberg hat die bayerische Staatsregierung auf Sicherheitslücken ihrer Lernplattform Mebis aufmerksam gemacht.
Bild: Nicolas Armer, dpa (Symbolbild)

Hacker haben die Staatsregierung auf Sicherheitslücken der Plattform Mebis aufmerksam gemacht. Der Fall zeigt, wie Hacker helfen können, das Internet sicherer zu machen.

Stellen Sie sich vor, ein Dieb gibt sich als alter Bekannter aus und fragt Sie nach Geld oder Ihrem Hausschlüssel. Das geschieht zwar, ist aber doch häufig leicht zu durchschauen. Online geschieht das häufig subtiler. Eine Internetseite könnte seriös daherkommen, zum Beispiel als Seite der bayerischen Regierung. Die Nutzer schöpfen keinen Verdacht, während ihre Passwörter an die Server von Kriminellen abgesaugt werden. Phishing heißt diese Methode.

Eine Gruppe von Hackern aus Nürnberg mit dem Namen "0x90.space" hat eine Lücke bei einer Lernplattform des Kultusministeriums entdeckt, die eben das ermöglicht. Verbrecher hätten den Code der Website entsprechend ändern können, um Passwörter zu klauen. Weil die Nürnberger Hackergruppe auf den Fehler aufmerksam gemacht hat, konnten die Lücken geschlossen werden. Das zeigt, wie wohlmeinende Hacker vorgehen, um das Internet ein bisschen sicherer zu machen.

Sicherheitslücken bei Lernplattform Mebis: Etwa eine Million Nutzer betroffen

"0x90.space" ist so eine Gruppe wohlmeinender Hacker. Sie geben zum Beispiel Workshops zu Themen der IT-Sicherheit. Den Fehler bei Mebis hat Martin Rey entdeckt. „Ich bin Azubi an der Berufsschule, dementsprechend verwenden wir auch dort Mebis. Und da bin ich zufällig auf die Sicherheitslücke gestoßen“, sagt er. Die Lernplattform Mebis des Bayerischen Kultusministeriums steht allen Schulen im Freistaat zur Online-Lehre und für den Austausch von Lehrern und Schülern zur Verfügung. Die Plattform hat nach eigenen Angaben eine Million Nutzer an rund 5500 Schulen.

Nachdem Rey erste Sicherheitsmängel aufgefallen waren, hat er zunächst andere Mitglieder der Gruppe informiert. „Dann haben wir weiter geschaut und haben noch ein paar Sachen mehr gefunden. Letztendlich habe ich den ersten Teil gesehen und dann wurde im Team gemeinsam nochmal weitergeschaut." Statt diese Lücken auszunutzen, machen sie darauf aufmerksam.

So halfen die Hacker, Sicherheitslücken bei Mebis zu schließen

So ist die Gruppe dabei vorgegangen:

20. Mai: Martin Rey und "0x90.space" melden die Lücken dem Mebis-Support. „Es ist üblich, wenn man Sicherheitslücken findet, dass man sie den Betreibern meldet“, sagt Rey. Die Gruppe handelt dabei nach dem Prinzip der „Responsible Disclosure“. Das besagt, dass man erst das Unternehmen privat kontaktiert und auf die Lücken aufmerksam macht. Die Hacker setzen dann eine Frist, in der das Problem behoben werden sollte. „Und wenn die Lücke geschlossen oder die Frist abgelaufen ist, veröffentlicht man einen Bericht dazu. Um die Öffentlichkeit zu informieren und Transparenz zu schaffen.“ In diesem Fall haben die Hacker eine Frist von 90 Tagen angesetzt. Da in der Corona-Krise viele Schulen auf Mebis setzten, sei es zeitlich besonders kritisch gewesen.

19. August: Die Frist von drei Monaten läuft ab. In der Zwischenzeit hat "0x90.space" das Ministerium und den Metis-Support auf das Ablaufen der Frist aufmerksam gemacht. Die Fehler wurden nicht behoben. "0x90.space" veröffentlicht einen entsprechenden Bericht über die Lücken auf ihrer Seite.

20. August: Der bayerische Landesbeauftragte für Datenschutz bestätigt grundsätzlich die Sicherheitslücken und setzt sich mit den verantwortlichen Stellen umgehend in Verbindung.

21. August: Ein erster Pressebericht taucht auf. Etwa zwei Stunden später wird der erste Fehler behoben.

Hacker Martin Rey sagt: „Wenn der mediale Druck sich langsam aufbaut und die Leute drüber reden, dann gibt es auch einen gewissen Druck, das zu reparieren.“ Der Bayerische Landesbeauftragte für den Datenschutz meldet der Gruppe, dass die XSS-Lücke geschlossen wurde. In den folgenden Tagen werden weitere Mängel behoben.

Inzwischen sind die Lücken, die "0x90.space" entdeckt hat, geschlossen. Dass das erst auf öffentlichen Druck hin passiert ist und nicht auf die erste Meldung der Hacker, stört die Gruppe. Martin Rey ist aber auch froh, dass die Verantwortlichen auf den Ratschlag eingegangen sind: „Ich bin dankbar, dass sie das so offen angenommen haben und akzeptiert haben, dass wir das aus gutem Willen gemacht haben. Das ist nicht selbstverständlich.“

Lesen Sie dazu auch:

Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.

Die Diskussion ist geschlossen.

Das könnte Sie auch interessieren