Weiter mit Tracking durch Dritte

Besuchen Sie unsere Website mit externen Inhalten, personalisierter Werbung und Werbetracking durch Dritte. Details und Informationen zu Cookies, Verarbeitungszwecken sowie Ihrer jederzeitigen Widerrufsmöglichkeit finden Sie in der Datenschutzerklärung und in den Privatsphäre-Einstellungen.

Weiter mit dem PUR-Abo

Nutzen Sie unser Angebot ohne Werbetracking durch Dritte für 4,99 Euro/Monat. Kunden mit einem bestehenden Abo (Tageszeitung, e-Paper oder PLUS) zahlen nur 0,99 Euro/Monat. Informationen zur Datenverarbeitung im Rahmen des PUR-Abos finden Sie in der Datenschutzerklärung.

Zum Angebot Bereits PUR-Abonnent? Hier anmelden

Einwilligung: Durch das Klicken des "Akzeptieren und weiter"-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw. Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für die beschriebenen Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO durch uns und unsere bis zu 220 Partner zu. Darüber hinaus nehmen Sie Kenntnis davon, dass mit ihrer Einwilligung ihre Daten auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz-Niveau verarbeitet werden können.

Tracking durch Dritte: Zur Finanzierung unseres journalistischen Angebots spielen wir Ihnen Werbung aus, die von Drittanbietern kommt. Zu diesem Zweck setzen diese Dienste Tracking-Technologien ein. Hierbei werden auf Ihrem Gerät Cookies gespeichert und ausgelesen oder Informationen wie die Gerätekennung abgerufen, um Anzeigen und Inhalte über verschiedene Websites hinweg basierend auf einem Profil und der Nutzungshistorie personalisiert auszuspielen.

Externe Inhalte: Zur Ergänzung unserer redaktionellen Texte, nutzen wir in unseren Angeboten externe Inhalte und Dienste Dritter („Embeds“) wie interaktive Grafiken, Videos oder Podcasts. Die Anbieter, von denen wir diese externen Inhalten und Dienste beziehen, können ggf. Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten.

Verarbeitungszwecke: Personalisierte Werbung mit Profilbildung, externe Inhalte anzeigen, Optimierung des Angebots (Nutzungsanalyse, Marktforschung, A/B-Testing, Inhaltsempfehlungen), technisch erforderliche Cookies oder vergleichbare Technologien. Die Verarbeitungszwecke für unsere Partner sind insbesondere:
Informationen auf einem Gerät speichern und/oder abrufen

Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Gerätekennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.

Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen

Anzeigen und Inhalte können basierend auf einem Profil personalisiert werden. Es können mehr Daten hinzugefügt werden, um Anzeigen und Inhalte besser zu personalisieren. Die Performance von Anzeigen und Inhalten kann gemessen werden. Erkenntnisse über Zielgruppen, die die Anzeigen und Inhalte betrachtet haben, können abgeleitet werden. Daten können verwendet werden, um Benutzerfreundlichkeit, Systeme und Software aufzubauen oder zu verbessern.

▌▉▍▉▉▍▉▌▌▉▍▉▌ ▉▌▌▉▍▉▌▌▉▍▉▍▉▍ ;▌▉▍▉▉▍▉▌▌▉▍▉▌
Newsticker
Gefahr durch weggeschwemmte Minen nach Staudamm-Vorfall
  1. Startseite
  2. Bayern

  3. Phishing: Lernplattform Mebis: So halfen Hacker, Sicherheitslücken zu schließen

Phishing
23.08.2020

Lernplattform Mebis: So halfen Hacker, Sicherheitslücken zu schließen

Eine Gruppe von Hackern aus Nürnberg hat die bayerische Staatsregierung auf Sicherheitslücken ihrer Lernplattform Mebis aufmerksam gemacht.
Eine Gruppe von Hackern aus Nürnberg hat die bayerische Staatsregierung auf Sicherheitslücken ihrer Lernplattform Mebis aufmerksam gemacht.
Foto: Nicolas Armer, dpa (Symbolbild)
VonJonathan Lindenmaier

Hacker haben die Staatsregierung auf Sicherheitslücken der Plattform Mebis aufmerksam gemacht. Der Fall zeigt, wie Hacker helfen können, das Internet sicherer zu machen.

Stellen Sie sich vor, ein Dieb gibt sich als alter Bekannter aus und fragt Sie nach Geld oder Ihrem Hausschlüssel. Das geschieht zwar, ist aber doch häufig leicht zu durchschauen. Online geschieht das häufig subtiler. Eine Internetseite könnte seriös daherkommen, zum Beispiel als Seite der bayerischen Regierung. Die Nutzer schöpfen keinen Verdacht, während ihre Passwörter an die Server von Kriminellen abgesaugt werden. Phishing heißt diese Methode.

Eine Gruppe von Hackern aus Nürnberg mit dem Namen "0x90.space" hat eine Lücke bei einer Lernplattform des Kultusministeriums entdeckt, die eben das ermöglicht. Verbrecher hätten den Code der Website entsprechend ändern können, um Passwörter zu klauen. Weil die Nürnberger Hackergruppe auf den Fehler aufmerksam gemacht hat, konnten die Lücken geschlossen werden. Das zeigt, wie wohlmeinende Hacker vorgehen, um das Internet ein bisschen sicherer zu machen.

Sicherheitslücken bei Lernplattform Mebis: Etwa eine Million Nutzer betroffen

"0x90.space" ist so eine Gruppe wohlmeinender Hacker. Sie geben zum Beispiel Workshops zu Themen der IT-Sicherheit. Den Fehler bei Mebis hat Martin Rey entdeckt. „Ich bin Azubi an der Berufsschule, dementsprechend verwenden wir auch dort Mebis. Und da bin ich zufällig auf die Sicherheitslücke gestoßen“, sagt er. Die Lernplattform Mebis des Bayerischen Kultusministeriums steht allen Schulen im Freistaat zur Online-Lehre und für den Austausch von Lehrern und Schülern zur Verfügung. Die Plattform hat nach eigenen Angaben eine Million Nutzer an rund 5500 Schulen.

Nachdem Rey erste Sicherheitsmängel aufgefallen waren, hat er zunächst andere Mitglieder der Gruppe informiert. „Dann haben wir weiter geschaut und haben noch ein paar Sachen mehr gefunden. Letztendlich habe ich den ersten Teil gesehen und dann wurde im Team gemeinsam nochmal weitergeschaut." Statt diese Lücken auszunutzen, machen sie darauf aufmerksam.

So halfen die Hacker, Sicherheitslücken bei Mebis zu schließen

So ist die Gruppe dabei vorgegangen:

20. Mai: Martin Rey und "0x90.space" melden die Lücken dem Mebis-Support. „Es ist üblich, wenn man Sicherheitslücken findet, dass man sie den Betreibern meldet“, sagt Rey. Die Gruppe handelt dabei nach dem Prinzip der „Responsible Disclosure“. Das besagt, dass man erst das Unternehmen privat kontaktiert und auf die Lücken aufmerksam macht. Die Hacker setzen dann eine Frist, in der das Problem behoben werden sollte. „Und wenn die Lücke geschlossen oder die Frist abgelaufen ist, veröffentlicht man einen Bericht dazu. Um die Öffentlichkeit zu informieren und Transparenz zu schaffen.“ In diesem Fall haben die Hacker eine Frist von 90 Tagen angesetzt. Da in der Corona-Krise viele Schulen auf Mebis setzten, sei es zeitlich besonders kritisch gewesen.

19. August: Die Frist von drei Monaten läuft ab. In der Zwischenzeit hat "0x90.space" das Ministerium und den Metis-Support auf das Ablaufen der Frist aufmerksam gemacht. Die Fehler wurden nicht behoben. "0x90.space" veröffentlicht einen entsprechenden Bericht über die Lücken auf ihrer Seite.

20. August: Der bayerische Landesbeauftragte für Datenschutz bestätigt grundsätzlich die Sicherheitslücken und setzt sich mit den verantwortlichen Stellen umgehend in Verbindung.

21. August: Ein erster Pressebericht taucht auf. Etwa zwei Stunden später wird der erste Fehler behoben.

Hacker Martin Rey sagt: „Wenn der mediale Druck sich langsam aufbaut und die Leute drüber reden, dann gibt es auch einen gewissen Druck, das zu reparieren.“ Der Bayerische Landesbeauftragte für den Datenschutz meldet der Gruppe, dass die XSS-Lücke geschlossen wurde. In den folgenden Tagen werden weitere Mängel behoben.

Inzwischen sind die Lücken, die "0x90.space" entdeckt hat, geschlossen. Dass das erst auf öffentlichen Druck hin passiert ist und nicht auf die erste Meldung der Hacker, stört die Gruppe. Martin Rey ist aber auch froh, dass die Verantwortlichen auf den Ratschlag eingegangen sind: „Ich bin dankbar, dass sie das so offen angenommen haben und akzeptiert haben, dass wir das aus gutem Willen gemacht haben. Das ist nicht selbstverständlich.“

Lesen Sie dazu auch:

Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.

Wir benötigen Ihre Einwilligung, um die Umfrage von Civey anzuzeigen

Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Civey GmbH Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten. Die Einwilligung kann jederzeit von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung

Wir benötigen Ihre Einwilligung, um die Karte von Google Maps anzuzeigen

Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Google Ireland Limited Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten, auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz Niveau, worin Sie ausdrücklich einwilligen. Die Einwilligung gilt für Ihren aktuellen Seitenbesuch, kann aber bereits währenddessen von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung

Themen folgen

Die Diskussion ist geschlossen.