Cyber-Security
Viele Hochschul-Websites nicht sicher
Zahlreiche Websites von Hochschulen sind nicht ausreichend gesichert. Daten von Nutzern werden an Drittanbieter weitergegeben oder können von Angreifern leicht abgegriffen werden. Das hat eine Analyse von Informatikern um Professor Dr. Dominik Herrmann von der Universität Bamberg ergeben.
426 Startseiten haben sie im Herbst 2017 in ihren Datensatz aufgenommen. Damit haben sie fast alle der 428 Hochschulen im Studienjahr 2017/18 abgedeckt. Zur Grundlage haben die Wissenschaftler die Wikipedia-Einträge der Hochschulen gelegt. Anhand des Open-Source-Tools "PrivacyScore" haben sie unter anderem untersucht, ob Daten bei der Übertragung zum Webserver nach dem neusten Stand der Technik geschützt werden, ob die Websites Tracking-Dienste von Drittanbietern nutzen und, ob es Datensätze gibt, die versehentlich offen zugänglich sind.
Auf der Mehrzahl der Websites gab es zum Untersuchungszeitpunkt Schwachstellen. 64 Prozent der Startseiten waren zum Beispiel nicht durch eine https-Verbindung oder "Transport Layer Security" (TLS) verschlüsselt. 67 Prozent der Hochschulen banden Tracking-Dienste von Drittanbietern mit Sitz außerhalb der EU ein – auch dies eine Schwachstelle laut der Definition der Informatiker. Informationslecks fanden die Informatiker auf vier Prozent der untersuchten Seiten.
Private Hochschulen binden fast immer Tracking-Dienste ein
Dabei gab es teils deutliche Unterschiede zwischen den Hochschulen, je nach Träger und Standort. Bei der Verschlüsselung schnitten die staatlichen Hochschulen besonders schlecht ab. 67 Prozent von ihnen boten keine https-Verbindung an oder waren fehlerhaft konfiguriert. Bei den konfessionellen Hochschulen sah es ähnlich aus (65 Prozent). Die privaten Hochschulen schnitten mit einem fehlerhaften Anteil von 55 Prozent etwas besser ab.
Negativ stachen im regionalen Vergleich vor allem die Bundesländer Mecklenburg-Vorpommern (100 Prozent), Saarland (83 Prozent) und Sachsen (75 Prozent) hervor. Vergleichsweise gut sah es in Niedersachsen (43 Prozent), Rheinland-Pfalz (58 Prozent) und Hessen (59 Prozent) aus.
Mit Blick auf die Einbindung von Tracking-Diensten schnitten vor allem die privaten Hochschulen schlecht ab. Nur drei Prozent von Ihnen erzielten ein gutes Ergebnis, das heißt, dass sie keine Angebote von Drittanbietern mit Sitz außerhalb der EU nutzten. Bei den staatlichen Hochschulen traf dies auf 48 Prozent der Hochschulen zu. "Da das Studium an privaten Hochschulen im Unterschied zu den meisten staatlichen Hochschulen in der Regel bezahlt werden muss, sind die Studierenden nichts anderes als 'Kunden'", begründet Informatiker Herrmann das Ergebnis. "Vermutlich wollen die privaten Hochschulen einfach wissen, wer ihre Webseite findet und wie sie besucht werden. Sie binden Tracking-Drittanbieter ein, um in Zukunft zielgerichtetere Werbung schalten zu können."
Seitenübergreifendes Tracking und Werbung durch Drittanbieter beurteilt er als grundsätzlich problematisch. "Die einzige akzeptable Form von Tracking besteht darin, die Trackinglösung selbst zu betreiben und auf Drittanbieter zu verzichten", so Herrmann. Eine häufig verwendete Lösung sei die Software "Matomo", bis vor kurzem bekannt als "Piwik". Die Einbindung solcher Tools ist für die Website-Betreiber aufwendiger.
Besonders heikel sei, dass 38 Prozent der Hochschulen das Tracking Tool Google Analytics einsetzten, ohne die IP-Adressen zu anonymisieren. Häufig sei so etwas mit Unkenntnis zu erklären, für den Schutz der Nutzerdaten aber auf jeden Fall zu vermeiden.
Tracking-Dienste – die rechtliche Perspektive
"Die Einbindung von Tracking-Diensten von Drittanbietern ist unter der Voraussetzung, dass die datenschutzrechtlichen Vorgaben eingehalten werden, erlaubt. Die Voraussetzungen, welche einzuhalten sind, hängen vom jeweiligen Einzelfall und auch vom Zweck der Datenerhebung ab.
Eine Voraussetzung für die rechtskonforme Datenerhebung ist beispielsweise, dass Internetseitenbesucher bei ihrem Besuch einer Internetseite unter anderem darüber informiert werden, welche personenbezogenen Daten – auch durch Tracking-Dienste – zu welchem Zweck erhoben werden. In der Datenschutzerklärung können Nutzer in der Regel auch nachlesen, wie sie eine Datenerhebung verhindern können.
Nach dem geltenden Datenschutzrecht dürfen Nutzerdaten nicht ohne weiteres in Drittstaaten gespeichert werden. Werden personenbezogene Daten durch einen Tracking-Dienst erhoben, der seinen Sitz außerhalb der EU hat, so ist eine Datenweiterleitung nur erlaubt, wenn sichergestellt ist, dass das datenschutzrechtliche Sicherheitsniveau dem der EU entspricht."
– Franziska Oster, Rechtsanwältin
Die Forscher haben auch die E-Mail-Verschlüsselung untersucht. Dabei schnitten die Hochschulen deutlich besser ab. Mängel gab es bei elf Prozent der staatlichen und jeweils sechs Prozent der privaten und konfessionellen Hochschulen.
Betroffene Hochschulen wurden informiert
Die Ergebnisse würden Hochschulen wichtige Anhaltspunkte für die Verbesserung ihrer Websites liefern, sagt Herrmann. Er betont jedoch auch die Schwachstellen der Studie: "Wir haben nur Startseiten untersucht. Diese dienen meist als Einstieg in die Website und nicht der Erfassung sensibler Daten", sagt der Informatiker. Doch selbst, wenn Unterseiten wie ein Log-in-Bereich sicherer programmiert seien, sei dies ein Problem. "Angreifer können sich unter Umständen über die Startseite einklinken und einen Nutzer über die Seite hinweg verfolgen."
Wie bei allen Analysen über das Tool "PrivacyScore" sind die Ergebnisse der Studie öffentlich einsehbar. Jeder Internetnutzer kann laufend einen neuen Analyse-Durchgang starten. Das bedeutet, dass registriert wird, wenn Hochschulen ihre Sicherheitslücken aufarbeiten. "Wir haben die Hochschulen über die Ergebnisse unserer Auswertung informiert und viele haben die Sicherheit ihrer Websites auch bereits angepasst", sagt Herrmann.
Seinem Team gehe es – wie den meisten Nutzern von "PrivacyScore" – nicht darum, Geld aus ihren Erkenntnissen zu machen. Sie verfolgten ein öffentliches Interesse: Sie könnten herausfinden, wie das Bundesamt für Sicherheit in der Informationstechnik Menschen am besten kontaktieren könne, damit sie den Hinweis auf Sicherheitslücken im Netz ernst nähmen.
Wichtig sei dies zum Beispiel, wenn es zu schwerwiegenden bundesweiten Cyber-Angriffen käme. "Es war interessant zu sehen, dass viele angeschriebene Hochschulen zunächst skeptisch waren und vor allem bei der Kontaktaufnahme per E-Mail vermutet haben, dass es sich um Spam handele", so der Informatiker. Negativ aufgefallen sei den Forschern, dass bei den meisten Hochschulen kein Ansprechpartner genannt werde, den man für Sicherheitswarnungen kontaktieren könne.
Mit der Veröffentlichung der Ergebnisse seien sie auf der rechtlich sicheren Seite, da sie ausschließlich auf öffentlich zugängliche Informationen zurückgegriffen hätten. Dennoch konnten Hochschulen eine Veröffentlichung ablehnen. Sie wurden dann am Ende des Rankings abgebildet, was auf eigentlich recht sichere Websites auf den ersten Blick natürlich erst mal ein negatives Bild werfen könnte. Einige Hochschulen hätten die Forscher auch geblockt.
Herrmann hat bereits verschiedene Studien mit "PrivacyScore" gemacht, darunter auch die Analyse der Sicherheit von Online-Apotheken, die im Mai für öffentliches Aufsehen gesorgt hatte. Von "PrivacyScore" ist er von seinen Auswertungen überzeugt – auch wenn das Tool noch laufend verbessert werde und einzelne Messfehler des Algorithmus nicht ausgeschlossen werden könnten. "Wir können aber definitiv sagen, dass es so genau arbeitet, dass die festgestellten Trends stimmen."
Einige Hochschulen hätten das Tool nach der Studie eingesetzt, um ihre Website auf andere Aspekte hin zu untersuchen. "PrivacyScore hat den Vorteil, dass es auf Knopfdruck eine Vielzahl von gängigen Fehlern und Versäumnissen überprüft." Darüber kann man als Seitenbetreiber leicht herausfinden, wie viel man im Vergleich zu anderen Webseiten noch aufholen muss. Könnten sich Hochschulen den Aufwand leisten, sei es jedoch am besten, wenn ihr Rechenzentrum eigene Tools programmiere um ihre Website auf Schwachstellen zu prüfen.
