Schwere Sicherheitslücke: 42.000 Postfächer der Uni Bonn ließen sich monatelang von außen übernehmen

"Hallo Tom, unser Film ist jetzt online", schreibt unser Video-Producer Axel im Februar an den Bonner Uni-Professor Tom McCann und schickt einen Link zu einem Dokumentarfilm mit, für den uns der Geologe ein Interview gegeben hat.

Ein Stockwerk tiefer schaut Munchies-Chefredakteur Philipp mit dem Website-Analysetool Chartbeat nach, wie viele Menschen gerade die Doku gucken und woher die Besucher unserer Seite kommen. Er sieht an diesem Dienstag: Die meisten Zuschauer finden den Film über Facebook, ein paar kommen von Twitter, ein paar von der Homepage. Und dann wird da noch eine Quelle angegeben: Ein Mailserver der Uni Bonn.

Doch als Philipp auf den Link klickt, sieht er viel mehr als bei den anderen Links, die anzeigen, woher die Nutzer kommen: Er landet nicht etwa auf Twitter, auf Facebook oder irgendwo auf der Website der Uni Bonn – sondern direkt im privaten E-Mail-Postfach von Tom McCann. Für Stunden hätte sich jeder dort umschauen können und genau herausfinden können, was der Professor für Sedimentologie gerade so vorhat. Mit nur einem Link kann jeder auf der Welt mitlesen, welche Noten er seinen Studenten gibt, wohin er reist, mit welchen Kollegen er sich gut oder schlecht versteht.

Beim Lesen privater Nachrichten bleibt es jedoch nicht: Ganz einfach hätte jeder auch E-Mails im Namen des Professors verfassen können. Wer vollen Zugriff auf ein E-Mail-Postfach hat, der besitzt eine Art Generalschlüssel für das digitale und oft auch analoge Leben. Mit dem Mail-Konto lassen sich nämlich auch alle Passwörter für andere Accounts wie Facebook ändern.

Als wir Tom McCann sofort danach über die Sicherheitslücke informieren und ihm als Beleg Screenshots mitschicken, reagiert er alarmiert. "Wie kann das denn passieren?", fragt er uns am Telefon. Schriftwechsel zwischen Kollegen oder innerhalb der Uni-Verwaltung seien schließlich oft nicht nur privat, sondern auch geheim, so der Dozent. Zwei Tage später, am 16. Februar, setzt er die IT-Abteilung der Hochschule in Kenntnis.

Die Kollegen sind geschockt, wie schnell und einfach Unberechtigte Zugang erhalten

Drei Monate später sprechen wir ein weiteres Mal mit Tom McCann. Doch als wir ihn bitten, nochmal auf den Link in der E-Mail zu klicken, ist die Lücke noch immer nicht geschlossen – und das, obwohl der Professor das Problem mittlerweile in mehreren Sitzungen öffentlich gemacht hat. Die Kollegen seien geschockt gewesen, erzählt er, "wie schnell und einfach jemand von außen Zugang zu unseren Mail-Konten kriegt. Wir bekommen alle E-Mails mit Links – regelmäßig – und von daher war es echt gefährlich für uns."

Wieder können wir über den Referrer-Link von mail.uni-bonn.de problemlos das Postfach eines Professors übernehmen. Weil wir testen wollen, ob die Lücke universitätsweit besteht, erzählen wir einem Professor aus der Abteilung Theoretische Physik von der Lücke und bitten ihn, zu überprüfen, ob sein Postfach auch betroffen ist. Doch er hat "überhaupt keine Lust", uns zu helfen, und befindet: "Das Gespräch mit Ihnen dauert mir schon viel zu lang". Stattdessen beordert er einen Kollegen, der IT-Abteilung zu schreiben und bekommt eine eher kleinlaute Antwort:

"Das ist leider wohl echt", räumt das Hochschulrechenzentrum der Uni Bonn in einer E-Mail ein. "Es gibt ein Problem", man habe es auch schon an den Anbieter CommuniGate gemeldet. "Leider haben wir aber keine grundsätzliche Lösung für unsere Situation erhalten. Wir suchen nach einem Workaround, dessen Folgewirkungen aber aktuell schwer absehbar sind."

CommuniGate ist der Anbieter, der die Webmail-Oberfläche für die 42.000 Mitarbeiter und Studenten der Universität zur Verfügung stellt. Die Firma widerspricht auf unsere Nachfrage der Darstellung der Uni Bonn. "In den vergangenen 14 Monaten haben wir keine Nachricht über diesen Fall von der Uni Bonn erhalten." Der technische Support wundert sich sehr über die Fahrlässigkeit der Lücke: "Das muss eine Fehlkonfiguration nach einem Update sein, sowas darf nicht passieren", schreibt der Analyst Dmitry Akindinov an Motherboard. "Es ist ein relativ leicht zu behebendes, aber sehr kritisches Problem."

Das Problem ist schwerwiegend – aber eigentlich leicht zu beheben

Die Wurzel dieses Problems liegt in den sogenannten Session-IDs, einer Kombination aus Zahlen und Buchstaben in den Referrer-Links der Uni Bonn. Die Session-ID wird bei jeder Anmeldung im Webmail-Postfach neu vergeben und erleichtert dem Inhaber des Postfachs die Arbeit mit E-Mails: Sie verhindert, dass in einer Sitzung nach der Anmeldung das Passwort ständig neu eingegeben werden muss. Aber das darf natürlich nur für den Rechner funktionieren, an dem der Besitzer des Postfachs gerade sitzt – und auch nur für kurze Zeit.

Dass die jeweilige Session-ID im Link steht, ist erstmal kein Problem. Normalerweise würde ein Nutzer ohne Zugangsberechtigung nur bis zum Login-Bildschirm der Webmail-Oberfläche kommen, wenn er auf einen solchen Link klickt, und nichts sehen können, was nicht für ihn bestimmt ist.

Falsch konfiguriert sind die Session-IDs allerdings eine Art temporärer Türöffner, der den Weg in die private Kommunikation jedes Studenten, jeder Professorin oder jedes Mitarbeiters sperrangelweit für Stunden offen lässt, ohne dass sich der Externe je anmelden müsste. So servierten die Referrer-Links der Uni Bonn jede Nachricht auf dem Präsentierteller – und führten Unberechtigte viel zu tief in die Mail-Systeme der Hochschule.

Diese Lücke auszunutzen, wäre fatal einfach gewesen. Man muss dazu kein Hacker sein, im Gegenteil: Technische Vorkenntnisse sind dazu nicht nötig, ein gewisses Interesse am Besucherverkehr auf der eigenen Website und ein Klick auf einen Link reicht. Solche Analysewerkzeuge, mit denen Seitenaufrufe gezählt und Ursprünge dieser Aufrufe nachverfolgt werden können, nutzen neben Redaktionen zum Beispiel auch Blogger.

Neben dem kostenpflichtigen Dienst Chartbeat, das Vice zur Analyse der Seitenbesuche benutzt, gibt es auch kostenfreie Lösungen, die diese sogenannten Referrer-Links in Echtzeit anzeigen. Das wohl bekannteste ist Google Analytics. Wer böse Absichten gehabt hätte, hätte sich also nur einen Blog einrichten, ihn mit einem Analysetool verknüpfen und dann eine Mail mit einem Link zum eigenen Blog verschicken müssen.

Die Lücke bestand mindestens drei Monate, vielleicht auch länger

CommuniGate ist deutschlandweit einer der größten Anbieter für E-Mail-Server für Unternehmen. Die Firma versorgt nicht nur die die Deutsche Bahn und Lufthansa Cargo mit E-Mail-Infrastruktur, sondern neben der Uni Bonn auch andere Hochschulen: Uni Kassel, Leuphana Lüneburg, Uni Stuttgart sowie die Universitäten Potsdam, Freiburg und Passau. Wir haben die Sicherheitslücke mit Angehörigen und Studenten der jeweiligen Universitäten überprüft; sie war jedoch an allen oben genannten Hochschulen geschlossen.

Erst nach mehreren Nachfragen beim Hochschulrechenzentrum der Uni Bonn ist der Fehler seit dem 26. April 2017 endlich repariert. Und tatsächlich: Als wir erneut versuchen, das Postfach zu kapern, kommen wir nicht mehr weiter. Doch ob wir die einzigen waren, die in den vergangen Monaten durch Zufall in privaten Mailboxen landeten, wissen wir nicht. Denn wie lange genau die Lücke bestand, ist unklar:

"Wir können leider nicht nachvollziehen, wie lange das Problem bestanden hat", schreibt Fabian Prante vom Hochschulrechenzentrum (HRZ) der Uni Bonn. "Ein reguläres Upgrade der Communigate-Version durch uns erfolgt circa zweimal pro Jahr. Daneben kann es kurzfristige Bugfixes geben, insbesondere wenn der Hersteller ein Sicherheitsupdate bereitstellt."

Die schwere Sicherheitslücke bestand für jeden, der eine Uni Bonn-Mailadresse (@uni-bonn.de) hat: Rund 42.000 Accounts waren wohl betroffen, teilte uns die IT-Abteilung der Uni Bonn auf Nachfrage mit. Die Mitarbeiter selbst wurden nicht über die Lücke informiert – aus Sicherheitsgründen, hieß es.