Kritische Sicherheitslücke bei der Berner Fachhochschule
Ein Fehler im CMS Typo3 hat bis gestern Abend den Zugriff auf die Datenbank der Website der Berner Fachhochschule für Agrar-, Forst- und Lebensmittelwissenschaften ermöglicht.
Die Website der Berner Fachhochschule für Agrar-, Forst- und Lebensmittelwissenschaften (HAFL) ist offenbar von einer kritischen Sicherheitslücke betroffen. Wie der IT- und Tech-Kanal Gulli.com berichtet, sei es bis gestern möglich gewesen, über einen Fehler die Konfiguration des CMS Typo3 auszulesen.
Fehler ermöglicht Zugriff auf unterschiedliche Daten
Durch diesen Fehler sei auch der Zugriff auf die dahinter liegende Datenbank möglich. Die Daten beinhalten laut einem IT-Sicherheitsberater von Unnex.de Konfigurationsdateien, Keys, das Datenbank-Login und mehr. Cyberkriminelle könnten diesen Fehler ausnutzen, um dem System erheblichen Schaden zuzufügen.
Gulli behauptet, die Betreiber der Website kontaktiert aber keine Reaktion erhalten zu haben. Eine Nachfrage der Redaktion bei der Berner Fachhochschule ergab, dass weder die Leitung Kommunikation noch die IT einen entsprechenden Hinweis erhalten haben. Lars Sobiraj von Gulli.com sagte auf Nachfrage, die Kontaktaufnahme sei über die reguläre E-Mail-Adresse erfolgt, die im Impressum der Website stehe.
Website vom Netz genommen
Die Website www.shl.bfh.ch ist mittlerweile vom Netz genommen worden, die Sicherheitslücke wird laut Auskunft zurzeit behoben. Bis zum jetzigen Zeitpunkt stehen genauere Informationen, wie es zu dieser Sicherheitslücke kommen konnte, noch aus.
Update 15.30 Uhr:
Am späten Nachmittag gab Gaby Allheilig von der Berner Fachhochschule genauere Auskünfte über die Sicherheitslücke. Gemäss den Angaben sei die Lücke entstanden, weil auf der HAFL-Website eine veraltete Version von Typo3 im Einsatz war. Das Update auf die aktuelle Version sei aber bereits geplant gewesen. In Zukunft plane man zudem, Updates für Applikationen schneller nach deren Erscheinen einzuspielen.
In der schriftlichen Antwort wird betont, dass die Berner Fachhochschule eine Vielzahl von Systemen betreibe, "die mit dem Internet verbunden und daher auch den entsprechenden Risiken ausgesetzt sind. Die BFH nimmt diese Gefahren ernst und hat deshalb seit einigen Monaten auch die Stelle eines IT-Sicherheitsbeauftragten geschaffen, welche sich mit diesen Themen und den notwendigen Massnahmen befasst."
Frau Allheilig gab auch bekannt, dass die Nachricht von Gulli.com angekommen sei. Die Mail sei aber nicht bearbeitet worden. Man habe notwendige Massnahmen aber bereits eine Stunde nach Publikation des fraglichen Artikels eingeleitet.