Sicherheitslücke: AD-Instanz von NRWs Schulministerium ungesichert im Netz

Im Zuge der Untersuchung der Technikprobleme beim Abitur in NRW fanden Hacker auch einen ungeschützten Server mit Tausenden Nutzerdaten.

Artikel veröffentlicht am ,
Ungeschützter Zugang in NRW
Ungeschützter Zugang in NRW (Bild: Kno-Biesdorf/Wikimedia/CC-BY-SA 4.0)

Auf einem Testserver der Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW (QUA-LiS NRW) ist in der vergangenen Woche im Zuge der Untersuchungen der technischen Probleme rund um das Zentralabitur auch eine komplett ungeschützte Active-Directory-Instanz gefunden worden. Das Schulministerium NRW bestätigt prinzipiell die Lücke, nennt dazu aber keine weiteren technischen Details.

Entdeckt wurde der ungeschützte Server mit wohl Tausenden Nutzerdaten durch die Hacker Lilith Wittmann und Fluepke. Bei einigen der so auffindbaren Zugangsdaten wäre demnach auch eine Account-Übernahme möglich gewesen, da die Domains der genutzten E-Mail-Adressen teils nicht mehr registriert waren.

Zur Funktion des Servers schreibt das Ministerium: "Hier haben Schulen über einen Testserver ganzjährig die Möglichkeit, Downloadfunktionalitäten auszuprobieren, um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen. Die Lehrkräfte können jederzeit darauf zugreifen. Zu diesem Zweck erhalten die Nutzerinnen und Nutzer gleichlautende Nutzernamen und Passwort."

Laut den Angaben von Wittmann und Fluepke waren auf dem ungeschützten Server mehr als 16.000 Datensätze aus E-Mails, Nutzernamen und teilweise der genauen Berufsbezeichnung einsehbar. Das Schulministerium selbst spricht jedoch nur von 500 Nutzerdaten. Wittmann zeigte auf Twitter einen Screenshot der Software PHP LDAP Admin, die auf dem besagten Testserver lief. Fluepke schrieb dazu: "Nur weil euch euer Phpldapadmin nur 500 Accounts anzeigt, heißt das nicht, dass da nur 500 Accounts betroffen sind." Server wie Openldap haben für die Rückgabe auf LDAP-Suchanfragen ein standardmäßiges Limit von 500 Einträgen.

Auf Twitter heißt es weiter, Fluepke habe dem Certbund insgesamt 3.765 Datensätze gemeldet, die frei zugänglich gewesen seien. In einer der Gruppen seien aber 16.557 Mitglieder eingetragen gewesen. Das Schulministerium schreibt stattdessen wohl verfälschend, dass die Lücke "durch für IT-Sicherheit zuständige Behörden" entdeckt worden sei. Einig sind sich Fluepke und Schulministerium allerdings darin, dass trotz der ungeschützten Daten im Netz die sichere Durchführung des Abiturs nicht gefährdet gewesen sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Downloadprobleme
Serverüberlastung führte zu Abi-Chaos in NRW
artikel-bild
Security
Das Wasserwerk, das wohl doch nicht gehackt wurde
artikel-bild
iCloud
Forscher entdecken 55 Sicherheitslücken bei Apple
Meistgelesen
artikel-bild
US Air Force
KI-Drohne bringt in Gedankenexperiment Befehlshaber um
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
artikel-bild
Forschung oder Ölbohrung?
China gräbt ein zehn Kilometer tiefes Loch
Kommentarübersicht
Re: Ich hoffe es wird Konsequenzen geben, ganz oben
complex-quantity 26. Apr 2023 / Themenstart

Aber man könnte doch einfach sagen der Politiker muss die Ausbildung zur Rolle haben, wie...

Werden da nicht langsam Teer + Federn knapp in NRW?
Flexy 25. Apr 2023 / Themenstart

Oder was machen die sonst mit den Admins, welche die ganzen gewaltigen Patzer zu...

Re: Immer wieder NRW
bitproject 25. Apr 2023 / Themenstart

Ich glaube nicht, dass es nur am Fachkräftemangel oder der vermeintlich schlechten...

Re: Vermutlich wieder ein Lehrer
0815Fred 25. Apr 2023 / Themenstart

Das habe ich nie behauptet.

Kommentieren

Aktuell auf der Startseite von Golem.de
Forschung
Erstes Röntgenbild von einem einzelnen Atom

Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

Forschung: Erstes Röntgenbild von einem einzelnen Atom
Artikel
  1. US Air Force: KI-Drohne bringt in Gedankenexperiment Befehlshaber um
    US Air Force  
    KI-Drohne bringt in Gedankenexperiment Befehlshaber um

    Die US Air Force und der verantwortliche Offizier stellen klar, dass es sich nur um ein Gedankenspiel handelt - und keinen echten Test.

  2. Streaming: Verbraucherschützer warnen vor Netflix-Phishing
    Streaming
    Verbraucherschützer warnen vor Netflix-Phishing

    Phishing-Nachrichten im Namen von Netflix sind nichts Neues - in der aktuellen Verwirrung rund um das Kontensharing könnten sie aber einfacher verfangen.

  3. Forschung oder Ölbohrung?: China gräbt ein zehn Kilometer tiefes Loch
    Forschung oder Ölbohrung?
    China gräbt ein zehn Kilometer tiefes Loch

    Die Bohrung im Westen Chinas soll dazu dienen, mehr über das Innere des Planeten herauszufinden - oder doch dazu, um nach Öl zu suchen?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Tiefstpreise: AMD Ryzen 9 7900X3D 534€, KFA2 RTX 3060 Ti 329,99€, Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Days of Play: PS5-Spiele & Zubehör bis -70% • Roccat PC-Zubehör bis -50% • AVM Modems & Repeater bis -36% • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /