15°

Samstag, 24.10.2020

|

zum Thema

Schulplattform Mebis: Nürnberger Hacker finden mehrere Sicherheitslücken

Der Verein informierte das Ministerium bereits - 21.08.2020 13:52 Uhr

In der zugangsgeschützten Mediathek sind etwa 60.000 digitale Bildungsmedien zu finden.

© Armin Weigel/dpa


Mehr als eine Million User hat Mebis bereits: Die Plattform, die bayerischen Schülern und Lehrern seit 2017 das Lernen erleichtern soll, wird viel genutzt. Gerade in der Corona-Krise ist sie ein wichtiger Baustein des Schulalltags geworden. Lehrkräfte können mit der Software Unterrichtsmaterialien hinterlegen, Lernaufgaben austauschen und Schülern Feedback geben.

Doch ganz so sorglos sollten Nutzer das Internetportal offenbar doch nicht verwenden. Der Nürnberger Hacker-Verein 0x90.space e.V., der sich unter anderem für Datenschutz, freie Software und ein offenes Internet einsetzt, hat nun gleich mehrere Sicherheitslücken detektiert, die für Anwender gefährlich werden können.

Die schwerwiegendste ist dabei eine Cross-Site-Scripting-Lücke, durch die es Angreifern möglich ist, eine gefälschte Website unter einer Subdomain der bayerischen Staatsregierung an ihre Opfer zu verschicken und damit Accountdaten zu stehlen oder schädliche Software auf dem Computer zu verteilen. Diese Lücke ist laut Martin Rey vom Nürnberger Hackerspace 0x90.space e.V. seit dem 21. August behoben.


Corona-Krise: Lernplattform Mebis von Hackern lahmgelegt


Weiterhin besteht allerdings das Problem, dass Hacker relativ problemlos Datenbank-Einträge verändern können, die eigentlich nicht zur Änderung durch Nutzer vorgesehen sind. Über sogenannte "offene Weiterleitungen" können Links erstellt werden, die dann auf eine beliebige Website weiterleiten und so ebenfalls Potenzial für Phising- oder Malware-Attacken bieten.

Bis jetzt wurde noch nicht reagiert

Warum diese Sicherheitslücken auch Mitte August noch weiter bestehen, kann sich Rey nicht erklären. Bereits Mitte Mai setzte der Informatiker die Entwickler der Plattform über die gefundenen Probleme in Kenntnis, informierte später auch den bayerischen Landesbeauftragten für Datenschutz, Thomas Petri.

Bilderstrecke zum Thema

Liken, Tweeten und Gruscheln: Die Geschichte von Social Media

Vor zwanzig Jahren startete nicht nur nordbayern.de im Netz durch, sondern auch die Stunde der ersten sozialen Netzwerke schlug. Wir werfen einen Blick zurück und verraten, welche Dienste heute noch angesagt sind - und welche nicht.


Eine 90-tägige Frist zur Behebung der Probleme verstrich, deshalb wendet sich der Verein nun an die Öffentlichkeit. "Ich kann nicht wirklich verstehen, warum bis jetzt nicht gehandelt wurde", sagt Rey. Technisch sei eine Behebung der Probleme nicht allzu kompliziert. "Ich habe bereits einmal ein Unternehmen über eine Cross-Site-Scripting-Lücke auf ihrer Seite informiert, innerhalb weniger Tage war die Sache behoben", erklärt er.

Probleme sollen schon behoben sein

Nach Angaben des bayerischen Kultusministeriums habe man die in Rede stehenden Sicherheitslücken allerdings bereits behoben. "Nach Eingang der Hinweise hat das Staatsinstitut für Schulqualität und Bildungsforschung (ISB) die Fehler analysiert und die notwendigen Softwareanpassungen in die Wege geleitet." Ein IT-Dienstleister habe eine korrigierte Software entwickelt und installiert. Zudem würden routinemäßig Tests zur Qualitätssicherung durchgeführt.

Es gebe außerdem keine Hinweise darauf, dass die Sicherheitslücken genutzt wurden.Die Verbesserungsvorschläge von 0x90.space nehme man gerne an: "Das (ISB) arbeitet kontinuierlich daran, für alle Teilangebote von mebis auch hinsichtlich Datensicherheit und Datenschutz stets höchste Standards zu erfüllen, um der Schulgemeinschaft stets ein verlässliches und attraktives Angebot bereitstellen zu können. Daher sind auch Hinweise, wie die der Hacker-Gruppe '0x90.space', sehr willkommen."

Dass alle Lücken behoben sind, kann Rey hingegen nicht bestätigen. Das Open Redirect, also eine Weiterleitung von Logout-Seiten auf eine beliebige externe URL, ist auch am frühen Freitagabend noch möglich gewesen. So können User zu einer fremden Malware- oder Phishing-Seite umgeleitet werden, wie der ox90.space auf seinem Blog mitteilt.

Dieser Artikel wurde mehrfach aktualisiert, zuletzt um 17.06 Uhr.

Seite drucken

Seite versenden



Um selbst einen Kommentar abgeben oder empfehlen zu können, müssen Sie sich einloggen oder sich zuvor registrieren

Ihr Kommentar

Ihr Kommentar:

Bitte beachten Sie unsere Netiquette.

weitere Meldungen aus dem Ressort: Politik