Nach der Entdeckung einer Sicherheitslücke in HISinOne und QIS Anfang März 2020 zeigte sich, wie effizient das HIS-Sicherheitsteam arbeitet: Noch am selben Tag wurde ein Workaround präsentiert und innerhalb kürzester Zeit ein Hotfix zur Verfügung gestellt.
„Am Freitag, den 6. März wurde uns durch einen Administrator einer Hochschule eine ernste Sicherheitslücke in den von HIS entwickelten Softwareprodukten HISinOne und QIS gemeldet“, berichtet Dr. Sven Gutow, Direktor Customer Relationship Management. „Durch eine fehlerhafte Implementierung bei einer Abfragefunktion war es möglich, unautorisiert Kenntnis über personengebundene Daten zu erlangen. Möglich gewesen wäre ein Zugriff auf persönliche Daten wie Adress- und Geburtsdaten, Matrikelnummer sowie letztes Rückmeldesemester und letzter Rückmeldestatus von Studierenden. Nicht betroffen waren Leistungsdaten sowie Daten zum Studienverlauf. Unser Sicherheitsteam konnte den von der Hochschule gemeldeten Fehler sofort nachstellen und identifizieren. Noch am selben Tag haben wir die Hochschulen über einen Workaround informiert.“
Im nächsten Schritt erfolgten eine detaillierte Sicherheitsprüfung und die Behebung des Fehlers im Quellcode. Fristgerecht erfolgte parallel die Meldung über diesen Zwischenfall an unsere zuständige Datenschutzbehörde. Bereits am Montagmorgen, 9. März 2020, konnte das HIS-Team den Hochschulen einen Sicherheitshotfix zur Verfügung stellen, mit dem der unbefugte Abruf von Daten verhindert wird.
Die Analysen zeigten, dass trotz regelmäßiger intensiver und extern begleiteter Qualitätssicherung der fehlerhafte Quellcode bereits seit Juni 2011 im betroffenen Softwaremodul enthalten war, jedoch jetzt erst entdeckt wurde. „Wir gehen davon aus, dass die Sicherheitslücke vorher nicht bekannt war, da weder wir noch die Hochschulen bisher Anhaltspunkte dafür hatten“, berichtet Dr. Sven Gutow. „Wir bedauern diesen Vorfall, der trotz unserer hohen Qualitätsansprüche bei der Entwicklung unserer Software zu einer Gefährdung des Schutzes personengebundener Daten geführt hat und an den Hochschulen einen zusätzlichen Aufwand generiert hat. Wir möchten diesen Anlass auch nutzen, unsere dringenden Empfehlungen an die Hochschulen zu wiederholen, den Hotfix zu installieren, die Mitteilungen über unsere Mailinglisten regelmäßig zu verfolgen und die entsprechende Wiki-Seite auf „beobachten“ zu setzen.“
Der Hotfix kann über die Known Issues Database (KIDB) von HIS heruntergeladen werden:
wiki.his.de/mediawiki/index.php/KIDB_Home.