188244

Datenbank-Einbruch: Daten von über 800.000 Personen gefährdet

13.12.2006 | 13:16 Uhr |

Die Virginia Commonwealth University in Richmond verschickte unbeabsichtigt personenbezogene Daten von 561 Studenten als Anhänge in einer Mail an 195 Studenten, als sie diese über Stipendien informieren wollte. Eine weitere Universität, die kürzlich durch einen größeren Sicherheitslapsus in die Medien geriet, ist die Ohio University: Sie musste in diesem Jahr fünf Sicherheitsprobleme kundtun, bei einem davon wurden die Daten von etwa 137.000 Personen kompromittiert. Ein Sicherheitsverstoß noch größeren Ausmaßes ist nun bei der UCLA bekannt geworden.

Die University of California, Los Angeles , hat am Dienstag damit begonnen, mehr als 800.000 Personen darüber zu unterrichten, dass personenbezogene Daten durch einen Datenbank-Einbruch kompromittiert worden sein könnten. Der Sicherheitsverstoß blieb über ein Jahr unbemerkt.

Laut einem Bericht der Universität , nutzten Eindringlinge eine bislang "nicht entdeckte Schwachstelle" in einer der hunderten von der Uni zur Verfügung gestellten Appikationen. Dadurch versuchten sie sich Zugang zu einer Datenbank zu verschaffen, die nur einer begrenzten Nutzergruppe zugänglich war.

Entdeckt wurde die Aktivitäten im November diesen Jahres, als ein Sicherheitsexperte der Uni eine "ungewöhnlich hohe Anzahl an verdächtigen Datenbank-Abfragen" bemerkte. Eine sofort durchgeführte Untersuchung förderte zu Tage, dass die Zugriffsversuche seit Oktober 2005 erfolgten und dass die Cracker es speziell auf Sozialversichungsnummern abgesehen hatten, so Jim Davis, CIO der Universität. Das FBI wurde bereits über den Vorfall informiert.

Die Datenbank enthielt Namen, Sozialversichungsnummern, Geburtsdaten und Adressen von derzeitigen und ehemaligen Fakultätsmitgliedern, Angestellten, Studenten und in, einigen Fällen, von Eltern von Studenten der Universität. Obwohl die Cracker in den Besitz der persönlichen Daten einiger Personen gekommen sein könnten, gibt es bislang aber keine Hinweise darauf, dass die Daten missbraucht wurden, so der derzeitige Kanzler der Uni, Norman Abrams.

"Wir bedauern zutiefst die Besorgnis und Schwierigkeiten, die durch diese illegalen Aktivitäten entstanden sind", so Jim Davis. Seiner Aussage zufolge hat die Universität die Zeit seit der Entdeckung genutzt, um die Datenbank neu zu strukturieren. Er machte keine Angaben darüber, welche Maßnahmen ergriffen wurden, um dem Problem Herr zu werden.

Dass der Einbruch für mehr als ein Jahr unentdeckt blieb, ist beunruhigend aber nicht völlig überraschend, gerade im Umfeld einer Uni, so die Einschätzung von Andrew Jaquith, einem Analysten bei der Yankee Group Research Inc . Seiner Aussage zufolge ist die weit verbreitete Fehlannahme, dass die Überwachung und Prüfung von Datenbanken auf Sicherheitsschwachstellen eine Performance-Strafe mit sich bringt, dafür verantwortlich. In der Folge würden viele Organisationen Datenbanken nicht richtig überwachen und Schwachstellen verpassen. Ich glaube nicht, dass das Argument "Performance" von Bedeutung ist, aber es ist ein Argument, das Personen oft anführen, um ihre Entscheidung zu rechtfertigen, Datenbank-Aktivitäten nicht zu überwachen, so Jaquith.

Ein weiteres Problem im Hinblick auf die Prüfung von Datenbank-Aktivitäten ist, dass unter Umständen riesige Mengen an zu überprüfenden Daten erzeugt werden, so Ron Ben-Natan, Chief Technology Officer bei Guardium, einem auf Sicherheitsprodukte für Datenbanken spezialisierten Hersteller. Viele blenden das große Bild aus und konzentrieren sich daher nur auf die Überwachung von ganz bestimmten Aktivitäten. Etwa rund um die Rechtevergabe/-verwaltung. Dadurch können andere potenzielle Sicherheitsverstöße übersehen werden.

0 Kommentare zu diesem Artikel
188244