Schüler als Pentester

Schulische Netzwerke

An staatlichen Schulen in Bayern werden in der Regel zwei getrennte Netzwerke genutzt, die unterschiedlichen Verarbeitungszwecken dienen. Einerseits soll den Bildungseinrichtungen der Einsatz vielfältiger pädagogischer Methoden für den Unterricht ermöglicht werden – etwa um Inhalte zu teilen, Informationen aus dem Internet abzurufen oder auf interaktiven Tafeln im Klassenzimmer anzuzeigen. Dazu dient das pädagogische Netz. Bei diesem stehen insbesondere die Verfügbarkeit und der leichte Zugang im Vordergrund. Eine Verarbeitung personenbezogener Daten ist dort grundsätzlich nicht vorgesehen. Aus Gründen der Autorisierung beziehungsweise Authentisierung lässt sich jedoch nicht gänzlich vermeiden, dass etwa Benutzernamen oder Geräteadressen geprüft werden, um zu gewährleisten, dass nur befugte Nutzerinnen und Nutzer Zugriff auf das Netzwerk und die darin zu pädagogischen Zwecken vorhandenen Geräte haben. Das Gegenstück dazu bildet das Verwaltungsnetz. Dabei handelt es sich um ein separates und stärker geschütztes Netzwerk. Dieses Netz dient zur Verarbeitung von Personal- und Schülerdaten, hier können also gezielt personenbezogene und teils auch sensible Daten verarbeitet werden. Daher gelten in diesem Bereich auch strikte Sicherheitsrichtlinien.

Ein Schüler als Pentester

Ein Schüler hatte im Rahmen eines Forschungsprojekts unter Aufsicht einer Lehrkraft einen Penetrationstest (kurz: Pentest) im pädagogischen Netzwerk seiner Schule durchgeführt. Solche Tests dienen üblicherweise dem Zweck, einzelne Systeme oder ganze Netzwerke auf Schwachstellen zu prüfen und diese zu dokumentieren, um sie dann – mit dem Ziel einer Behebung – dem Betreiber mitzuteilen. In der Regel werden solche Tests durch spezialisierte IT-Sicherheits-Dienstleister in Absprache mit dem Verantwortlichen durchgeführt.

Dem Schüler, dessen Lehrer zugleich die Rolle des Datenschutzbeauftragten der Schule bekleidete, gelang bei seinem Pentest ein erfolgreicher Angriff: Durch einen nicht ausreichend sicher konfigurierten LDAP-Dienst konnte er Zugriff auf das „historisch gewachsene“ pädagogische Netzwerk erhalten. Unsichere Praktiken der Systemadministration (etwa in Scriptdateien im Klartext gespeicherte Zugangsdaten oder einfach zu erratende Passwörter für privilegierte Accounts) waren „Altlasten“, die wohl wiederholt übersehen worden waren. Der Schüler konnte seine Systemrechte schrittweise bis hin zum Domänen-Administrator ausbauen (sog. Privilege Escalation) und in der Folge einen Vollzugriff auf die Systeme und Dateien innerhalb der Domäne des pädagogischen Netzes erlangen. Er fand heraus, dass sich dieses Netz nicht nur auf seine Schule beschränkte, sodass der Schüler schließlich auch auf Daten weiterer Schulen zugreifen konnte.

Responsible Disclosure unerwünscht

Der Pentest fand zwar unter Aufsicht einer Lehrkraft statt, allerdings ohne vorherige Rücksprache mit dem technischen Betreiber des pädagogischen Schulnetzes. Immerhin wurden die Ergebnisse dem Dienstleister im Rahmen einer Präsentation vorgestellt. Dieses Vorgehen wird Responsible Disclosure genannt. Dabei soll die Offenlegung einer gefundenen Sicherheitslücke mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert werden, sobald die Sicherheitslücke behoben wurde. Full Disclosure bezeichnet im Gegensatz dazu die Praxis, Informationen über die Sicherheitslücke ohne vorherige Absprache mit den verantwortlichen Stellen zu veröffentlichen. Ziel dieses Vorgehens kann es etwa sein, hohen Druck auf einen Hersteller oder Betreiber auszuüben, die Sicherheitslücke schnellstmöglich zu schließen. Benutzerinnen und Benutzer werden dann zwar gewarnt; Hacker könnten die Schwachstelle allerdings ausnutzen, bevor der Betreiber sie schließen kann.

Die Reaktion des Betreibers auf diese Responsible Disclosure fiel aus Sicht des Schülers und des Lehrers ernüchternd aus: Der offenkundig nicht IT-inkompetente Schülers erhielt weder Anerkennung noch wurde er in einen gemeinsamen Lösungsfindungsprozess eingebunden; der Betreiber wies stattdessen darauf hin, dass ein solches Vorgehen – insbesondere ohne Absprache – zukünftig zu unterlassen sei und Schüler wie Lehrkraft Passwörter absolut vertraulich zu behandeln hätten. Auch mit konkreten Maßnahmen zur Stärkung der Sicherheit seines IT-Systems zögerte der Betreiber zunächst, obwohl die Lücke eklatant erschien – immerhin hatte ein Schüler Adminrechte für die gesamte Domäne erlangt.

Frust und Neugier

Die Reaktion des Betreibers forderte den Schüler nun heraus: Einige Zeit nach der Präsentation verschaffte er sich ohne Absprache mit dem Betreiber oder seiner Lehrkraft nochmals Zugang zum pädagogischen Netz. Dies geschah über seinen eigenen Computer im privaten Umfeld außerhalb der Unterrichtszeit. Der Schüler nutzte einen SSHTunnel zu einem derjenigen Server, auf den er zuvor Zugriff erlangt hatte und auf dem er sich offenbar eine Hintertür eingerichtet hatte. So konnte er mehrere weitere Server kompromittieren, Dienste verändern und Pakete nachinstallieren. Darüber hinaus gelang ihm, Daten des LDAPVerzeichnisses einer anderen Schule sowie von der Softwarepaketierung und Softwarebereitstellung abzuziehen.

Aufarbeitung und Lessons Learned

Die Datenschutzbehörde hatsich im Rahmen der Aufarbeitung des Falls sowohl mit dem Lehrer als auch mit den Betreibern des pädagogischen wie auch des Verwaltungsnetzes der Schule auseinandergesetzt. Entstandene Schäden wurden behoben und Sicherheitslücken geschlossen. Auch Sensibilisierungsmaßnahmen – etwa mit der Schulleitung – wurden ergriffen. Nach derzeitigem Kenntnisstand fand kein Zugriff auf das Verwaltungsnetz statt. Die Risiken durch die Möglichkeit des Zugriffs auf personenbezogene Daten in den LDAP-Verzeichnissen blieben in Anbetracht der Datenkategorien und der Motivation des Schülers überschaubar.

Aus dem Vorfall lassen sich mehrere Lehren und Empfehlungen für bayerische öffentliche Stellen – insbesondere für öffentliche Schulen – gewinnen:

• Zugangsdaten dürfen nicht im Klartext in Scriptdateien gespeichert werden. Historisch gewachsene Systeme und Netzwerke sollten systematisch einer Prüfung unterzogen werden. Dies gilt insbesondere bei einem Betreiberwechsel, bei dem die vorhandene IT-Infrastruktur beibehalten wird.
• Privilegierte Benutzeraccounts (wie Domänen-Administrationskonten) sollten nicht einfach zu erratende oder in Wörterbüchern gelistete Passwörter verwenden. Gerade im Falle weiterreichender Zugriffsrechte ist die Nutzung einer Zwei-Faktor-Authentifizierung zu prüfen.
• LDAP-Verzeichnisse sollten auf ihre Sicherheit geprüft werden; dies gilt insbesondere für die Lese- und Schreibberechtigungen. Die darin gespeicherten Informationen sollten auf das notwendige Maß beschränkt sein (Grundsätze der Datenminimierung und der Datensparsamkeit).
• Responsible Disclosure ist aus Sicht einer bayerischen Behörde eine als positiv zu beurteilende Vorgehensweise von Dritten, die Sicherheitslücken gefunden haben: Gewiss ist es für Behördenleitungen und IT-Sicherheits-Verantwortliche im ersten Moment unerfreulich, von Lücken im eigenen System zu erfahren. Dennoch ist Responsible Disclosure einem erfolgreichen Cyberangriff vorzuziehen, bei der die Lücke schadhaft ausgenutzt wurde und ihr Bestehen sich erst im Nachhinein bei einer forensischen Untersuchung herausstellt.
• Penetrationstests sind ein wichtiges Mittel zur Absicherung: Betreiber sollten im besten Fall regelmäßig oder auch nach größeren Umstellungen der Infrastruktur oder bei Betreiberwechseln die Systeme und Netze prüfen oder prüfen lassen, insbesondere dann, wenn es sich um komplexe und historisch gewachsene Umgebungen handelt.
• Allerdings ist von Laien-Pentests in einer Produktivumgebung abzuraten. Auch wenn es verlockend sein mag, im Rahmen schulischen oder akademischen Unterrichts kostengünstig Pentests durchführen zu lassen, sind damit Risiken verbunden. Auf Betreiberseite kann die Verfügbarkeit von Diensten gefährdet sein, wenn diese im Zuge eines Angriffsversuchs abstürzen oder überlastet werden. Auch können Daten verloren gehen oder verfälscht werden (etwa bei einer SQL-Injection). Nicht zuletzt besteht ein Risiko für nicht abgesprochene „Einzelgängeraktionen“ wie im hier beschriebenen Fall. Auch „gut gemeinte“ Angriffe können für Hobbyhackerinnen und Hobbyhacker schwerwiegende Konsequenzen haben: Schon das Vorbereiten des Ausspähens und Abfangens von Daten ist zudem ein Straftatbestand, der nach § 202c Abs. 1 Nr. 1 Strafgesetzbuch mit einer Freiheitsstrafe bis zu zwei Jahren geahndet werden kann.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Fragen Sie sich, ob Sie als Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks