Archiv

Fallbeispiel: Sicherheitslücke bei Bewerbungen

Florian ist angehender Student der privaten Universität Elite International School. Er hat sich über das Formular auf der Webseite der Universität beworben und dabei Informationen zu seiner Person und seinem Werdegang eingetragen. Nun wartet er gespannt, ob die Bewerbung angenommen wird.

Zeitgleich bewirbt sich Julius bei einer anderen Universität, der Common Sciences University. Wie die Elite International School und andere private Universitäten, hat die Common Sciences University die Realisierung ihres Online-Bewerbungsverfahren an einen Dienstleister ausgelagert, die CreativeSoul GmbH.

Julius bezeichnet sich selbst als „Freizeit-Hacker“. Kurz nach der Bewerbung entdeckt er eine Sicherheitslücke in der Web-Applikation der CreativeSoul-Software. Er findet über diese Lücke heraus, dass er auf die Datenbank der CreativeSoul GmbH mit den Bewertungen und Ergebnissen aller Bewerber der Universitäten zugreifen kann. Damit erhält er Einblick in den Prozess der Bewertung durch die Professoren und kann noch nicht bekanntgegebene Entscheidungen über die Bewerber einsehen. Julius versucht sogar, die Ergebnisse der Entscheidungen zu manipulieren, aber aufgrund mangelnder Kenntnisse über Datenbanken kommt er hier nicht weiter.

Julius programmiert ein Skript, das sein Vorgehen zum Einsehen der CreativeSoul-Datenbankeinträge automatisch vollzieht. Es funktioniert, und er denkt sich nun, dass dieses Skript auch für andere Bewerber von Nutzen sein könnte. So kommt er auf die Idee, sein Skript in ein Internetforum zu stellen. Er überlegt sich vorher, dass es vielleicht keine gute Idee wäre, jedem Benutzer alle Datenbankeinträge zugänglich zu machen. Er modifiziert das Skript daher leicht. Nun kann man nur den Eintrag der Datenbank abfragen, dessen ID-Nummer man kennt. So kann ein Bewerber nur seinen eigenen Bewerbungsstatus abfragen, da er ja nur seine eigene Bewerbungsnummer kennt. Diese Nummer muss man eintippen, um die Abfrage mit Julius‘ Skript zu starten.

Wenn es nun jemand das Skript im Browser startet, kann er den Status der Bewerbung herausfinden. Julius hat das Skript in eine Webseite eingebaut, den Link dahin postet er ins Forum. Er macht dazu keine großen Worte, denn er möchte niemandem sagen, was er konkret programmiert hat. Für denjenigen, der auf den Link klickt, erscheint nur eine Internetseite und ein kleines Formular, das die Eingabe der Bewerbungsnummer fordert.

Als Julius am Tag darauf den Link auch noch in das gutbesuchte Uni-Forum postet, verbreitet es sich in Windeseile. Viele Bewerber versuchen noch am gleichen Tag, den Status ihrer Bewerbung einzusehen. Die CreativeSoul GmbH bemerkt die vermehrten Zugriffe und unautorisierten Lesevorgänge auf die Datenbank. Umgehend informiert die Firma die betroffenen Universitäten und deaktiviert den Zugriff auf die Datenbank vorerst vollständig.

Die Elite International School entschließt sich nach Diskussion im Kuratorium, allen Bewerbern, die versuchten, auf die Datenbank zuzugreifen, einen Zugang zu ihrer Universität zu verwehren. Die Betroffenen können anhand der Bewerbungsnummer herausgefunden werden. Deren Bewerbung wird umgehend gelöscht, die Betroffenen erhalten ein Schreiben. Das Ergebnis der Bewerbung wird hierbei nicht berücksichtigt. Die Elite International School veröffentlicht dann eine Stellungnahme und verlautbart, dass ein solches Verhalten von Bewerbern unethisch und nicht in Einklang mit den Werten der Universität zu bringen sei. Daher sei auch eine neuerliche Bewerbung der betroffenen Aspiranten nicht möglich.

Die Common Sciences University findet eine abweichende Lösung. Sie streicht zwar die Bewerbung derjenigen, die ihren Status abgefragt haben, erlaubt aber eine Wiederbewerbung nach sechs Monaten.

Florian hat Julius‘ Skript nicht benutzt. Er erhält jedoch ein Schreiben der Elite International School, in welchem ihm mitgeteilt wird, dass seine Bewerbung aufgrund eines Betrugsversuches zurückgewiesen wird. Eine neuerliche Bewerbung sei ausgeschlossen. Nach etwas Internetrecherche liest Florian über die Vorfälle und erkennt, dass er zu Unrecht beschuldigt wird. Er schreibt der Elite International School und legt dar, dass er nicht versucht hätte, seinen Status in Erfahrung zu bringen. Er mutmaßt, dass jemand zufällig oder versehentlich seine Bewerbungsnummer in das Skript eingegeben haben könnte.

Diskussionsfragen

  • Ist es ein ethisches Problem, dass Julius auf die Datenbank zugegriffen hat? Macht es einen Unterschied, dass er neben der eigenen auch andere Bewerbungen eingesehen hat?
  • Wie hätte sich Julius nach dem Finden der Sicherheitslücke verhalten sollen? Ist er verpflichtet, sich an die CreativeSoul Gmbh oder eine der Universitäten zu wenden?
  • Julius war von Anfang an klar, dass die Daten nicht zugänglich sein sollten. Ist es ethisch vertretbar, dass er das Skript schrieb und es dann veröffentlichte? Er hat zwar das Skript modifiziert, aber macht das die Sache besser?
  • Hätte Julius das Skript nicht in ein Forum gepostet, wäre es möglicherweise unentdeckt geblieben. Wäre es weniger bedenklich von Julius gewesen, das Skript nur einigen wenigen Bekannten zukommen zu lassen?
  • Ist es ein ethisches Problem, wenn die CreativeSoul GmbH keine genügenden Sicherheitsbarrieren in ihre Software einbaute?
  • Darf Florian bestraft werden? Muss die Universität aufgrund der weitreichenden Konsequenzen nicht von Fall zu Fall entscheiden?
  • Ist es nicht auch verständlich, dass Bewerber das angebotene Skript nutzen? Hätten nicht die meisten Menschen, die von dem Skript erfahren hätten, genauso gehandelt? Sollte überhaupt eine Strafe verhängt werden?

Erschienen in Informatik Spektrum 32(6), 2009, S. 552–553

3 comments to Fallbeispiel: Sicherheitslücke bei Bewerbungen

  • Nachgedacht

    Schon wieder ist dies aus meiner Sicht vor allem ein Qualitätsproblem. Leider hat anders als in allen anderen Technikbereichen sind die Einstellung verbreitet, dass Software nun mal nicht sicher sein kann und es deshalb nicht wirklich versucht wird. Denn die moralische Schuld liegt bei dem nicht sicher entwerfenden Softwarehersteller und nur mittelbar bei dem die Lücke Ausnutzenden. Ein Automobilhersteller mit einer unzureichenden Sicherung erhält keine Zulassung, ein Halter mit nicht abgeschlossenem Auto wird bestraft. Nur in der Informatik scheint es keine Haftung für Sicherheitsprobleme zu geben.

    Zuallererst ist es moralisch fragwürdig, persönliche Daten an externe Dienstleister zu vergeben. Notwendig ist es nicht, ich erwarte auch innerhalb einer Ausbildungsstätte genug Sachverstand um eine simple Bewerberauswahl hinzukriegen. Sind die Daten einmal extern, sind sie nicht mehr zu kontrollieren. Und eine Firma handelt nun mal betriebswirtschaftlich und macht das minimal notwendige zur Sicherung (was auch gar nichts bedeuten kann wenn die Strafen nicht hoch sind). Das sollte dem Vergebenden bewusst sein.

    Zur Benachrichtigung des Herstellers: Da aus meiner Sicht gleich zwei moralische Instanzen versagt haben (fehlende Vergabenotwendigkeit der Uni und fehlende Sorgfalt des Herstellers) sehe ich den Betroffenen nicht in der Pflicht dieses zu korrigieren. Andersherum finde ich es moralisch im Ordnung, den Verbleib der eigenen persönlichen Daten zu überprüfen.

    Schwieriger wird es, dies auch den anderen Kandidaten zur Verfügung zu stellen. Andererseits wäre diese nun erreichte Transparenz im Entscheidungsprozess von vornherein wünschenswert gewesen. Gerade bei Unis die ‚Werte vermitteln‘ wollen. Deshalb halte ich die Ausschlüsse für völlig ungerechtfertigt. Dies wäre nur bei schreibendem Zugriff und damit bewusstem Betrug angebracht.

    Die rechtliche Situation ist aber leider eine völlig andere. Ich möchte hierbei auch auf den CT-Artikel über die geheimen Mautverträge hinweisen. Hierbei ergeben sich ähnliche Fragestellungen.

  • Christina Class

    Der Artikel zu genau so einem Fall in den USA, in dem Harvard, MIT und Stanford involviert waren und bei dem einige Personen ausgeschlossen wurden:

    http://www.boston.com/business/articles/2005/03/09/mit_says_it_wont_admit_hackers/

  • […] 2009 – Fallbeispiel: Sicherheitslücke bei Bewerbungen, D. Zellhöfer / C. […]

Leave a Reply to Christina Class Cancel reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>