Sicherheitslücken bei Schulplattform: Mebis teilweise abgeschaltet
23.8.2020, 19:47 UhrDie Corona-Pandemie machte Mebis populär, auch unter vielen Lehrern, die mit der Plattform des Kultusministeriums bislang nur indirekt zu tun hatten. Mehr als eine Million Nutzer hat das Portal mittlerweile, es soll gerade den Fernunterricht erleichtern. Die Lehrkräfte können dort etwa Stoff hinterlegen, Aufgaben austauschen und Feedback geben. Doch die Klagen mehren sich.
Schon vor Monaten entdeckte ein Nürnberger Hackerkollektiv mehrere Sicherheitslücken bei Mebis. Die Gruppe "0x90.space" meldete nach eigener Darstellung bereits im Mai schwerwiegende Probleme, etwa beim sogenannten Cross-Site-Scripting. Angreifer könnten, so die Hacker, über eine gefälschte Website über eine Subdomain der bayerischen Staatsregierung Nutzerdaten wie Passwörter abgreifen oder schädliche Software auf den Rechnern der Nutzer installieren. Zudem könnten Internet-Kriminelle relativ problemlos Datenbank-Einträge verändern, die eigentlich nicht zur Bearbeitung durch normale User vorgesehen sind. Mehr lesen Sie hier!
Teilangebote von Mebis deaktiviert
Nur einige Lücken wurden auf den Hinweis der Hacker geschlossen, das bestätigt jetzt auch das Bayerische Kultusministerium gegenüber den Nürnberger Nachrichten. "Zwei der drei in Rede stehenden Sicherheitslücken wurden behoben", heißt es in einer kurzen Mitteilung. An der Behebung des dritten Hintertürchens werde derzeit noch gearbeitet. Das Ministerium sagt: "Aus Sicherheitsgründen wurden daher Teilangebote von Mebis vorübergehend deaktiviert." Man sei zuversichtlich, die Probleme bis zum Montag beheben zu können.
Welche Lücke noch nicht geschlossen werden könne, dazu äußerte sich das Kultusministerium zunächst nicht - auch nicht, warum Monate nach den Hinweisen von "0x90.space" verstrichen. Weil eine 90-tägige Frist zur Behebung verstrich, wandte sich der gemeinnützige Hacker-Verein, der sich für ein freies Internet einsetzt, an die Öffentlichkeit. "Ich kann nicht wirklich verstehen, warum bis jetzt nicht gehandelt wurde", sagte etwa Martin Rey von "0x90.space". "Ich habe bereits einmal ein Unternehmen über eine Cross-Site-Scripting-Lücke auf ihrer Seite informiert, innerhalb weniger Tage war die Sache behoben."
Das Ministerium selbst beruhigt: Man habe keinerlei Hinweise darauf, dass die Sicherheitslücken genutzt wurden.