Sicherheitslücke in der Universitätsbibliothek

Am 19. April 2022 wurde eine Sicherheitslücke in einem IT-System der Universitätsbibliothek Leipzig entdeckt. Dadurch kam es zu einem externen Zugriff auf rund 70.000 Datensätze von Nutzer*innen der Bibliothek. Es wurde eine Anzeige bei der Polizei gestellt.

Durch einen externen Hinweis wurde die Universitätsbibliothek auf eine Sicherheitslücke aufmerksam gemacht. Dies betraf ein System, das zur Aktualisierung von Webanwendungen vorübergehend genutzt wurde. Das Bibliotheksmanagementsystem der Universitätsbibliothek war nicht betroffen. Die Sicherheitslücke bestand innerhalb des Zeitraums vom 6. bis 19. April 2022. Es erfolgte ein unautorisierter Zugriff auf Daten. Die betroffenen Daten umfassten ausschließlich die E-Mail-Adresse, Nutzer*innennamen sowie die Nummer der Bibliothekskarte. Die Passwörter der Nutzer*innen sind nicht betroffen.

Es erfolgte eine Anzeige bei der Polizei und eine Meldung der Datenpanne bei der Sächsischen Datenschutzbeauftragten. Die betroffenen Nutzer*innen wurden direkt über die Sicherheitslücke sowie einen möglichen Zugriff auf ihre Daten informiert und vor künftigen Phishing- oder Spam-Mails gewarnt.

Die IT-Mitarbeiter*innen haben das betreffende System sofort nach Bekanntwerden der Sicherheitslücke deaktiviert und weitere Prüfschritte und Sicherheitsmaßnahmen eingeleitet. Derzeit kontrolliert und überarbeitet die Universitätsbibliothek die Qualitätssicherung bei der Softwareentwicklung und ihre Sicherheitskonzepte. Da ein Teil der Datensätze inaktive Nutzer*innen betrifft, wird auch das Löschkonzept überarbeitet. Hochschulweit werden zusätzliche Schutzmaßnahmen zu weiteren Systemen eingerichtet.

Kontakt: feedback@ub.uni-leipzig.de