Moodle und Co. in Gefahr
Lernmanagement-Systeme werden in der Hochschullehre eingesetzt, um Lernmaterialien zu erstellen, bereitzustellen und zu verwalten und um den Austausch zwischen Lehrenden und Studierenden zu erleichtern. Während der COVID-19-Pandemie erwiesen sie sich als unverzichtbar für die Aufrechterhaltung des Lehrbetriebs. Jedoch offenbart sich in jüngster Zeit eine zunehmende Bedrohung für die Sicherheit dieser Systeme, die nicht nur den Lehrbetrieb stören kann, sondern auch sensible Daten gefährdet.
Die Anzahl der Hackerangriffe auf Hochschulen ist in den letzten Jahren signifikant gestiegen. Beispielsweise wurden zwischen 2018 und 2023 in Baden-Württemberg 110 Cyberangriffe auf Hochschulen registriert (forschung-und-lehre.de). Häufig sind veraltete Softwareversionen mit bekannten Sicherheitslücken ein Einfallstor für die Angreifer. Ein Beispiel ist der Angriff auf das LMS der Universität Hamburg im Jahr 2016 (uni-hamburg.de). Auch der Hackerangriff auf die Bundesregierung im Jahr 2017 erfolgte initial über ein verwundbares LMS an der Bundesakademie für Öffentliche Verwaltung (golem.de).
Kritische Situation bei Moodle, Ilias & Co.
Die beliebtesten Lernmanagement-Systeme, wie Moodle, Ilias und Stud.IP sind in der Regel Open-Source-Software und werden von den Hochschulen selbst betrieben und gewartet. Diese dezentrale Verwaltung birgt jedoch Risiken, insbesondere wenn es um die regelmäßige Aktualisierung und das Patching von Sicherheitslücken geht.
Um die Sicherheitslage von LMS an Hochschulen genauer zu untersuchen, wurde eine umfassende Studie durchgeführt, welche auf der diesjährigen Sicherheit 2024, der 12. Jahrestagung des Fachbereichs Sicherheit der GI, veröffentlicht wurde (doi: 10.18420/sicherheit2024_011). Über 500 Hochschulen in Deutschland, Österreich und der Schweiz wurden dabei im August 2022 und nochmals im September 2023 untersucht. Es konnten mehr als 800 aktive LMS-Instanzen identifiziert werden. Dabei hat sich gezeigt, dass die Top 3 Plattformen Ilias, Moodle und Stud.IP insgesamt 98 Prozent der gefundenen LMS abdeckten.
Um die Sicherheit dieser LMS zu bewerten, wurde von den gefundenen LMS die Softwareversion bestimmt und auf dieser Basis geprüft, welche bekannten Schwachstellen in Form von Common Vulnerabilities and Exposures (CVE) existierten. Die Ergebnisse zeigten, dass 34 Prozent der in 2023 untersuchten LMS mindestens eine CVE aufwiesen, wobei mehr als drei Viertel davon mit einem Common Vulnerability Scoring System (CVSS) Score von „High“ bewertet wurden. Besorgniserregend war auch die Tatsache, dass das älteste gefundene System aus dem Jahr 2015 stammte, bei dem mittlerweile über 90 Schwachstellen bekannt waren. Des Weiteren wurde die Transport Layer Security (TLS) Konfiguration der untersuchten LMS betrachtet, wobei ebenfalls Defizite festgestellt wurden. Knapp die Hälfte (49 Prozent) der serverseitig unterstützten Ciphersuites wurden als nicht mehr sicher angesehen.
Gegenüber der Analyse vom August 2022 hat sich das Sicherheitsniveau der an Hochschulen eingesetzten LMS verbessert. Damals wiesen noch 73 Prozent der untersuchten LMS mindestens eine bekannte Schwachstelle auf und der Anteil unsicheren TLS Ciphersuites lag bei 55 Prozent. Ein positiver Aspekt ist, dass die Unterstützung der als unsicher geltenden TLS Versionen 1.0 und 1.1 sich innerhalb eines Jahres um 7,7 Prozent in Deutschland, 10,4 Prozent in Österreich und 8,8 Prozent in der Schweiz reduziert hat.
Obwohl sich die Situation verbessert hat, sehen die Autorinnen und Autoren weiterhin Handlungsbedarf, um die Sicherheit dieser öffentlich erreichbaren und eng mit der IT-Infrastruktur der Hochschulen verknüpften Systeme zu gewährleisten.
Dieser Beitrag wurde verfasst von Ann-Marie Belz und Prof. Dr. Andreas Mayer (Hochschule Heilbronn). Er erschien zuerst in unserem Newsletter GI-Radar. Alle Ausgaben gibt es hier zum Nachlesen.
