Das Datenleck betraf das Campus-Management-System HIS-LSF von dem Unternehmen HIS eG, das neben der HHU auch von vielen weiteren Hochschulen in Deutschland genutzt wird. Aufgedeckt wurde die Sicherheitslücke von dem Fachmagazin „c’t“. Erst im Zuge dieser Recherchen sei man am vergangenen Freitag auf das Problem aufmerksam geworden, wie Achim Zolke berichtet. Man habe daraufhin sofort den Zugang zu dem System deaktiviert, bis die Sicherheitslücke noch am selben Tag wieder geschlossen worden sei. Das Problem bestand nach aktuellen Informationen seit 2011, also neun Jahre. Dass dennoch auch ältere Daten verfügbar waren, liegt laut Zolke an der Pflicht zur Archivierung von Informationen über ehemalige Studenten, die seit 1994 digital umgesetzt wird.

Die Daten selbst waren nur über eine bestimmte URL abrufbar, die man als Außenstehender kennen musste. Ob und in welchem Umfang Daten in den vergangenen Jahren ausgespäht wurden, lasse sich nicht nachvollziehen. Einzig für die vergangenen Wochen konnte mit den vorhandenen Daten nachvollzogen werden, dass die URL aufgerufen wurde. Ob das ausschließlich im Zuge der „c’t“-Recherchen oder auch von Dritten geschehen ist, sei unklar.

Ebenfalls unklar ist, ob und wie das System HIS-LSF in Zukunft noch genutzt werden soll. Laut Zolke gibt es einigen Klärungsbedarf mit dem Unternehmen HIS eG, im Zuge dessen eine weitere Zusammenarbeit mit dem Unternehmen überprüft werden soll.