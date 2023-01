Die Kommunikation der HHU ihm gegenüber habe er als „überwiegend freundlich und dankbar“ empfunden. Zumindest nach seinem E-Mail-Verkehr sei es schwierig, nachzuvollziehen, wie schnell die Lücke bei der HHU tatsächlich behoben wurde. „Meine Mail ging am 3. Januar um 11.04 Uhr raus, am 4. Januar habe ich um Rückmeldung gebeten, wegen der Schwere der Sicherheitslücke“, erzählt er. Erst am 6. Januar um 15.13 Uhr sei eine Rückmeldung gekommen, in der man für die Hinweise dankte und „umgehend“ die Mängel behoben meldete. „Dieser Begriff kann drei Tage später aber alles bedeuten. Außerdem irritiert, dass es keine Form der Eingangsbestätigung gab“, meint Rehme. Außerdem wundert ihn, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus dem CC entfernt worden war. „Vom BSI kam am 10. Januar die Nachfrage, ob eine Rückmeldung erfolgt sei.“ Der Sprecher der HHU, Achim Zolke, erklärte, dass die Mail in der Nacht vom 3. auf den 4. Januar eingegangen sei und der Mangel direkt am 4. Januar behoben wurde. Die HHU nimmt zudem an, dass keine Daten an Dritte abgeflossen seien. „Aufgrund der Schwachstelle ist das nicht hundertprozentig auszuschließen, Log-Dateien können das für einen bestimmten Zeitraum nachvollziehbar machen, aber auch diese Daten können von Angreifern verändert oder gelöscht werden“, erklärt Rehme. Ohne genügend Informationen, könne er diesen konkreten Fall aber nicht bewerten. Nach der Bestätigung der Beseitigung der Schwachstelle hat er die HHU erneut überprüft und kann bestätigen, dass das Leck geschlossen wurde.