Menü

Guess Who’s Back

Die Webdienste der Fachschaft Computerlinguistik sind jetzt wieder aus dem ganzen Internet erreichbar.

Dem ganzen Internet?
— Ja.

Woran hat et jelegen?

Mitte November 2025 stellt das Unirechenzentrum einen Einbruch in die zentrale Account-Datenbank fest (Website nur nach Anmeldung mit Uni-ID zugänglich). Die Angreifer entwenden Uni-IDs, Namen, E-Mail-Adressen und Passwort-Hashes.

Das Einzige, was man mit Passwort-Hashes machen kann, ist versuchen, durch reines Durchprobieren das Passwort zu erraten – was das Unirechenzentrum offenbar als Bedrohung für realistisch genug hält, um am 19. November 2025 den Zugriff aus dem Internet auf fast alle IT-Dienste zu sperren. urz.wtf dokumentiert den Ablauf: Um 02:31 stellt jemand am Institut für Computerlinguistik fest, dass der Mailserver aus dem Internet nicht mehr zu erreichen ist. Um 09:24 meldet das Unirechenzentrum dann auch öffentlich auf einer Seite mit dem Titel „Vorsichtsmaßnahmen“, dass die meisten IT-Dienste nur noch über das Uninetzwerk bzw. Uni-VPN zu erreichen sind, und bittet alle Uniangehörigen darum, ihr Passwort zu ändern.

Seit diesem Zeitpunkt sind keine Dienste der Fachschaft mehr über das Internet zu erreichen, allerdings kopieren wir die Fachschaftswebsite am Abend desselben Tages auf einem Server außerhalb der Uni, und machen sie unter fsco.li erreichbar.

Ebenfalls am selben Tag berichtet die Rhein-Neckar-Zeitung, dass ein „Hackerangriff auf Universität offenbar vereitelt“ wurde – augenscheinlich gute Nachrichten für die Univerwaltung, die gleichzeitig sicherlich damit beschäftigt ist, alles für den Ortsbesuch im Rahmen des Exzellenzwettbewerb II an der Uni Heidelberg am 24. und 25. November 2025 vorzubereiten.

Am 26. November 2025 gegen 09:10 wandelt das Unirechenzentrum die Bitte zur Passwortänderung in eine Anweisung um: Alle Accounts, die bis zum 28. November 2025 um 10:00 ihr Passwort nicht geändert hätten, würden gesperrt – dies wird zum angekündigten Zeitpunkt dann auch tatsächlich umgesetzt. Um 16:00 sperrt das Unirechenzentrum dann auch noch ca. 200 Nutzer, die ihr Passwort geändert und dann direkt wieder zurück geändert haben.

Die darauffolgenden Tage sind gekennzeichnet von langen virtuellen Schlangen in den Online-Räumen des IT-Support und langen physischen Schlangen vor Ort am Unirechenzentrum. Das Unirechenzentrum richtet virtuelle Supporträume ein, die auch am Wochenende besetzt sind: Nach Ausweiskontrolle und Abfrage einiger persönlichen Daten erhält man dort ähnlich wie neue Erstsemesterstudierende einen Link, um sein Passwort zurückzusetzen.

Am 2. Dezember 2025 gegen 17:00 kündigt das URZ an, Schritt für Schritt bis zum 10. Dezember 2025 IT-Dienste wieder im Internet verfügbar zu machen, sofern sie „die nötigen Sicherheitsstandards“ erfüllen. In der Ankündigung erfährt man außerdem, dass neben dem URZ auch das Landeskriminalamt, das Landesamt für Verfassungsschutz, die Cybersicherheitsagentur Baden-Württemberg, der Landesdatenschutzbeauftragte und bwInfoSec involviert sind.

Am 4. Dezember 2025 gegen 13:15 erhalten wir eine Mail, in der steht, dass unser Anliegen „geprüft und mit der höchsten Priorisierung versehen wurde“. Die technische Freigabe solle „voraussichtlich spätestens Anfang kommender Woche“ umgesetzt werden, nach strikter Auslegung also bis 8. Dezember 2025.

Am 8. Dezember 2025 gegen 12:00 werden das Anglistische Seminar und das Institut für Deutsch als Fremdsprachenphilologie laut urz.wtf freigeschaltet. Außerdem schließt das URZ seinen PC-Pool, und reserviert ihn „für interne Nutzung“. Am 10. Dezember 2025 berichtet die Rhein-Neckar-Zeitung in ihrer Printausgabe unter dem Titel „Uni-Seiten teils noch immer gesperrt“ erneut über den Hackerangriff – mit dabei: Ein Link zu urz.wtf.

Am 12. Dezember 2025 gegen 13:05 erhalten wir eine Mail mit einem Formular, welches wir zur Freigabe unserer Dienste ausfüllen sollen. Dort müssen ein Gesamtverantwortlicher, ein fachlich Verantwortlicher sowie ein operativer Verantwortlicher benannt werden. Außerdem müssen wir erläutern, warum der „Dienst direkt im Internet exponiert werden muss“. Ferner enthält das Formular eine Selbstauskunft zu den von uns bereits umgesetzten Sicherheitsmaßnahmen. Nach Absprache mit dem IT-Beauftragten am Institut füllen wir das Formular aus und senden es am 19. Dezember 2025 um 09:45 zurück. Zwei Tage vorher, am 17. Dezember 2025, berichtete die Universität in einer Pressemitteilung, dass ein „großangelegter Cyberangriff erfolgreich abgewehrt“ wurde.

Am 8. Januar 2026 um 12:06:30 detektiert urz.wtf, dass der Fachschaftsserver und die darauf laufenden Dienste wieder im Internet verfügbar sind, sehr zur allgemeinen Freude bei uns in der Fachschaft. Gegen 15:40 stellen wir fest, dass nur Port 443 (HTTPS) freigeschaltet ist, Port 80 (unverschlüsseltes HTTP) aber nicht. Zwar werden unsere Webdienste werden exklusiv über HTTPS ausgeliefert, allerdings benötigen wir HTTP für die HTTP-01-Challenge, um über ACME Let’s Encrypt-Zertifikate zu erneuern. Wir schicken diesbezüglich gegen 16:00 eine Mail an den IT-Service. Glücklicherweise finden wir in der Zwischenzeit heraus, dass Let’s Encrypt auch die TLS-ALPN-01-Challenge anbietet (die über Port 443 läuft). Unser Reverse Proxy Traefik unterstützt diesen Typ Challenge, ab 16:15 laufen alle unsere Dienste mit brandneuen Zertifikaten.

Am 9. Januar 2026 gegen 08:00 erhalten wir eine offizielle Mail durch den CIO der Universität mit einer Bestätigung der Freigabe. Am 16. Januar 2026 um 09:45 erhalten wir eine Mail, dass Port 80 aktuell noch nicht freigeschaltet werden kann, das URZ aber genau wie Let’s Encrypt auch ACME anbietet. Da bei uns aber alles wieder funktioniert, nutzen wir das Angebot nicht.