Geschasster Campus-Hacker: College widerspricht

Am Montag trat der kanadische Informatikstudent Hamed Al-Khabaz mit der Nachricht an die Öffentlichkeit, seine Hochschule habe ihn herausgeworfen, weil er eine Sicherheitslücke gemeldet habe. Genau genommen hatte das College ihn allerdings nicht wegen der Meldung der Sicherheitslücke ausgeschlossen, sondern weil er mit einem Schwachstellen-Analysewerkzeug nachgesehen hatte, ob die Lücke auch tatsächlich beseitigt worden war.

Kurz nochmal die Vorgeschichte: Hamed Al-Khabaz war am Dawson College in Montreal, Kanada, im Studiengang Informatik eingeschrieben. Dort entwickelte er eine App zum mobilen Zugriff auf Omnivox, einem Portal zur Verwaltung von Studentendaten und Kursplänen. Im Zuge der Entwicklung stieß Al-Khabaz auf eine Sicherheitslücke in Omnivox, die Daten anderer Studenten offenlegte.

Al-Khabaz meldete die Lücke dem Leiter des Rechenzentrums und dem Hersteller von Omnivox, der kanadischen Firma Skytech. Diese bedankten sich für die Information und sicherten zu, die Sicherheitslücke umgehend zu stopfen. Einige Tage später überprüfte der Student mit dem Sicherheitslücken-Scanner Acunetix, ob das Unternehmen Wort gehalten hatte. Daraufhin rief ihn der Geschäftsführer von Skytech zuhause an, bezeichnete seinen Testdurchlauf als Cyber-Angriff und drohte ihm mit einer Anzeige. Zwei Wochen später ging das College einen Schritt weiter: Es schloss ihn von der Hochschule aus, gab ihm eine "0" für alle Fächer und vermerkte in seinen Studienunterlagen, er sei wegen "unprofessionellen Verhaltens" ausgeschlossen worden.

Jetzt kämpft Al-Khabaz mit Unterstützung der Studentenvertretung des Dawson College um eine Wiederaufnahme an der Universität. Er habe sich nichts zu Schulden kommen lassen und den Ausschluss nicht verdient. Zwei Beschwerden bei der Hochschulleitung blieben erfolglos, daher ging der Student an die Presse.

Das Dawson College erklärte erst in einer knappen Stellungnahme, aufgrund geltender Datenschutz-Gesetze könne man keine Details zur konkreten Situation von Hamed Al-Khabaz mit Dritten oder den Medien diskutieren. Die Darstellung der National Post, die als erste über den Fall berichtete, wurde als "unrichtig" zurückgewiesen. Der Student habe trotz einer Verwarnung ein weiteres Mal gegen die Verhaltensregeln des Colleges verstoßen – da sei keine andere Wahl mehr geblieben, als ihn zu sanktionieren.

Kurz darauf wurde das College konkreter – offenbar sah man die Sache mit dem Datenschutz dann doch nicht so eng. Al-Khabaz sei ausdrücklich nicht aufgrund seiner Entdeckung der Sicherheitslücke der Hochschule verwiesen worden. Er habe eine klare Warnung erhalten, nicht zu versuchen, in das Rechenzentrum des Colleges einzubrechen und diese Anweisung wiederholt missachtet. Dem Studenten seien alle Möglichkeiten gegeben worden, sein Verhalten zu rechtfertigen.

Alex Simonelis, ein Informatikdozent des Dawson College, ging in einem Leserbrief an die Montreal Gazette noch weiter auf Details ein. Statt Antworten zu geben, stellt der Brief gezielt bisherige Berichte in Frage. Simonelis argumentiert, die Medien hätten den Lehrkörper unfair porträtiert. Informatik-Studenten sei durch die "Professional Conduct Policy" des Colleges für einen Computer-Profi inakzeptables Verhalten verboten – Hacken sei hier "ein extremes Beispiel". Das College habe eine schwere Entscheidung treffen müssen, die seines Erachtens "im Kern richtig" ausgefallen sei.

Parallel dazu tauchte ein Scan der Exmatrikulierung von Hamed Al-Khabaz im Netz auf – Quelle unbekannt. Demnach gab es zwischen dem Dawson College und Al-Khabaz eine Vorgeschichte. Ursprünglich hieß es nur, Hamed Al-Khabaz und ein Kommilitone habe die College-Verwaltung am 24. Oktober über die Sicherheitslücke im Studentenverwaltungssystem in Kenntnis gesetzt. Zwei Tage später habe Al-Khabaz mit Acunetix überprüfen wollen, ob die Lücke noch existiere. Acunetix ist ein Werkzeug zum systematischen Aufspüren von Webserver-Schwachstellen.

Dem eingescannten Schreiben des Dawson College zufolge wurde Al-Khabaz bereits am 21. September der Zugang zum Campus-Netz suspendiert und eine Verwarnung ausgesprochen – mehr als einen Monat vor der Meldung der Sicherheitslücke. Am 21. September habe Al-Khabaz unerlaubterweise SQL-Code in Server des Colleges und eines "externen Systems" injiziert. Diesen Angriff habe er schriftlich zugegeben. Einen Monat später habe er sich am 26. Oktober abermals unautorisierten Zugriff auf die College-Server und ein "externes System" verschafft und SQL-Code injiziert. Daraufhin habe die Hochschulleitung beschlossen, den Studenten auszuschließen.

Diesen Aussagen widerspricht wiederum eine Chronik, die auf der Website "Hamed Helped – Help Hamed" veröffentlicht wurde. Sie wird von der Studentenvertretung des Dawson College betrieben. Demnach hatte Al-Khabaz das Omnivox-Portal tatsächlich bereits am 21. September mittels Acunetix untersucht. Von der Entwicklung einer mobilen App ist hier keine Rede mehr. Als ihm daraufhin sein Zugang gesperrt wurde, habe er seine Beweggründe erklärt und die Sperre wurde aufgeheben. "Help Hamed" zufolge bekam er zu diesem Zeitpunkt keinerlei formale Verwarnung – nur E-Mails vom Leiter des Rechenzentrums, die ihm zur Vorsicht rieten.

Der Chronik zufolge fand Al-Khabaz die Sicherheitslücke am 14. Oktober bei der Untersuchung eines URL-Musters in seinem Omnivox-Avatar, das sich von seiner Studenten-Kennung ableitete. Dies sei ohne Zuhilfenahme von Software geschehen. Als der Student seine Entdeckung dem Leiter des Rechenzentrums mitteilte, setzte das College einen Test-Server auf und bestätigte damit seine Angaben. Al-Khabaz erklärte sich dazu bereit, Tests nur beaufsichtigt und vom Campus aus durchzuführen.

Zwei Tage später habe Skytech erklärt, das Sicherheitsloch geflickt zu haben. Daraufhin ließ Al-Khabaz abermals Acunetix laufen – zwar über den eingerichteten Test-Server, aber von zuhause aus. Der Scan sei ergebnislos verlaufen, doch daraufhin habe sich Skytech bei ihm gemeldet und mit der Polizei gedroht. Anderthalb Wochen später fand sich Al-Khabaz vor dem Dekan der Hochschule wieder. Eine Woche später wurde er vom Dawson College ausgeschlossen.

Die öffentlichen Stellungnahmen der Hochschulleitung sowie der Leserbrief von Alex Simonelis machen deutlich, dass das Dawson College nicht gewillt ist, den Studenten wiederaufzunehmen.

Skytech hat Hamed Al-Khabaz zwar die Finanzierung eines Privatstudiums und einen Teilzeitjob angeboten. Dies allein wird seine Probleme aber nicht lösen: So hat die Studienbehörde von Québec ihre Stipendiengelder zurückgefordert.

Auch eine Wiederherstellung seiner akademischen Ehre dürfte eine Sache der Anwälte werden – die Hochschule hat in seine Studienunterlagen geschrieben, er sei wegen unprofessionellem Verhalten ausgeschlossen worden. Ein Lichtblick: Das LaSalle College soll Al-Khabaz einen Platz angeboten haben, um sein Studium fortzusetzen. Wie Dawson College ist wie LaSalle in Montreal angesiedelt. Und wie Dawson nutzt auch das LaSalle College ... Omnivox. (ghi)