Am Morgen des 10.11.2013 wurden versehentlich über 48.000 E-Mails an Mitarbeiter und Studierende der TU Dresden versandt. Ihnen wurde das Ablaufen ihrer Nutzerkennung (ZIH-Login) für die elektronischen Dienste angekündigt und sie wurden zur Verlängerung ihrer Kennungen aufgefordert.

Wie schon im Laufe des Sonntags vermeldet, lief am Sonnabend- und am Sonntagmorgen die übliche Synchronisation zwischen den datenhaltenden Systemen zur Mitarbeiter- und Studierendenverwaltung einerseits und dem Identitätsmanagement (IDM) des ZIH andererseits nicht. Das IDM ging folglich davon aus, dass fast alle Angehörige und Mitglieder die TU verlassen hätten.

Am ZIH werden fortlaufend Systeme entwickelt, die das Funktionieren der eigenen Dienste kontrollieren. Am Freitag wurden Arbeiten an der Schnittstelle zum IDM vorgenommen, so dass diese abgeschaltet werden musste. Dies geschah im Rahmen der Integration genau dieser Abläufe in ein Monitoring. Es wurde versäumt, diese Schnittstelle wieder zu aktivieren. Die Schwachstelle wurde schnell identifiziert; weitere Sicherheits- und Plausibilitätsprüfungen sind in der Entwicklung.

Die tägliche Synchronisierung und damit die Möglichkeit einer zeitnahen Sperre der Zugangskennungen ist durch die Mitgliedschaft der TU Dresden im Deutschen Forschungsnetz, speziell für die Authentifizierungs- und Autorisierungs Infrastruktur (DFN-AAI), erforderlich. Da über das ZIH-Login weitere Dienste wie OPAL, Großrechnerberechtigungen, Softwarelizensierungen und auch das DFN-Zertifikat der Stufe „Advanced“ bereitgestellt werden, muss jederzeit gewährleistet sein, dass nur berechtigte Personen über ein ZIH-Login verfügen.

Das ZIH bedauert den versehentlichen Versand der E-Mails und hat bereits am Sonntag bei allen Betroffenen um Entschuldigung gebeten. Seitens der Benutzer besteht keine Handlungsnotwendigkeit. Auch standen alle Dienste des ZIH uneingeschränkt zur Verfügung. Lediglich 29 Nutzer hätten die besagte Nachricht tatsächlich erhalten sollen; sie werden jetzt persönlich vom ZIH benachrichtigt.

Kein Studierender wurde im Zusammenhang mit dieser Mail tatsächlich exmatrikuliert, kein Mitarbeitervertrag beendet.