»Horde« nach 20 Jahren abgeschafft
Das rund 20 Jahre alte Webmailprogramm »Horde« hat ausgedient. Schuld ist eine »gravierende« Sicherheitslücke, wie die Justus-Liebig-Universität auf Anfrage mitteilte.
Gießen . Für viele Studierende war es bei jedem Login eine Zeitreise in die Vergangenheit. Das universitätseigene Mailprogramm der Justus-Liebig-Universität (JLU) mit dem Namen »Horde« war ein Fall für sich. Die Benutzeroberfläche erinnerte an Windows XP oder noch frühere Generationen, immer wieder stürzte mitten während des Mailschreibens das Programm mal ab und die bisher geschriebenen Zeilen waren passé. So manchmal trieb das Mailprogramm einen Studierenden dann auch mal in den Wahnsinn, vor allem beim Herunterladen von Dateien oder größeren Anhängen. Nun hat das rund 20 Jahre alte Webmailprogramm ausgedient. Schuld ist eine »gravierende« Sicherheitslücke, wie die Hochschule auf Anfrage mitteilt.
Zugriff auf Server war möglich
»Der Schweregrad der Lücke wurde noch nicht eingestuft. Im Beitrag der Sicherheitsforscher liest es sich so, dass Angreifer nach erfolgreichen Attacken Schadcode auf dem zugrundeliegenden Server ausführen konnten. So etwas ist in der Regel als »kritisch« eingestuft, heißt es auf Internetportalen wie heise.de. Zudem könnten Angreifer die Anmeldeinformationen von Opfern im Klartext sehen. »Unabhängig von dem mittlerweile existierenden Patch werden wir Horde nicht wieder in Betrieb nehmen«, stellt Pressesprecherin Lisa Dittrich klar. Das Hochschulrechenzentrum hatte von der Sicherheitslücke erfahren und am selben Tag den Zugang abgeschaltet, andere Hochschulen taten es der hiesigen Uni gleich.
Was tun aber nun die Studierenden, die darauf harrten, wieder ihre Mails verwenden zu können? »Der Zugriff auf die JLU-Mails über die gewohnte Horde-Webmail-Oberfläche mit HRZ-Kennung und Netzpasswort ist nicht mehr möglich«, betont die Universität.
Altersruhestand
Das werde auch so bleiben, denn die JLU wird Horde aus Sicherheitsgründen nicht wieder in Betrieb nehmen und in den Altersruhestand schicken. »Um auf die JLU-Mails zugreifen zu können, musste für eine kurze Übergangszeit von einigen Tagen zwingend eines der gängigen E-Mail-Programme genutzt werden«, so Dittrich weiter. Die Sicherheitslücke greift zugleich einer JLU-internen Planung ohnehin vor. »Wir haben die Sicherheitslücke bei Horde zudem zum Anlass genommen, die ohnehin geplante Umstellung aller studentischen Postfächer auf das Mailsystem Exchange vorzuziehen. Dies ist mittlerweile erfolgt, sodass die Studierenden jetzt wieder die Möglichkeit haben, im Browser mit HRZ-Kennung und Netzpasswort auf ihre E-Mails zuzugreifen. Lediglich die Webmail-Oberfläche hat sich geändert - ist aber unter Exchange deutlich moderner und komfortabler«, stellte die Pressestelle klar.
Vom Jahr 2002 quasi direkt ins Jahr 2022 katapultiert zu werden, das dürfte für viele Nutzer angenehm sein. Die bisherigen Mails von Horde können wiederhergestellt werden. »Es wurde ein Tool bereitgestellt, um die E-Mails aus Ihrem bisherigen IMAP-Postfach automatisiert in Ihr neues E-Mail-Postfach in unserem E-Mail-System Exchange kopieren zu können. Den Link zu diesem Tool finden Sie in Ihrem E-Mail-Postfach«, schreibt die Hochschule. Beim Test, ob das tatsächlich einwandfrei funktioniert, stellte sich heraus, dass binnen einer Stunde alle Mails wieder verfügbar werden. Muss ein Benutzer von Horde nun davon ausgehen, dass unter Umständen Viren auf dem Rechner sein könnten?
Was das angeht, entwarnt die Universität. »Wir haben keine Hinweise darauf, dass Daten von Horde-Webmail-Nutzerinnen und Nutzern der JLU kompromittiert wurden. Wir gehen zudem davon aus, dass alle JLU-Angehörige ihre Rechner mit geeigneten Anti-Viren-Programmen schützen«, betont die Pressestelle und bekräftigt, dass das bisherige Mailprogramm nicht mehr zum Tragen kommen wird.
So bleibt für viele Generationen von Studierenden nur noch zu sagen: Tschüss, Horde. Mach es gut und danke, dass es dich gab.