Universitätsbibliotheksleitung reagiert und richtet Passworteingabe an Ausleihautomaten ein
Wie konnten wir uns Bücher über fremde Benutzerkonten ausleihen? Zum Ausleihen braucht man lediglich den Bibliotheksausweis. Auf dessen Rückseite findet sich eine Buchstaben- und Zahlenkombination – die Benutzerkennung. Der Barcode darüber enthält lediglich diese Kennung. Sie wird fortlaufend vergeben – die Systematik an einem Beispiel gezeigt:
- UBWSxxxxxxxxxx1
- UBWSxxxxxxxxxx2
- UBWSxxxxxxxxxx3
Ergo: Die eigene Kennung „+1“ ergibt ein fremdes Benutzerkonto – wenn nicht gesperrt, gelöscht oder Ähnliches. Der neue Code kann per Online-Tool als Barcode ausgeben und anschließend ausgedruckt werden. Im Selbstversuch konnten wir so Fachbücher im Wert von rund 200 Euro ausleihen, die wir natürlich später zurückgegeben haben.
Potenzieller Schaden für Uni und Studierende

Was könnte passieren, wenn auch andere auf diese Idee kämen? Jemand leiht sich teure Bücher auf euren Account aus und ihr merkt es erst beim nächsten Einloggen oder durch anfallende Strafgebühren. Schlimmer noch: Die Bücher sind weg und der finanzielle Schaden da – entweder auf Studierendenseite, die die Bücher womöglich ersetzen soll oder für die Bibliothek, die ihre Neuanschaffung finanzieren muss. Die Frage, ob Missbrauch oder Selbstverschulden vorliegt, dürfte dabei kaum zu beantworten sein. blickfeld hat die Bibliotheksleitung gestern Mittag auf das Sicherheitsproblem hingewiesen, mögliche Folgen angesprochen und um Stellungnahme gebeten.
Bibliotheksleitung reagiert: Selbstausleihe nur noch per Passwort möglich
Seit gestern 16 Uhr ist die Nutzung der Ausleihautomaten nur noch durch Eingabe des eigenen Benutzerpassworts möglich, welches individuell gesetzt werden kann – der Barcode alleine reicht nicht mehr aus. Dies wurde gegenüber blickfeld kurze Zeit nach unserer Anfrage von Seiten der Bibliotheksleitung angekündigt, wenig später umgesetzt und von uns auch getestet. Die Sicherheitslücke in der beschrieben Form wurde geschlossen, unbefugte Personen haben so keinen Zugriff mehr auf fremde Benutzeraccounts. »mw & hs«