Im vergangenen Februar ließ eine Nachricht die IT-Welt aufhorchen: Tausende Datenbanken des Typs MongoDB stünden ungeschützt im Netz, hieß es. Namen, Adressen und Kreditkartennummern von Millionen Kunden seien jederzeit abrufbar - darunter jene eines französischen Mobiltelefoniebetreibers. Ein Katastrophenszenario für jedes Unternehmen.
Das Leck hatte nicht irgendeine IT-Sicherheitsfirma gefunden, sondern drei Studenten der Universität Saarbrücken: Kai Greshake, Eric Petryka und Jens Heyens. Die Studenten des neu geschaffenen Studiengangs Cybersicherheit waren per Zufall auf die Sicherheitslücke gestoßen. Eigentlich wollten sie die kostenlose Datenbank MongoDB privat für ihr Studium nutzen, da bemerkten sie, dass in der Grundeinstellung keinerlei Schutzmechanismen eingeschaltet waren. Sobald eine frisch installierte Datenbank mit dem Internet verbunden war, konnte jeder die dort lagernden Daten einsehen, kopieren und sogar überschreiben.
"Das Ausmaß der gefundenen, frei zugänglichen Datenbanken hat uns wirklich überrascht", sagt Kai Greshake. Die drei Studenten informierten Institutsleiter Michael Backes über ihren Fund. Sein Institut CISPA alarmierte den Hersteller und diverse Datenschützer. "Die gespeicherten Daten reichen aus, um Identitätsdiebstähle zu begehen. Selbst wenn diese aufgedeckt werden, plagen die betroffenen Personen noch jahrelang Probleme wie etwa Verträge, die Betrüger in ihrem Namen abgeschlossen haben", sagt Backes.
Als die Tagesschau über den Fall berichtete, kannten plötzlich viele Experten aus der Wirtschaft die Namen und Gesichter der Studenten und boten ihnen Jobs an. Auch auf der Cebit, wo die drei mit ihrem Hochschulinstitut zu Besuch waren, kamen Personaler auf sie zu und drückten ihnen Visitenkarten in die Hand.
Doch alle drei wollen erst mal ihr Studium beenden. Sie stehen noch am Anfang, im zweiten Semester. Was danach kommt, wissen sie noch nicht. Möglicherweise starten sie ihre Karriere in einem Unternehmen, vielleicht bleiben sie an der Universität und forschen. Kai Greshake und Jens Heyens haben zuvor ein anderes Fach studiert, bevor sie zu Cybersicherheit wechselten. Bereut haben sie diesen Schritt nicht. Es sei ein faszinierendes Feld, sagen sie. Oft knobeln sie Stunden oder Tage an einem Problem. Das mag nicht jeder. Interesse an Mathematik sei wichtig, raten sie Schulabgängern, die mit dem Gedanken spielen, Cybersicherheit zu studieren. Der Studiengang bestehe großteils aus Informatik, "ein sehr Mathe-intensives Fach".
Von einer Vorstellung aber, sagt Heyens, müssten sich interessierte Abiturienten aber verabschieden. Davon, dass in den Tiefen des Netzes ein Kampf Mensch gegen Mensch, Computer gegen Computer stattfinde. Hollywood und die Medien hätten da viel fantasiert. "Mit der Realität hat das wenig zu tun."