„Horde“ als Webmailer an deutschen Unis – Potentielle Gefahr?

bleifrei · 3. März 2024 um 10:12

User @Reklow postete im Thread „E-Mail verschlüsseln mit S/MIME?“ eine entsprechende Anleitung zum Thunderbird:

Als ich mir die Website bzw. die anderen Anleitungen ansah, stellte ich fest, dass die Uni Marburg wohl den Webmailer „Horde“ verwendet. Allerdings wird dieser nicht mehr weiterentwickelt bzw. nicht mehr gepflegt (siehe auch Änderungen auf der Website von „Horde“). Die Verwendung von „Horde“ verwunderte mich auch deshalb, da meine damaligen Uni von „Horde“ zu „ Roundcube“ aus den obigen Gründen wechselte – scheinbarer Stillstand in der Entwicklung.

Daraufhin nutze ich eine Suchmaschine und gab „Horde Uni“ ein. Die Treffer zeigen einige deutsche Unis an wie bspw. Frankfurt, Köln, Bremen und München.

Darüber hinaus stand dies auch schon in der Kritik (27.12.2023), wie ich bei der Suche herausfand; nämlich an Münchener Schulen, die „Horde“ verwenden bzw. hoffentlich verwendeten:
https://www.br.de/nachrichten/bayern/warum-muenchner-schulen-einfallstore-fuer-hacker-sind,TzCCxw2

So ist dem Artikel folgendes zu entnehmen:

Der Web-Mailer Horde, den viele Grund- und Hauptschulen der Stadt München nutzen, hat seit Juni 2020 keine Updates mehr erhalten. In dreieinhalb Jahren keine Updates machen zu können, das sei brandgefährlich, sagt IT-Sicherheitsexperte Florian Hansemann von der Firma HanseSecure: „Das ist eine extrem alte Software, die Wahrscheinlichkeit ist sehr hoch, dass man da Sicherheitslücken findet.“ Was noch schlimmer sei, so Hansemann, die Software erhalte grundsätzlich keine Updates mehr. Sie hat ihr sogenanntes ‚End of Life‘ erreicht.

Bundesamt warnt vor offenen Schwachstellen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: „Schwachstellen in Büroanwendungen und anderen Programmen sind nach wie vor eines der Haupteinfallstore für Cyber-Angriffe.“ Da beim Horde Web-Mailer seit dreieinhalb Jahre keine Schwachstellen gepatcht werden, also durch ein Update behoben werden, könnten Hacker leichtes Spiel haben, so Florian Hansemann.

Während in Schulen in der Regel keine IT-Fachkräfte zu finden sind, gibt es diese an deutschen Hochschulen schon. Umso mehr bin ich darüber verwundert.

Wie seht ihr das Thema? Ist es viel lärm um Nichts oder sind die Bedenken begründet?

NonKon · 3. März 2024 um 10:20

Seltene Updates können auch von Reife zeugen, und Horde ist sicher „ziemlich“ abgehangen
Ich kann mir vorstellen das an Horde einfach nicht mehr viel dran zu machen ist. Ob diesen Cyber jemand schon mal an das BDI gefaxt hat weiß ich nicht.

Reklow · 3. März 2024 um 11:25

Ich habe mal kurz „Horde Webmailer security bulletin“ in die Suchmaschine meines Vertrauens eingegeben und direkt einen Heise-Artikel aus 2022 zu Sicherheitschwachstellen in Horde gefunden. Für diese wurde jedoch 2022 noch Patches für die Schwachstelle bereitgestellt.

https://www.heise.de/news/Schadcode-Luecke-bedroht-Horde-Webmail-Kein-Sicherheitspatch-in-Sicht-7132674.html?affiliateId=17957

Die Aussage, dass es seit 3 1/2 Jahren keine Updates mehr gab scheint also nicht zuzutreffen.

Im Anschluss habe ich bei https://cve.mitre.org nach weiteren Schwachstellen zu Horde gesucht und keine neueren Einträge gefunden. Daher würde ich aktuell nicht sagen, dass der Einsatz von Horde ein Sicherheitsrisiko darstellt.

Auf der Horde-Webseite https://www.horde.org/apps/webmail/ habe ich auch keinen Hinweis darauf gefunden, dass das Projekt eingestellt wurde. Daher würde ich NonKon zustimmen, dass vielleicht einfach Horde fertig entwickelt ist und es deshalb keinen Grund für neue Versionen gibt.