Bei der Heinrich-Heine-Universität Düsseldorf (HHU) gab es wohl im März 2024 einen erfolgreichen Cyberangriff, bei dem unbefugt auf Nutzerdaten zugegriffen wurde. Angeblich sollen Nutzerkonten für diesen Angriff kompromittiert worden sein. Die Daten von über 60.000 Personen sowie Klausurdaten seien abgezogen worden, heißt es. Hier eine kurze Übersicht über den Vorfall.
Anzeige
Blog-Leser Marcel hat mich gestern per Mail über diesen Vorfall informiert und den Link auf die offizielle Verlautbarung der HHU mitgeschickt (danke dafür).
Der Mitteilung der Hochschule zufolge, wurde der Angriff bereits "Mitte März" 2024 bemerkt. Die von der IT verwendeten "Intrusion Detection-Systeme" hatten einen Angriff auf die IT-Systeme der Universität bemerkt.
Zugriff auf Klausuren und Nutzerdaten
Die Analyse zeigte, dass die Angreifer über gestohlene Zugänge einiger weniger Studierender Zugriff auf das E-Klausurensystem und auf einen dort archivierten Datensatz hatten. Das System enthielt laut Hochschule beispielsweise Prüfungsfragen und -antworten, deren Bewertungen sowie die Namen von rund geprüften 15.000 Studierenden.
Der Datensatz enthält jedoch keine Klausurnoten. Die HHU schreibt dazu: "Eine Manipulation der Klausurdaten und Noten konnte mit Sicherheit ausgeschlossen werden". Denn notenrelevanten Klausurergebnisse selbst konnten von den Angreifern nicht verändert werden, da die für die Benotung notwendigen Daten jeweils unmittelbar nach den Klausuren exportiert wurden. Aktuell gibt es keinen Hinweis darauf, dass die Täterinnen oder Täter Daten aus dem System heruntergeladen haben.
Neben den Daten für die Klausurnoten wurde vom Cyberangriff auch ein zweiter Datensatz betroffen, der Daten von Nutzern (Studierenden, Mitarbeitenden, Alumni und Gästen der HHU mit Zugriff auf die HHU-Systeme) enthält. Der betroffene Datensatz beinhaltete Nutzerdaten wie Name und E-Mail-Adresse, bei Studierenden zusätzlich die Matrikelnummer und das Studienfach, und bei Mitarbeitenden noch die Strukturzugehörigkeit.
Es ist die Rede davon, dass mehr als 60.000 Universitätskennungen entwendet wurden. Keinen Zugriff hatten die Angreifer auf Passwörter und weitere personenbezogene Daten. Die IT der Hochschule ist sich daher sicher, dass die zugehörigen Accounts nicht übernommen werden können und daher weiter als sicher zu betrachten sind.
Zugriff über Zugangsdaten
Interessant erscheint mir der von der Universität in der Mitteilung skizzierte Zugriffsweg. Die Angreifer konnten mittels entwendeter Zugangsdaten Zugriff auf die E-Klausuren-Plattform der HHU erlangen. Das wäre noch ein begrenzter Zugang. Allerdings gab es eine Sicherheitslücke in diesem System, so dass die Angreifer Zugriff auf sonst nicht zugängliche Daten erhielten. Dies ermöglichte im Anschluss die oben erwähnten Daten aus dem zweiten Datensatz abzuziehen.
Anzeige
In der Mitteilung der Universität heißt es, dass HHU im Jahr 2023 neue Sicherheitssysteme etabliert habe, so dass der Angriff schnell erkannt worden sei. Dadurch sei es der IT möglich gewesen, Gegenmaßnahmen einzuleiten. Die kompromittierten Zugänge der Studierenden seien innerhalb von Stunden gesperrt und das betroffene IT-System am Folgetag außer Betrieb genommen worden. So habe man weiteren Schaden abgewendet.
Die entwendeten Daten erlauben keinen Zugriff auf die Konten weiterer Studierender oder Mitarbeiter und keine Kompromittierung weiterer IT-Systeme der HHU. Die Universität nimmt den entstandenen Verlust sehr ernst, die Betroffenen werden, soweit möglich, informiert.
Die HHU hat den Vorgang bei der zuständigen Aufsichtsbehörde für den Datenschutz gemeldet und hat Strafanzeige wegen der Angriffe gegen Unbekannt erstattet.
2015
"Im Westen nichts Neues"
Wieso kommt mir hier (in Deutschland) bei einem Abfluß von Daten einer Universität sofort der Film "Wargames" in den Sinn – IMSAI und Akustikkoppler und so…
Was sagt denn der Leiter des Fachbereiches "Informatik" mit Lehrbefugnis dazu ?
– so als Spitzenbeamter ;)
Der war gut :-)
Die Aufgabe eines Fachbereichsleiters einer Uni sind Forschung, Lehre und Organisation, nicht die Absicherung von IT-Systemen. Dafür hat eine Hochschule ein Rechenzentrum, mit dem Fachbereichsleitungen nichts zu tun haben.
"Absicherung von IT-Systemen…….mit dem Fachbereichsleitungen nichts zu tun haben"
aha – augenscheinlich – k.w.t. :))))
Ich wüsste jetzt nicht, was es daran nicht zu verstehen gäbe…
Die IT-Landschaft ist an einer Uni eine völlig andere Baustelle als die Leitungen irgendwelcher Fachbereiche. Dafür werden Fachbereichsleitungen nicht bezahlt, das ist nicht deren Aufgabenbereich und sie haben oft auch nicht die Kompetenz dafür (niemand, der Informatik studiert hat, kann alles, was mit Informatik zu tun hat). Das ist, wie schon gesagt, Aufgabe der Angestellten des Rechenzentrums.
> … Aufgabe der Angestellten des Rechenzentrums.<
Ich verstehe was Sie meinen, aber auch Ihre Sicht ist nicht zutreffend.
Gerade an der HHU Düsseldorf rühren in Sachen IT neben dem 'Rechenzentrum' noch jede Menge anderer Köche den Brei, wie Sie bspw. S. 22 der Digitalisierungstrategie (1) entnehmen können. Ich will gar nicht wissen wieviel digitaler Unverstand sich in den dortigen "Arbeitsgruppen" tummelt. Womöglich mischt da sogar noch das "Gender Consulting" (2) mit und kontrolliert das Wording (Datenträgerinnen etc. pp.).
(1) fodako.nrw/fileadmin/redaktion/Forschungsdatenmanagement/HHU_Digital_20181129.pdf
(2) hhu.de/die-hhu/organisation-und-gremien/selbstverwaltung-und-interessensvertretungen/beauftragte-und-koordinierungsstellen/zentrale-gleichstellungsbeauftragte-1/coaching-fuer-professorinnen-1
In (1) steht ja, dass für die Digitalisierung das ZIM (Zentrum für Informations- und Medientechnologie) zuständig ist.
Das hat aber überhaupt nichts damit zu tun, dass Fachbereichsleiter irgendwas mit der IT-Sicherheit zu haben würden.
Dazu wäre überhaupt erstmal die Kompetenz dafür notwendig. Ein FBL Informatik ist aber vielleicht Softwareentwickler, der keinen Plan von IT-Sicherheit hat. Das ist auch völlig in Ordnung. Mein Orthopäde kann mir keinen Herzkatheter setzen, obwohl er Medizin studiert hat.
Ich kann nur nicht mehr hören wie Leute meinen, dass an einer Uni ja jeder alles kann und jede Uni daher ein Bollwerk an Sicherheit bieten muss. Das Gegenteil ist der Fall. Für jeden FB wird einer, der nicht schnell genug weg gerannt ist, zum IT-Admin gemacht, egal was für einen Werdegang er hat. Der Informationssicherheitsbeauftragte muss dann zusammen mit dem Rechenzentrum (oder hier ZIM) den Karren aus dem Dreck ziehen. Der FBL ist da völlig aussen vor. Vielleicht sitzt er mal in irgendeinem Gremium, falls er Zeit und Lust dazu hat. Das war's dann aber auch.
Die Etablierung einer zentralen Brigade "Gender Consulting" ist da noch gar nichts. Richtig schlimm wird es, wenn in der Informatik die Geschlechtsfragenfixierung auch noch Einzug in die Curricula hält (1).
Die IT ächzt unter Cyberangriffen und ein paar Blumenkinder meinen, den Laden auch noch durch weltfremde 'Männlein/Weiblein/sonstwas'-Diskussionen ausbremsen zu dürfen.
(1) www2.hu-berlin.de/genderingmintdigital/informatik/
Oho! Im Text steht an einer Stelle "Mitarbeiter"! Und "Nutzerdaten/-konten". Und "Angreifer". Der/die/das/d* Gend-er/sie/es/*beauftragte macht hier ihren/seinen Job nicht richtig.
Und wer weiß, ob "Blog-Leser Marcel " sich (dieses Jahr) noch amtlich als Mann ansieht. Kann bald 10.000 Öre kosten, solch unvorsichtigen Formulierungen.
Tja, Hauptsache ganz viel Gender und E-sonstwas…
Ansonsten danke für den Beitrag.
Niemand muss sich um die Absicherung von IT-Systemen kümmern. Dafür hat Deutschland das BSI.
jetzt bin ich etwas beruhigt – Zielrichtung erfaßt, wenn auch nicht von "Schnicke"
p.s. Natürlich ist mir bewußt, das der Fachbereichsleiter hier nicht die operative Verantwortung trägt, aber als Inhaber des Lehrstuhls mit entsprechender Fachexpertise, sollten ihm nach dem 3. (öffenlich bekannt gewordenen) "Fail" an seiner Hochschule, die "Nackenhaare hochstehen".
Es besteht qua Amt die Möglichkeit des Vorsprechens bei der Universtätsleitung, verbunden mit einer dringlichen Handlungsaufforderung für die nahe Zukunft.
Wenn es Mangels eigener Expertise nicht anders geht, auch mit Unterstützung einer Bundesbehörde (BSI). Auf den ersten Blick sehe ich jedoch das entsprechende Pendant des Bundeslandes als zuständig an.
Entschuldigung – hatte nicht die Absicht, am Linux-Bärtchen zu ziehen
Kaufe mir jetzt auch demnächst einen Hoodie und werde dann ehrfürchtig und wissbegierig lauschen ;)
Nach (1) und (2) wäre das dann der Hattrick. Andernorts gelten Universitäten als Horte von Wissen und Klugheit. In Düsseldorf gibt die dortige Einrichtung – was EDV anbelangt – aber eher Anlass zur Umbenennung: in Dusseldorf.
(1) borncity.com/blog/2020/09/10/dsseldorfer-uniklinik-it-ausfall-durch-cyberangriff/
10.09.2020
(2) borncity.com/blog/2023/08/01/cyberangriffe-auf-wildeboer-eska-trinkwasserverband-stader-land-uni-dsseldorf/
01.08.2023
Wer möchte das der Urologe die Herz-OP durchführt?
Was ist so schwer zu verstehen, das es in allen Fachgebieten weiterhin Spezialisierungen gibt?