Nach Cyberangriff: Daten von HAW-Studierenden im Darknet

Die Hochschule für Angewandte Wissenschaften (HAW) am Berliner Tor in Hamburg war Ziel eines Cyberangriffs mit weitreichenden Folgen. © imago images/Stephan Wallocha | via www.imago-images.de

Hamburg. Hochschule informiert in einem Schreiben über die gravierenden Folgen. Was der Datenschutzbeauftragte rät.

Der Cyberangriff auf die Hochschule für Angewandte Wissenschaften(HAW) Hamburg Ende Dezember 2022 hat nun auch gravierende Folgen für die Studierenden. Die Hochschule informierte sie jetzt in einem Schreiben darüber, dass die Angreifer in die internen IT-Systeme der Hamburger Hochschule eingedrungen seien und Daten heruntergeladen hätten.

Am 5. März hätten sie diese Daten nun im Darknet veröffentlicht, heißt es weiter. „Wir wurden durch die ermittelnde Einheit des Landeskriminalamtes informiert“, bestätigte HAW-Sprecher Matthias Echterhagen dem Abendblatt.

Nach Cyberangriff: HAW-Studierende fürchten um ihre Daten im Darknet

„Leider müssen wir Ihnen mitteilen, dass Sie von diesem Vorfall betroffen sind. Wir bedauern diesen Vorfall außerordentlich und möchten Sie mit diesem Schreiben im Rahmen unserer Informationspflicht gemäß Art. 34 DV.GVO über den Sachverhalt informieren“, heißt es in dem Brief des HAW-Präsidiums an die Studierenden. Laut Echterhagen könnten neben Studenten, Bewerbern und Dozenten auch ehemalige Studierende, (ehemalige) Beschäftigte, Dienstleister und Kooperationspartner betroffen sein

Das Schreiben an die Studenten enthält eine Auflistung der Folgen, die die Veröffentlichung der Daten haben kann: Kontrollverlust, Identitätsdiebstahl, Betrug (z. B. Phishing-Angriffe), Rufschädigung/Diskriminierung/ggf. Aufhebung der Pseudonymisierung (z. B. Matrikelnummern), Versuche der finanziellen Schädigung.

Hochschule rät Betroffenen, Nutzungsdaten und Passwörter zu ändern

Die HAW rät den Betroffenen weiter, die Nutzungsdaten und Passwörter zu ändern und Anzeige bei der Polizei zu erstatten, sofern sie Opfer eines Betrugsversuchs würden, der mit den veröffentlichten Daten im Darknet im Zusammenhang stehen könnte. „Verweisen Sie in der Strafanzeige bei der Polizei bitte auch auf das polizeiliche Aktenzeichen zum Cyberangriff“, heißt es dazu. Bei Fragen wenden Sie sich gerne an unsere im Briefkopf genannte Anlaufstelle.“

„Es ist ein ungutes Gefühl, wenn sehr persönliche Daten im Internet rumgeistern“, sagte eine betroffene Studentin dem Abendblatt. „Viele Kommilitoninnen und Kommilitonen wundern sich über den laxen Umgang der HAW mit der Problematik.“ Sie weiß auch zu berichten, dass Mails und andere Nachfragen von Studienkolleg/-innen zum Datenklau unbeantwortet blieben.

Nach Cyberangriff: Hochschule konnte viele Anwendungen wieder in Betrieb nehmen

Laut HAW-Sprecher Echterhagen konnten mittlerweile neue E-Mail-Accounts, Teams und wichtige Anwendungen wie das Studierendenportal myHAW (mit noch eingeschränkter Funktionalität) wieder dauerhaft in Betrieb genommen werden.

Er zählt auf: Die Microsoft-Cloud-Umgebung mit den entsprechenden Office-365-Anwendungen wurde erfolgreich neu aufgesetzt. Für die Moodle-Lernplattform EMIL („Elektronische Medien Informationen Lehre“) konnte eine Übergangslösung geschaffen werden, alte Kursmaterialien des Sommersemesters 2022 und Wintersemesters 2022/23 konnten wiederhergestellt werden. Bibliothekskataloge stehen seit einiger Zeit wieder zur Verfügung. Services wie HAW Cloud oder VPN stehen aktuell noch nicht zur Verfügung.“

HAW kann den Schaden noch nicht genau beziffern

Die Wiederherstellung der Basisinfrastruktur und das derzeit erfolgende Neuaufsetzen sowie der Aufwand für die Reaktion und Aufklärung binden seinen Angaben zufolge insbesondere in der IT-Abteilung viele Kapazitäten. Die Höhe des Schadens stehe noch nicht fest. „Wir befinden uns mitten im Neuaufbau der Systeme und können den Schaden noch nicht konkret beziffern.“

Die IT-Abteilung arbeite unterdessen weiter intensiv an der Wiederherstellung der Daten. So könnten beispielsweise die Gruppenlaufwerke und Nutzerlaufwerke der zentralen Hochschulverwaltung wieder zur Verfügung gestellt werden. „Wir müssen allerdings davon ausgehen, dass nicht alle Daten wiederhergestellt werden können. So ist beispielsweise aus sicherheitsrelevanten Gründen noch unklar, ob wieder auf alte E-Mails aus der Zeit vor dem Cyberangriff zugegriffen werden kann“, so der Sprecher.

Semesterticket musste per Post verschickt werden

Er bestätigt auch, dass die Einschränkungen zu Beginn des Jahres noch sehr groß waren, da weite Teile der IT-Infrastruktur aus Sicherheitsgründen vom Netz genommen werden mussten. Das Bewerber/-innenportal habe zu den ersten erfolgreich wiederhergestellten Funktionen gehört, sodass zu den verlängerten Bewerbungsfristen eine Bewerbung möglich war.

„Auch die Zugangscodes für die Auszahlung der Energiekostenpauschale konnten fristgerecht im Studierendenportal myHAW hinterlegt werden. Das Semesterticket musste per Post versendet werden, da der Studierendenausweis noch nicht validiert werden konnte“, so Echterhagen.

Nach dem Angriff gibt es in einzelnen Bereichen noch Einschränkungen

Mit der Wiederherstellung zentraler Systeme sei die Hochschule grundsätzlich wieder funktionsfähig. In einzelnen Bereichen gebe es weiterhin Einschränkungen. So seien noch nicht alle Funktionen innerhalb von myHAW wiederhergestellt, so sei etwa die Noteneinsicht für die Studierenden über dieses Portal noch nicht möglich. „Unsere IT-Abteilung arbeitet intensiv an Lösungen und betreibt parallel dazu den Neuaufbau der IT-Infrastruktur“, sagt der Sprecher.

Die HAW Hamburg habe keine Gespräche oder Verhandlungen mit der Erpressergruppe geführt, so Hochschulsprecher Echterhagen. Die Hackergruppe „Vice Society“ soll sich zu der Cyberattacke bekannt haben. Aktuelle Infos gibt auch die Hamburger Polizei nicht heraus: „Die Ermittlungen in dieser Sache dauern noch an“, sagte Polizeisprecher Florian Abbenseth dem Abendblatt. Zuständig ist die Abteilung für Cyber-Kriminalität des LKA Hamburg.

Der Hamburgische Datenschutzbeauftragte steht im Austausch mit der HAW

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Thomas Fuchs, stehe zu dem Hackingvorfall und dessen weiterer Entwicklung im direkten Austausch mit der HAW, sagt dessen Sprecherin Alina Schömig. „Im Rahmen der noch andauernden Gespräche werden technische Einzelheiten zur Sicherung und Bewertung der im Darknet aufgefundenen Daten und weiterer Maßnahmen, die zum Schutze der Rechte und Freiheiten der Betroffenen zu treffen sind, thematisiert.“

Der Verlust von personenbezogenen Daten und deren Veröffentlichung im Darknet – wie im vorliegenden Fall – könne für die Betroffenen ganz unterschiedliche Folgen haben.

Die möglichen Schäden für Betroffene können weitreichend sein

Die möglichen Schäden reichen vom Missbrauch von Adressdaten für illegitime Werbezwecke, über Rufschädigung durch Veröffentlichung kompromittierender Informationen bis hin zu Identitätsdiebstahl. Schutzmaßnahmen, die Betroffene selbst veranlassen sollten, sind die Änderung von Zugangsdaten und die Neuanlage von E-Mail-Konten und anderen Benutzerkonten, um einem möglichen weiteren Missbrauch vorzubeugen. Erhöhte Wachsamkeit bei Anrufen, E-Mails oder sonstigen Kontaktversuchen ist überdies ratsam.“

Gegen die Weiterverbreitung der gehackten Daten sind die Behörden machtlos

Ein Schutz gegen die Weiterverbreitung von im Darknet zugänglichen Daten sei selbst für Strafverfolgungsbehörden meist nicht möglich. „Nach unseren bisherigen Informationen sind im vorliegenden Fall über die Veröffentlichung von Daten im Darknet hinaus noch keine konkreten Missbrauchsfälle in Bezug auf die abgegriffenen Daten bekannt“, so Schömig.