Der Hackerangriff auf die UNI DUE entfaltet weiter seine Wirkung. Nachdem nochmals ein zweiter Angriff erfolgt sein soll und den Hackern gegenüber nicht nachgegeben wurde (Erpressung, Geldforderung), haben diese anscheinend nun Daten teilweise im Darknet veröffentlicht.
Und obwohl noch lange nicht alle IT-Funktionen wie vormals wieder hergestellt sind sollen die Studierenden ihre Prühfungen ablegen können, womit der AStA nicht so ganz einverstanden ist – er fordert sogenannte Freiversuche.
In den letzten Wochen hatte ich zu etlichen Betroffenen Kontakt, sowohl zu Studierenden als auch zu Lehrkräften, die teils von chaotischen Zuständen sprachen und von wenig Transparenz seitens der Hochschulleitung.
Tja und genau davon kann ich auch ein Lied singen.
So hatte ich kurz nach dem Hackerangriff am 4. Dezember elf Fragen an die UNI gemailt. Diese Fragen wiederhole ich weiter unten nochmals. Bisher blieb jede Reaktion aus, geschweige denn, dass dezidiert geantwortet wurde.
Sicherlich auch ein Hinweis auf die Überforderung der UNI-Leitung plus IT-Abteilung oder deren Unwillen etwas zuzugeben.
Nun da Daten auftauchen könnte es spätestens zu begründeten Strafanzeigen und/oder auch zu Schadenersatzforderungen kommen (Anmerkung: Ich würde es sofort tun.), weshalb es aus versicherungstechnischen Gründen und um sich nicht selbst zu belasten für die Verantwortlichen besser sein kann zu schweigen was Details angeht, die auf ein eigenes Versagen hindeuten bzw. hindeuten könnten. Immerhin drohen auch hohe Bußgelder.
https://keyed.de/blog/verstoss-gegen-den-datenschutz/
Hier nochmals meine Fragen vom 4. Dezember:
1. Handelt es sich um einen typischen Ransomware-Angriff von aussen?
2. Ist ausgeschlossen, dass die Kompromittierung von innen (UNI-Mitarbeitende, Dienstleister u.a.) erfolgt ist?
3. Welche Forderung(en) haben die Angreifer?
4. Wie konnte der Angriff erfolgen, an welcher Stelle/an welchen Stellen erfolgte er?
5. Welche IT-Schäden wurden verursacht, kurz-, mittel- und langfristig, und welche Vermögensschäden entstanden bzw. könnten entstehen (Forschungsdatenverlust etc.)?
6. Ist die UNI für den Fall ausreichend gegen die Schäden versichert?
7. Wurden die Daten gesichert (Backups, Spiegel) und könnten dadurch nicht wesentliche Teile/Funktionen schon längst wieder in Betrieb bzw. wieder hergestellt sein?
8. Wie gross ist die IT-Abteilung der UNI (Personenzahl) und wurden alle Daten etc. nur im eigenen Rechenzentrum gelagert/verarbeitet?
9. Wie gross ist die Personenzahl der zuarbeitenden IT-Dienstleister von ausserhalb (Auftragnehmer)?
10. Wer trägt die persönliche Verantwortung für den Vorfall?
11. Wie lautet konkret die Strafanzeige bei der Staatsanwaltschaft bzw. Polizei?
Mehr Infos auf der speziell eingerichteten UNI-Not-Seite:
https://www.uni-due.org/udeoffline/kriminelle-veroeffentlichung-von-daten-im-darknet/
Hier noch Infos zum Datenschutzbeauftragten der UNI:
Dr. Kai-Uwe Loser
(Behördlicher Datenschutzbeauftragter der Universität Duisburg-Essen)
Forsthausweg 2
47057 Duisburg
Tel.: +49 234 32 28720
kai-uwe.loser (at) uni-due.de
Website: www.uni-due.de/verwaltung/datenschutz
Quelle:
https://www.wiwi.uni-due.de/datenschutz/
Hinweis: Wer Daten bei der UNI bzw. auf deren Servern abgelegt hat, hat übrigens ein Auskunftsrecht gemäß DSGVO.
Aus der provisorischen Website ist der Name des Datenschutzbeauftragten (s.o.) merkwürdigerweise entfernt worden:
https://www.uni-due.org/datenschutzerklaerung/#m3
Aber man kann den Mann auch hier erreichen, denn er ist auch Datenschutzbeauftragter der RUB:
https://dsb.ruhr-uni-bochum.de/dr-kai-uwe-loser/
Hier seine Publikationen – nur bis 2010(!!!???):
Fazit:
An den Mann würde ich mich als Studierende(r) mal wenden. Was ich auf jeden Fall auch mache.
Und: Ich hoffe nicht, dass Nachnamen ein schlechtes Omen sind.