[9.2.2023] Aktualisierung der Hinweise nach Artikel 34 DSGVO

Justitiariat / Datenschutzbeauftragter

Dass die Universität Duisburg-Essen Ziel eines groß angelegten Cyber-Angriffs wurde, ist bereits an dieser Stelle mitgeteilt worden. Das gilt auch für die inzwischen erfolgte Veröffentlichung von Daten. Mit dieser Information soll über den aktuellen Stand der Kenntnisse informiert werden.

Chris – stock.adobe.com

Die Systeme werden weiter sukzessive wiederhergestellt. Das Ziel eines Normalbetriebs wird mit Hochdruck verfolgt und Sie merken sicherlich, wieviel bereits wieder funktioniert.

Die von den Kriminellen angedrohte Veröffentlichung von gestohlenen Daten ist inzwischen erfolgt. Die Menge der Daten und die eingeschränkte Datenübertragungsmöglichkeit beschränken die Auswertbarkeit stark. Es braucht daher geraume Zeit, sich einen vollständigen Überblick zu verschaffen. Die Daten befinden sich in einem nicht unmittelbar zugänglichen Bereich (TOR-Netzwerk, „Darknet“), sind somit zurzeit nicht durch einfache Suchmaschinen auffindbar. Sollte Ihnen auffallen, dass im öffentlichen Internet Daten aus dem Hack auftauchen, so bitten wir um Mitteilung. Es bestehen Sperrmöglichkeiten zumindest bei den Suchmaschinen, die die Daten unzugänglicher machen und die die UDE dann umgehend anstößt.

Über den Erkenntnisstand bekannter Daten informieren wir hier schrittweise. Wie oben erläutert ist der Stand leider nicht abschließend und vollständig.

Studierenden- und Absolventendaten:

Es ist eine Liste aller Studierenden des Wintersemesters 22/23 veröffentlicht worden. Die Liste enthält Namen und Kontaktdaten (postalisch, UDE-Email, keine Telefonnummern), Semesterzahl sowie Studiengangs- und Fakultätszuordnung. Diese Listen existieren ebenfalls für die Absolvent:innen und ohne Abschluss exmatrikulierten Studierenden der letzten Jahre.

Dabei kann es zu Risiken für einzelne Studierende und Absolvent:innen kommen, wenn die Adressen aus spezifischen Gründen nicht veröffentlicht werden sollten (Stalking o.ä.).

Vereinzelt sind beispielsweise Semester- und Abschlussarbeiten, Einsichtsprotokolle zu Prüfungen und Ergebnislisten zu Einzelprüfungen bzw. Notenspiegel von Studierenden oder ähnliches zu finden. Besondere Risiken für die betroffenen Personen konnten daraus bisher nicht abgeleitet werden.

Persönliche Verzeichnisse:

Es sind vereinzelt persönliche Verzeichnisse von Beschäftigten veröffentlicht worden. Diese werden sukzessive persönlich informiert, wenn sie identifiziert werden konnten. Die Identifizierung der Inhaber:innen ist nicht unmittelbar und einfach möglich. Wenn dabei in diesen Verzeichnissen weitere Daten identifiziert werden, so werden weitere Schritte eingeleitet. Auch können aus den Inhalten der dort abgelegten dienstlichen Daten weitere Personen betroffen sein.

Forschungsdaten:

Es wurden Dateien aus Forschungskontexten gefunden, die einen medizinischen Hintergrund haben. Auch hier ist das Ziel, persönlich zu informieren. Die Daten (Probandendaten) weisen Vor-, Nachname und teilweise Geburtsdaten auf und sind mit Untersuchungen teilweise verbunden. Für die Identifizierung wird in Zusammenarbeit mit dem UK Essen gerade eine Lösung erarbeitet, um betroffene Personen dann direkt gemeinsam mit den forschenden Bereichen anzusprechen und zu informieren.

Weiterhin gilt:

Dass an der UDE an vielen Stellen an der Wiederherstellung des Betriebs gearbeitet wird, merken Sie hoffentlich. Dass es vor allem bei Verlust von Daten kulante und pragmatische Lösungen geben wird, um Folgen zu minimieren, ist selbstverständlich.

Weiterhin ist davon auszugehen, dass von dem Angriff Zugangsdaten betroffen sind. Veröffentlicht wurden solche Daten aber aktuell nicht. Es bleibt bei der Empfehlung sorgsam mit den Zugangsdaten umzugehen. Wenn Sie ihr Passwort noch nicht geändert haben, tun Sie dies umgehend – auch um die inzwischen verfügbaren Dienste nutzen zu können.

Systeme sollten aktuell regelmäßig hinsichtlich Schadsoftware (Antiviren-Software) untersucht werden. Dazu steht intern wieder ein Sophos-Update-Server zur Verfügung. In Verdachtsfällen und bei Funden muss das System zwingend bereinigt werden. Ist eine Bereinigung nicht möglich, muss das System neu aufgesetzt werden. Melden Sie solche Systeme an isb.zim@uni-due.org.

Aktuelle Informationen zu den Fragen finden sich auf der Webseite www.uni-due.de. Auch der Datenschutzbeauftragte wird sich bemühen, Fragen zu beantworten. Er ist unter kai-uwe.loser@uni-due.de erreichbar.