Düsseldorf – Mitte März erkannten spezielle sogenannte „Intrusion Detection-Systeme“ an der HHU einen Angriff auf die IT-Systeme der Universität. Über gestohlene Zugänge einiger weniger Studierender erhielten Kriminelle Zugriff auf das E-Klausurensystem und auf einen dort archivierten Datensatz, der beispielsweise Prüfungsfragen und -antworten, deren Bewertungen sowie die Namen von rund geprüften 15.000 Studierenden enthält. Der Datensatz enthält jedoch nicht die Klausurnoten.
Eine Manipulation der Klausurdaten und Noten konnte mit Sicherheit ausgeschlossen werden: Die notenrelevanten Klausurergebnisse selbst konnten von den Angreifern nicht verändert werden, da die für die Benotung notwendigen Daten jeweils unmittelbar nach den Klausuren exportiert wurden. Aktuell gibt es keinen Hinweis darauf, dass die Täterinnen oder Täter Daten aus dem System heruntergeladen haben.
Der zweite vom Angriff betroffene Datensatz beinhaltete Nutzerdaten, unter anderem Name, E-Mail-Adresse, bei Studierenden Matrikelnummer und Studienfach und bei Mitarbeitenden die Strukturzugehörigkeit. Insgesamt wurden Daten zu mehr als 60.000 Universitätskennungen entwendet. Diese Kennungen gehören zu Studierenden, Mitarbeitenden, Alumni und Gästen der HHU mit Zugriff auf die HHU-Systeme.
Keinen Zugriff hatten die Täter auf Passwörter und weitere personenbezogene Daten, so dass die zugehörigen Accounts sicher sind und nicht übernommen werden können.
Der Angriff erfolgte mithilfe entwendeter Zugangsdaten, mit denen der Zugang in die E-Klausuren-Plattform der HHU gelang. Über eine Sicherheitslücke in diesem System erhielten die Täter Zugriff auf sonst nicht zugängliche Daten; hierüber flossen dann auch die Nutzerdaten ab.
Die HHU hat im letzten Jahr neue Sicherheitssysteme etabliert, so dass der Angriff schnell erkannt wurde und Gegenmaßnahmen eingeleitet werden konnten: Die kompromittierten Zugänge der Studierenden wurden innerhalb von Stunden gesperrt und das betroffene IT-System am Folgetag außer Betrieb genommen. So konnte weiterer Schaden abgewendet werden.
Die HHU hat den Vorgang bei der zuständigen Aufsichtsbehörde für den Datenschutz gemeldet und hat Strafanzeige wegen der Angriffe gegen Unbekannt erstattet.
Die entwendeten Daten erlauben keinen Zugriff auf die Konten weiterer Studierender oder Mitarbeiter und keine Kompromittierung weiterer IT-Systeme der HHU. Die Universität nimmt den entstandenen Verlust sehr ernst, die Betroffenen werden, soweit möglich, informiert.