IT-Sicherheitsvorfall

Auf dieser Seite erhalten Sie Informationen rund um den IT-Sicherheitsvorfall am Fachbereich 3.

Diese Seite wurde zuletzt am 8. Juni 2022 aktualisiert.

Seiteninhalt

Wie kann ich mein Passwort ändern, wenn ich die Frist für die Passwort-Änderung verpasst habe?

Gehen Sie im HTW-Accountportal auf die Seite "HTW-Passwort zurücksetzen". Dort können Sie auch ohne aktiven HTW-Account Ihr Passwort ändern.

Was ist passiert?

Einige wichtige Server des Fachbereichs 3 – Wirtschaft und Recht wurden am 28.4.2022 durch äußere Einwirkung verschlüsselt. Das Rechenzentrum und die IT des Fachbereichs 3 haben schnellstmöglich reagiert und die betroffenen Systeme isoliert und vorsorglich abgeschaltet, um die Verschlüsselung weiterer Dateien zu stoppen. Nach aktuellem Stand ist der Vorfall auf Server des Fachbereichs 3 begrenzt, die zentralen Systeme sind nicht betroffen.

Die Angreifenden haben zum Teil Zugangsdaten abgegriffen. Sie hatten Zugang zu den betroffenen Servern des Fachbereichs 3 und den darauf liegenden Daten. Es ist davon auszugehen, dass Daten in den Besitz der Angreifenden gelangt sind. Sicher ist, dass zumindest ein Beschäftigten-Postfach des Fachbereichs 3 betroffen ist. Die betroffene Person ist informiert. Unser IT-Sicherheitsdienstleister arbeitet mit uns weiter an der forensischen Aufklärung des Vorfalls und an der Schadensbegrenzung.

Wer hat den Angriff verübt?

Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir weitere Hintergründe zu den Angreifenden und ihren typischen Vorgehensweisen erhalten. Laut den uns vorliegenden Dokumenten steht die Hive-Gruppe hinter dem Angriff auf unsere Hochschule. Opfer von Ransomeware-Angriffen dieser Gruppierung sind Unternehmen und öffentliche Institutionen, darunter auch zahlreiche Hochschulen.

Was bedeutet das für die Hochschule?

Vermutlich fragen Sie sich, welche Daten den Angreifenden möglicherweise vorliegen. Forensisch sicher bestätigt ist weiterhin nur, dass die Angreifenden Zugangsdaten des Fachbereichs 3 abgegriffen haben und zumindest ein Beschäftigten-Postfach des Fachbereichs 3 betroffen ist. Sobald wir einen weiteren Datenabfluss belegen können, informieren wir die Betroffenen schnellstmöglich. 

Es ist immer noch der aktuelle Stand, dass die Angreifenden nur Zugang zu Servern des Fachbereichs 3 hatten und die zentralen Systeme nicht betroffen sind, wo beispielsweise die Studierenden-Stammdaten oder Haushaltsdaten der Hochschule gespeichert sind. 

Ihre und unsere Daten sind uns sehr wichtig. Wir nehmen den Vorfall sehr ernst. Daher haben wir vom ersten Tag an externe Unterstützung durch die HiSolutions AG hinzugezogen. Dieser beim BSI gelistete IT-Sicherheitsdienstleister hat bereits umfassende Erfahrung mit Vorfällen dieser Art, auch im Hochschulbereich. 

Die HTW Berlin hat selbstverständlich Anzeige erstattet und Kontakt mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) aufgenommen. Die Landesbehörde für Datenschutz ist informiert.

Was bedeutet das für Beschäftigte des Fachbereichs 3?

Beschäftige des Fachbereichs 3 konnten nach Bekanntwerden des Vorfalls ihre Dienstrechner aus Sicherheitsgründen zunächst nicht nutzen. Alle Beschäftigten des Fachbereichs 3 mussten zudem ihr Passwort ändern. Alle Rechner mussten geprüft und neu aufgesetzt werden. Inzwischen ist der Prozess bis auf wenige Einzelfälle abgeschlossen. 

Was bedeutet das für Studierende des Fachbereichs 3?

Alle zentralen Services für Studierende wie die Website, studentische E-Mail, Moodle, LSF, HTW-Cloud etc. funktionieren und dürfen genutzt werden. Das gilt auch für das WLAN/Eduroam am Campus Treskowallee. Es gibt inzwischen auch keine Einschränkungen mehr bei der Spezialsoftware SPSS. Alle Studierenden des Fachbereichs mussten ihr HTW-Passwort ändern.

Was bedeutet der Vorfall für die Studierenden und Beschäftigten der anderen vier Fachbereiche sowie der Fernstudiengänge der HTW Berlin?

Studierende der Wirtschaftsinformatik und Studierende des Fernstudiengangs BWL, die die IT-Services des FB3 genutzt haben, könnten ebenfalls betroffen sein. Wir empfehlen daher eine Passwort-Änderung des HTW-Accounts.

Die zentralen IT-Systeme laufen wie gewohnt. Bitte bleiben Sie trotzdem wachsam im Umgang mit IT-Diensten wie E-Mail oder Web-Services. Auffälligkeiten melden Sie bitte direkt dem IT-Support des Rechenzentrums.

Wie sieht die Strategie der Hochschule aus?

Die HTW Berlin hat kein Lösegeld gezahlt. Zum einen aus ethischen Gründen, zum anderen, weil es keine Garantie gibt, was dann weiter mit den Daten passiert. Wir haben Strafanzeige gestellt und arbeiten mit den zuständigen Behörden eng zusammen. Die Hochschule hat sich von Beginn für eine proaktive und transparente Kommunikation entschieden: Der Präsident hat am Tag, an dem der Fachbereich 3 Kenntnis vom Angriff erlangte, eine Infomail an alle Hochschulmitglieder gesendet. Am 10. Mai 2022 wurden alle Beschäftigten zu einer Infoveranstaltung eingeladen, die für die Studierenden folgte am 17. Mai. Außerdem wurden die Medien informiert.

Warum sollten FB3-Mitglieder unbedingt ihr Passwort wechseln?

Alle Studierenden, Beschäftigten und Lehrbeauftragten des Fachbereichs 3 sowie Wirtschaftsinformatik-Studierende, sofern sie die IT-Services des FB3 genutzt haben, sollten bitte ihr Passwort ändern, weil es sein kann, dass die Hacker Login-Daten abgreifen konnten. Damit hätten sie u.a. Zugang zu E-Mail-Postfächern.

Können auch Personen außerhalb der HTW Berlin betroffen sein?

Bislang gibt es keinerlei Hinweise darauf, dass von den betroffenen Rechnern des Fachbereichs 3 eine Gefahr für Externe ausging (zum Beispiel durch den Versand von E-Mails mit Anhängen). 

Die zentralen IT-Systeme, wo die Studierenden-Daten, die Daten von Studieninteressierten,  Alumni-Daten oder Partnerschaften verwaltet werden, sind vom Vorfall nicht betroffen.

Wir wissen, dass Zugangsdaten und ein Mail-Postfach des Fachbereichs 3 abgegriffen wurden. Allerdings können wir nicht ausschließen, dass weitere Daten von den Fachbereichs-Servern gestohlen wurden. Daher müssen wir aus Datenschutz-Sicht vorsorglich annehmen, dass personenbezogene Daten, die ebenfalls auf den betroffenen Systemen lagen, gestohlen worden sein könnten. 

Neben HTW-Mitgliedern könnten auch Kooperationspartner sowie Ehemalige des Fachbereichs 3 betroffen sein. Hier waren beispielsweise Adressdaten am Fachbereich gespeichert. Gleiches gilt für internationale Studienbewerber*innen aus dem Nicht-EU Ausland für Studiengänge des Fachbereichs 3, da deren Bewerbungen direkt am Fachbereich bearbeitet werden. Bei Firmen mit denen Praktikumsverträge bestehen, könnten dienstliche Kontaktdaten der Ansprechpersonen betroffen sein. 

Muss ich nur das HTW-Passwort ändern?

Falls Sie das gleiche Passwort woanders auch benutzt haben, sollten Sie es auch dort unbedingt ändern. Verwenden Sie am besten einen Passwort-Manager.

Ich studiere in einem Kooperationsstudiengang (PuMa, MaNGO). Muss ich trotzdem mein Passwort ändern?

Ja, auch dann müssen Sie Ihr Passwort für den HTW-Account ändern.

Ist VPN wieder nutzbar?

Ja, wenn Sie Ihr Passwort geändert haben.

Sind private Rechner auch betroffen?

Nein. Wir empfehlen aber, einen Virusscan zu machen, die allgemeinen Sicherheitshinweise des Hochschulrechenzentrums zu beachten und das Passwort zu wechseln.

Ich bekomme Spam-Mails und -Anrufe. Hat das etwas mit dem Vorfall am FB3 zu tun? Was kann ich tun?

Diese Anrufe oder Mails haben mit großer Wahrscheinlichkeit nichts mit dem aktuellen IT-Sicherheitsvorfall am Fachbereich 3 zu tun. Vermutlich sind Sie unabhängig davon Opfer einer der regelmäßig auftretenden Scam-, Phishing- oder Spam-Wellen.

In manchen Fällen probieren die Betrüger*innen automatisch generierte Handynummern aus, in anderen Fällen verwenden sie geleakte Daten großer Online-Dienste. Die Webseite "Have I been pawned" listet regelmäßig solche Datenleaks. Hier können Sie auch prüfen, ob Ihre Handy-Nummer oder Ihre E-Mailadresse von einem bekannten Leak betroffen ist. Ob Ihre Daten ausspioniert wurden, können Sie auch mit Hilfe des HPI Identity Leak Checker kontrollieren.

So verhalten Sie sich richtig

Rufen Sie unbekannte Nummern nicht zurück. Ignorieren Sie unerwünschte Anrufe. Klicken Sie nicht auf Links oder Anhänge in Mails oder SMS, ohne sie vorher zu überprüfen. Sie können die Absende-Adresse bzw. die Anruf-Nummer blockieren. Melden Sie Mails als Spam, dafür haben viele Mail-Programme eine eigene Funktion.

Bei unerwünschten Telefonanrufen oder SMS können Sie online eine Beschwerde bei der Bundesnetzagentur aufgeben.

Wo gibt es weitere Informationen?

Wir ergänzen laufend Informationen auf dieser Webseite und bauen die FAQ weiter aus. Ist die Antwort auf Ihre Frage noch nicht dabei, können Sie uns eine E-Mail an f3-sicherheit@htw-berlin.de senden.

Eine Informationsveranstaltung für Beschäftigte und Lehrende des Fachbereichs 3 fand am 10. Mai statt. Eine weitere Informationsveranstaltung für Studierende des Fachbereichs 3 fand am 17. Mai statt.  Unter dem angegebenen Link können Hochschulmitglieder im Wiki die Unterlagen zur Infoveranstaltung auf deutsch und englisch runterladen.