Öffentliche Bekanntmachung einer Datenschutzverletzung
Cyber-Angriff Ende August 2022 im Institut für Psychologie und im Dekanat der Fakultät für Human- und Sozialwissenschaften führt zur vollständigen Kompromittierung der IT-Infrastruktur des Instituts und des Dekanats – Ausweitung des Angriffes auf die TU Chemnitz im Übrigen nach derzeitigem Kenntnisstand erfolgreich abgewehrt
Ein Cyber-Angriff vom 31. August 2022 mittels per E-Mail eingeschleuster und von den eingesetzten Sicherheitsanwendungen nicht erkannter Schadsoftware führte an der TU Chemnitz zur vollständigen Kompromittierung der IT-Infrastruktur des Instituts für Psychologie und des Dekanats der Fakultät für Human- und Sozialwissenschaften. Nach derzeitigem Kenntnisstand gelang es dem Angreifenden über die durch menschliches Fehlverhalten ermöglichte Erstinfektion (unzureichende Rechteverwaltung, Außerkraftsetzen von Warnhinweisen etc.) und eine Schwachstelle des Betriebssystems erfolgreich Administrationsrechte zu erlangen, um sich sodann weiter auf der IT-Infrastruktur ausbreiten und diese durchsuchen zu können. Aufgrund dessen hat sich das Rektorat der TU Chemnitz dazu entschieden, neben der unverzüglich erfolgten Meldung an die Aufsichtsbehörde (Sächsischer Datenschutzbeauftragter) gemäß Art. 33 DSGVO alle betroffenen Personen gemäß Art. 34 Abs. 3 lit. c) DSGVO öffentlich über die Verletzung des Schutzes personenbezogener Daten zu informieren. Zudem soll der Vorgang strafrechtlich zur Anzeige gebracht werden.
Der Vorfall wurde am 03. September 2022 bemerkt und unverzüglich gehandelt und die betroffenen Systeme vom Netzwerk getrennt und heruntergefahren, so dass spätestens ab dem Mittag des 06. September 2022 davon ausgegangen werden kann, dass der Vorfall nicht weiter andauert. Eine Ausweitung des Angriffes auf die TU Chemnitz im Übrigen konnte aufgrund der vom Universitätsrechenzentrum vorfallunabhängig getroffenen Schutzmaßnahmen nach derzeitigen Erkenntnissen erfolgreich abgewehrt werden. Zudem wurde die Signatur der Schadsoftware gemeldet und eine Aktualisierung der verfügbaren Signaturdatenbanken vorgenommen, so dass eine Wiederholungsgefahr mit identischem Angriffsmuster möglichst ausgeschlossen bzw. die drohende Infektion im Voraus erkannt werden kann.
Die vollständige Kompromittierung der IT-Infrastruktur des Instituts für Psychologie und des Dekanats der Fakultät für Human- und Sozialwissenschaften führte jedoch nicht nur dazu, dass beginnend ab dem 05. September 2022 sämtliche Nutzer der lokalen Anmeldeverwaltung im Institut und Dekanat mit Nutzeraccount gesperrt und Zugänge neu vergeben werden mussten sowie die komplette IT-Infrastruktur des Instituts und des Dekanats neu aufgesetzt werden muss (noch nicht abgeschlossen, so dass die Verfügbarkeit weiterhin eingeschränkt ist), sondern auch zu einem wahrscheinlichen Datenabfluss an den Angreifenden in derzeit nicht näher bestimmten oder weiter zu konkretisierenden Umfang. Aufgrund der bislang vorliegenden forensischen Ermittlungen ist jedoch davon auszugehen, dass der Cyber-Angriff in jedem Falle nicht nur zur Kompromittierung von Nutzeraccounts der Instituts- und Dekanatsmitglieder führte, sondern auch zur unbefugten Offenlegung beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten, welche im Rahmen der IT-Infrastruktur des Instituts und des Dekanats (nicht der TU Chemnitz im Übrigen) verarbeitet und gespeichert worden waren, so dass auch die Betroffenheit von besonderen Kategorien personenbezogener Daten (vgl. Art. 9, 10 DSGVO, u.a. Gesundheitsdaten) sowie von besonders sensiblen personenbezogenen Daten (bspw. Prüfungsdaten, Forschungsdaten, Probandendaten, Geschäftsgeheimnissen) nach derzeitigem Ermittlungsstand nicht ausgeschlossen werden kann.
Die TU Chemnitz bedauert es sehr, dass vor diesem Hintergrund nicht ausschließbar ist, dass die Verletzung des Schutzes personenbezogener Daten auch dazu führen kann, dass zur Kenntnis gelangte und abgeflossene Daten mit schädigender Absicht vom Angreifenden weiterverwendet werden (bspw. Bloßstellung, Ruf- und Imageschädigung, Identitätsdiebstahl), so dass grundsätzlich zur besonderen Sorgfalt und auch zur unverzüglichen Änderung bestehender Zugangsdaten (sofern und soweit noch nicht geschehen) geraten wird.
Weitere Informationen erteilt Gernot Kirchner, Datenschutzbeauftragter/Juristische Angelegenheiten, Stabsstelle des Rektorats, Technische Universität Chemnitz, Straße der Nationen 62, R. 1/117 (neu: A14.117), 09111 Chemnitz, Telefon +49 371 531-12030, Fax +49 371 531-12039, E-Mail datenschutzbeauftragter@tu-chemnitz.de, Internet: www.tu-chemnitz.de/rektorat/dsb/.
Mario Steinebach
13.09.2022